Zagrożenia cybernetyczne stały się codziennością. Z tego powodu w organizacjach istnieje pilna potrzeba budowy skutecznych strategii ciągłego monitorowania i reagowania na potencjalne incydenty. Jednym z istotnych aspektów funkcjonowania systemu szybkiego reagowania przez SOC jest integracja wszystkich urządzeń w infrastrukturze danej organizacji z rozwiązaniem gromadzącym spływające z nich dane (SIEM), by mogły być monitorowane. Analiza logów, które z nich spływają, stanowi bazę, na której można budować kompleksowy system detekcji i reakcji.
Jakie urządzenia podlegają monitorowaniu? Dlaczego są one tak istotne oraz jakie korzyści daje analiza logów? Poniżej znajdziecie informacje na temat różnych aspektów monitorowania urządzeń przez systemy SIEM/SOAR w SOC.
Rodzaje urządzeń monitorowanych przez system SIEM
Skuteczne działanie SOC, czy to budowanego we własnych strukturach, czy działającego w ramach usług outsourcingu, jest uzależnione od monitorowania urządzeń i innych źródeł danych w czasie rzeczywistym. Kluczowe rodzaje urządzeń podlegających monitorowaniu w SIEM to:
- Serwery, które stanowią serce infrastruktury organizacji, przechowując ogromne ilości danych. Ich monitorowanie jest kluczowe dla szybkiego wykrywania ewentualnych naruszeń bezpieczeństwa, jak ataki typu DDoS.
- Routery i firewalle odpowiedzialne za kontrolę ruchu sieciowego. Monitorowanie ich działań pozwala zidentyfikować nieautoryzowane próby dostępu i chronić sieć przed niebezpieczeństwami.
- Komputery osobiste, laptopy i inne urządzenia końcowe, które są często punktami ataku, dlatego tak ważne jest zabezpieczenie ich rozwiązaniami typu endpoint protection. Monitorowanie ich aktywności pozwala szybko reagować na ewentualne próby naruszenia zabezpieczeń i przedostania się do sieci organizacji tym kanałem.
- logowania do systemu przy użyciu Active Directory również są monitorowane przez SOC, identyfikując wszelkie nieautoryzowane próby dostępu. W przypadku podejrzanej aktywności, reaguje odpowiednio, zabezpieczając system przed potencjalnym naruszeniem.
- Przez monitorowanie switchy w systemie SIEM gromadzone są logi na temat aktywności w sieci, co pozwala identyfikować podejrzane wzorce ruchu oraz reagować na ewentualne incydenty bezpieczeństwa. Dzięki temu SOC może skuteczniej chronić sieć przed atakami, kontrolować dostęp do zasobów sieciowych oraz monitorować komunikację między różnymi segmentami sieci.
Protokoły i standardy reakcji na podatności
Efektywne monitorowanie urządzeń w SOC wymaga skutecznych protokołów i standardów, które umożliwiają zbieranie, analizę i reakcję na dane z różnych źródeł. Oto główne protokoły i standardy stosowane w SOC, które umożliwiają skoordynowane działania w celu utrzymania bezpieczeństwa organizacji:
- SNMP (ang. Simple Network Management Protocol) jest protokołem umożliwiającym monitorowanie i zarządzanie urządzeniami sieciowymi. W SOC jest szeroko stosowany do zbierania informacji o stanie urządzeń, ich wydajności i zabezpieczeń.
- Protokół Syslog jest powszechnie używany do zbierania, przesyłania i archiwizacji logów z różnych urządzeń. W SOC umożliwia analizę zdarzeń bezpieczeństwa i identyfikację potencjalnych incydentów.
- NetFlow to protokół umożliwiający zbieranie informacji na temat ruchu sieciowego. W SOC jest wykorzystywany do analizy przepływów danych, zidentyfikowanych anomaliach i detekcji ataków.
- SIEM (ang. Security Information and Event Management) to kompleksowy system, który integruje dane z różnych źródeł, w tym logów, alarmów i zdarzeń bezpieczeństwa. Działa na zasadzie analizy i korelacji danych, umożliwiając szybką reakcję na potencjalne zagrożenia.
- ISO/IEC 27001 to standard zarządzania bezpieczeństwem informacji. W SOC pełni rolę ramy referencyjnej, która pomaga w utrzymaniu skutecznych praktyk bezpieczeństwa na poziomie organizacyjnym.
- IDS (ang. Intrusion Detection System) analizuje ruch sieciowy w poszukiwaniu nieprawidłowości, anomalii czy podejrzanych wzorców, które mogą wskazywać na potencjalne zagrożenia. IPS (ang. Intrusion Prevention System) natomiast działa w oparciu o reguły, które definiują konkretne sytuacje wymagające reakcji.
Przykłady reakcji SOC na incydenty zidentyfikowane podczas monitoringu
Aby zobrazować skuteczność monitorowania urządzeń w SOC, opisane zostaną kilka realnych sytuacji, w których proces ten odegrał kluczową rolę w zabezpieczaniu organizacji przed zagrożeniami cybernetycznymi:
Atak DDoS
SOC otrzymał alarmy dotyczące znacznego wzrostu ruchu sieciowego na jednym z serwerów. Dzięki analizie danych z urządzeń sieciowych, w tym firewallów i systemów IPS, udało się zidentyfikować i zneutralizować atak typu DDoS, zapewniając ciągłość działania usług organizacji.
Nieautoryzowany dostęp do sieci
System IDS/IPS w SOC wykrył próbę nieautoryzowanego dostępu do sieci. Dzięki zintegrowanym narzędziom SIEM i analizie logów z różnych źródeł, udało się zidentyfikować atak, zatrzymać go na wczesnym etapie i przeprowadzić odpowiednie działania reakcyjne.
Systemy SIEM posiadają funkcję uczenia maszynowego. Jeśli jakiś incydent powtarza się i regularnie jest uznawany za false positive, to po kilku wystąpieniach przestaje być identyfikowany jako zagrożenie. Może to być przydatne np. w sytuacjach, kiedy użytkownicy systemów logują się o nietypowych porach – np. dyrektor sprzedaży pracujący w CRM o 2 nad ranem. Jak pokazuje życie – takie sytuacje również się zdarzają. Jeśli taki incydent zostaje zweryfikowany kilka razy jako zdarzenie niezagrażające bezpieczeństwu ekosystemu IT organizacji, system przestaje identyfikować je w takich kategoriach.
SOC staje się nieodłącznym elementem systemu cyberbezpieczeństwa. Stróżem, czuwającym nad integralnością i funkcjonalnością organizacji. Proces monitorowania różnorodnych urządzeń, analizy danych i szybkiej reakcji na potencjalne zagrożenia są nie tylko technologicznymi aspektami, ale fundamentem bezpiecznej cyberprzyszłości. Wdrażając te praktyki organizacje nie tylko chronią swoje aktywa, ale także kształtują pewną przyszłość w erze, gdzie bezpieczeństwo cybernetyczne jest nieodłącznym elementem koniecznym do zapewnienia, aby funkcjonowanie organizacji było możliwe.
Więcej o cyberzagrożeniach
Znaleziono 14 luk w routerach #DrayTek, w tym 2 krytyczne (CVSS 10. 0) . Te luki pozwalają atakującym przejąć pełną kontrolę i infiltrować sieć.
Ponad 700 000 routerów wystawionych online narażonych jest na atak.
Update obowiązkowy ⬇️
Dla #SOC system SIEM jest jednym z najważniejszych narzędzi wykorzystywanych do monitorowania, zarządzania i analizowania zdarzeń związanych z bezpieczeństwem w infrastrukturze IT. Ważne jest zrozumienie jak system #SIEM działa 👇
‼️Uwaga. Podatność w usłudze serwera wydruku CUPS w systemach Linux, *BSD, macOS pozwala na zdalne przejęcie kontroli nad urządzeniem! Rekomendujemy niezwłoczne zablokowanie dostępu sieciowego na port UDP 631 lub wyłączenie usługi cups-browsed.
CVE-2024-47176,47076,47175,47177
#Fortinet potwierdza naruszenie danych ⬇️
Powiązane tematy
Samouczące algorytmy AI w cyberbezpieczeństwie
Jak sztuczna inteligencja wspiera obronę przed zagrożeniami?
Czym są podatności CVE i dlaczego są ważne?
Praca analityka Security Operations Center nie jest oderwana od szerokiego ekosystemu firm i instytucji publicznych, które udostępniają informacje na temat zidentyfikowanych zagrożeń, dzielą się nimi