Choose language:
Pratite nas:

Managed SOC

Proaktivno i sveobuhvatno praćenje sigurnosnih događaja na informacijskim sustavima danas je jedan od većih sigurnosnih izazova za brojne kompanije. Usprkos povećanim ulaganjima u informacijsku sigurnost, broj sigurnosnih incidenata u kontinuiranom je porastu, a gubici od cyber napada sve su veći.


Izazovi zaštite informacijskih sustava od cyber napada

Neki od ključnih izazova s kojim se kompanije danas susreću navedeni su u nastavku:

  • usprkos sve većim ulaganjima u različite nadzorne sigurnosne sustave kao što su NG vatrozidi, EDR endpoint rješenja, SIEM sustavi, IDS/IPS sustavi i sl., nedostatak vremena i ljudskih resursa s potrebnim znanjima i vještinama, značajno utječe na operativnu učinkovitost kompanija u smislu proaktivnog nadzora sigurnosnih događaja,
  • prijetnje od kojih se štitimo postaju sve naprednije i vrlo često prilagođene za pojedinu organizaciju. Sigurnosni incidenti koji gotovo svakodnevno ispunjavaju naslovnice u medijima pokazuju da razina sposobnosti velikog broja kompanija još uvijek nije dovoljna kako bi se pravovremeno otkrili i spriječili ovakvi tipovi napada,
  • broj događaja i alarma koji različiti sigurnosni nadzorni sustavi dnevno generiraju toliko je porastao da korištenje tradicionalnih tehnika pretraživanja i međusobne korelacije vjerojatno nije dostatan. Danas se od kompanija zahtijeva korištenje naprednih alata koji će moći u realnom vremenu analizirati generirane zapise te ih korelirati između više heterogenih izvora,
  • reaktivni vs. proaktivni pristup – efikasna zaštita informacijskog sustava od naprednih prijetnji zahtijeva proaktivan pristup u kojem će sigurnosni stručnjaci proaktivno analizirati događaje na informacijskom sustavu i otkrivati potencijalne sigurnosne incidente. Čisto reaktivno djelovanje danas se smatra nedostatnim.

INFIGO IS Managed Security Operations Center (Managed SOC)

Kao jedna od vodećih kompanija za informacijsku sigurnost s bogatim iskustvom u implementaciji SIEM sustava i uspostave sigurnosnih nadzornih centara (SOC), INFIGO IS svojim klijentima nudi uslugu uspostave sveobuhvatnog sustava za praćenja i nadzora sigurnosnih događaja na informacijskom sustavu uključujući i specijaliziranu podršku za operativni nadzor sustava.

Eksternalizacija operativnog sigurnosnog nadzora informacijskog sustava klijentima donosi brojne prednosti:

  • Podizanje razine sigurnosti kroz kvalitetnije praćenje i nadzor sigurnosnih događaja na informacijskom sustavu. Bogato iskustvo i specijalizirana znanja u ofenzivnoj i defenzivnoj sigurnosti osigurava visoku razinu sposobnosti u detekciji i sprječavanju potencijalno neovlaštenih aktivnosti.
  • Smanjenje troškova. Poznato je da eksternalizacija u određenim slučajevima može donijeti značajne uštede, pogotovo ukoliko je riječ o aktivnostima koje nisu primarna djelatnost kompanije, a zahtijevaju visoku razinu znanja i ekspertize. Sigurnosni nadzor informacijskog sustava  jedna je od takvih aktivnosti te je svakako dobar kandidat za eksternalizaciju.

Osnovne značajke INFIGO IS Managed SOC usluge opisani su u nastavku.

Proaktivni sigurnosni nadzor

Kroz Managed SOC uslugu korisniku se osigurava kontinuirani nadzor i praćenje sigurnosnih događaja na informacijskom sustavu u skladu s ugovorenom razinom usluge (SLA). Za praćenje sigurnosnih događaja odgovoran je tim specijaliziranih stručnjaka organiziranih u grupe s jasno definiranim ulogama i odgovornostima.

Proces nadzora sigurnosti reguliran je procedurama koje definiraju pravila nadzora sigurnosnih događaja te pravila postupanja prilikom detekcije potencijalno zlonamjernih aktivnosti. Kako bi se osigurao efikasan odgovor na detektirane prijetnje, u suradnji s klijentom definiraju se eskalacijske procedure i pravila komunikacije prilikom detekcije potencijalno sumnjivih događaja.

Odgovor na sigurnosne incidente (Incident Response - IR)

Osim praćenja i nadzora sigurnosnih događaja, Managed SOC usluga uključuje i aktivan odgovor na zabilježene sigurnosne incidente, odnosno podršku klijentu prilikom rješavanja istih. U ovu svrhu, u suradnji s klijentom usklađuju se procesi i procedure koji definiraju načine postupanja prilikom rješavanja incidenata, pravila i hijerarhiju komunikacije, način razmjene informacija i sl. INFIGO IS iskustvo u rješavanju i analizi sigurnosnih incidenata omogućuje efikasan odgovor na uočene incidente te njihovo pravovremeno uklanjanje.

Threat Intelligence (TI)

S ciljem podizanja razine sposobnosti u otkrivanju potencijalnih incidenata, INFIGO IS Managed SOC usluga koristi tzv. Threat Intelligence servise. TI servisi omogućuju obogaćivanje informacija prikupljenih kroz redoviti operativni sigurnosni nadzor s drugim internim i vanjskim izvorima o relevantnim sigurnosnim prijetnjama.

Na ovaj način detektiranim sigurnosnim događajima daje se dodatni kontekst koji omogućuje kvalitetnije donošenje odluka i reakciju na detektirane sigurnosne događaje. U okviru INFIGO Managed SOC usluge, INFIGO IS uspostavio je vlastitu TI infrastrukturu koja je usko integrirana s ostalim procesima sigurnosnog nadzora.

Threat hunting (TH)

Reakcija na sigurnosne događaje na informacijskom sustavu obično je reaktivnog karaktera, što je na neki način i očekivano. Problem s ovakvim pristupom je taj što organizacije u prosjeku imaju vrlo nisku sposobnost detekcije sigurnosnih incidenata i kao takve nisu sposobne duži vremenski period detektirati kompromitirani informacijski sustav. Istraživanja pokazuju da se prosječno vrijeme potrebno za otkrivanje sigurnosnih incidenata kreće u desecima, a ponekada i stotinama dana, što je apsolutno neprihvatljivo iz perspektive poslovanja.

Threat hunting na neki način mijenja pristup otkrivanja incidenata na način da se dostupne informacije i log zapisi koriste za proaktivno istraživanje incidenata na informacijskom sustavu. Umjesto da se otkrivanje incidenata bazira na slučajnim događajima, odnosno alarmima koji ponekada mogu i izostati ukoliko je napadač dovoljno vješt i dobro pripremljen, threat hunting podrazumijeva proaktivnu analizu i otkrivanje potencijalnih indikatora kompromitacije. INFIGO IS Managed SOC usluga omogućuje i ovakav oblik nadzora i praćenja sigurnosti.

Vještine i kompetencije

INFIGO IS kompanija je s višegodišnjim iskustvom u ofenzivnoj i defenzivnoj sigurnosti, a jedan od ključnih segmenata poslovanja upravo je uspostava SIEM sustava te organizacija poslovanja sigurnosnim nadzornih centara. Iskusan tim sigurnosnih stručnjaka osigurava visoku razinu profesionalnosti i kvalitete usluge, dok interni sustavi upravljana kao što su ISO 27001 i ISO 9001 osiguravaju ozbiljnost i zrelost procesa.

Osim višegodišnjeg iskustva, naši sigurnosni stručnjaci vlasnici su i brojnih sigurnosnih certifikata vodećih svjetskih organizacija kao što su SANS, ISC2, ISACA, EC-Council itd.

Realizacija usluge

Postupak realizacije Managed SOC usluge sastoji se od sljedećih koraka:

  • Definiranje parametara i razine usluge – utvrđivanje opsega implementacije, razine pružene usluge, očekivanih vremena odziva, načina povezivanja i sl.
  • Uspostava i priprema sustava - informacijski sustav klijenta podešava se na način da bilježi sve one sigurnosne događaje koji su ključni za pravovremeno otkrivanje i sprječavanje sigurnosnih incidenata. Također, uspostavlja se infrastruktura potrebna za automatizirano prikupljanje i obradu prikupljenih log zapisa kako bi se osigurala što viša razina pouzdanosti detekcije.
  • Integracija i omogućavanje ključnih servisa – kroz ovu aktivnost podešavaju se i omogućuju ključni servisi nadzornog centra kao što su sustavi za centralizirano prikupljanje i obradu log zapisa, alati za prijavu i praćenje incidenata, alati za komunikaciju s korisnikom, TI i sl. 
  • Usklađivanje operativnih procedura te definiranje uloga i odgovornosti – kroz ovu aktivnost definiraju se operativni mehanizmi postupanja i odgovora na sigurnosne incidente te pravila komunikacije i način rada s klijentom. Cilj ove aktivnosti je jasno definirati uloge i odgovornosti svake zainteresirane strane kako bi se osigurao pouzdan operativni rad sustava.
  • Funkcionalno testiranje sustava – provodi se osnovno testiranje svih ključnih funkcionalnosti sustava kako bi se osigurao ispravan rad sustava u skladu s definiranim parametrima usluge.
  • Operativni rad – operativni rad sustava u skladu s ugovorenim parametrima usluge.

Ukoliko ste zainteresirani za INFIGO IS Managed SOC uslugu, obratite nam se s povjerenjem na adresu info@infigo.hr