Security Operations Center

Security Operations Center

Je řešení zajišťující komplexní centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě s cílem minimalizace reakční doby na incident a škod z něj plynoucích.


 

Centrální bod bezpečnosti

Společnost měla naimplementovanou řadu technologických řešení, která sloužila k zajišťování bezpečnosti jejich infrastruktury, avšak měla potíže s obsluhou těchto řešení. Hlavní problémy spočívaly v rozdílnosti jednotlivých technologických řešení, jejich uživatelských rozhraní a v chybějícím centrálním vyhodnocovacím mechanismu. Dalším z velkých problémů byla fluktuace pracovníků IT oddělení, kteří s těmito technologickými řešeními pracovali. Neustálé proškolování zaměstnanců na širokou škálu rozličných bezpečnostních nástrojů tak vytvořilo významnou položku v rozpočtu společnosti.

Společnost se obrátila na AEC s žádostí o pomoc se vzniklou situací. Výchozí stav se jevil z počátku velmi komplikovaně, nicméně jsme zvolili možnost centralizace bezpečnosti do jednoho bodu a AEC zaštítilo správu bezpečnostních technologií v rámci supportu. Centrálním bodem bylo bezpečnostní operační centrum (SOC) strukturované do více úrovní. Zároveň jsme zavedli program vzdělávání v podobě e-learningu, který zajišťuje dostatečně rychlé a efektivní proškolení s minimálními náklady.

Samotnému budování SOC předcházela rozsáhlá analýza, která poskytla potřebné informace k integraci veškerých technologií do tohoto centrálního bodu. V rámci analýzy byl zpracován zejména registr aktiv, analýza rizik a model hrozeb, a dále byly vytvořeny procesy potřebné pro provozování bezpečnostního centra nejen v rámci centra, ale i v celé společnosti. Nedílnou součástí těchto analýz bylo i posouzení zákazníkovy infrastruktury a nastavení jednotlivých technologií.

První z problémů při budování nastal při centralizaci jednotlivých zdrojů do SOC. Větší množství na míru vytvořených zdrojů (převážně v podobě aplikací) nebylo možné centralizovat standardní cestou, ale bylo potřeba je připojit prostřednictvím agentů. Tento fakt podstatně prodloužil dobu implementace, ale díky dodatečným pracím programátorů (nutnost vytvořit API) se ve výsledku podařilo veškeré relevantní zdroje připojit do SOC.

Druhým problémem, který následoval po připojení zdrojů, bylo odladění tzv. false positives. Tyto false positives byly vyřešeny v rámci pilotního provozu SOC, kde došlo k dostatečné customizaci SOC řešení a jeho optimalizaci tak, aby generoval v co největší možné míře pouze relevantní události a nezatěžoval tak zbytečně operátory.

Následně mohla společnost plně využívat SOC k zajišťování bezpečnosti své infrastruktury.

Popis řešení

Security Operations Center (SOC) je řešení zajišťující komplexní centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě s cílem minimalizace reakční doby na incident a škod z něj plynoucích. Bezpečnostní operační centrum stojí na pilířích přípravy, detekce, analýzy, investigace, reakce a post incident aktivit. Kontinuálním monitoringem v reálném čase identifikuje, případně přijme, notifikaci o potenciálně škodlivém chování v chráněné infrastruktuře (detekce). Určí, zda se jedná o bezpečnostní událost, nebo o bezpečnostní incident, který může mít negativní dopad na chráněnou infrastrukturu (analýza). Cílem zkoumání daného bezpečnostního incidentu je zjistit konkrétní dopady a cestu, kterou se útočníkovi podařilo proniknout do infrastruktury (investigace). Okamžitou reakcí minimalizuje dopad bezpečnostních incidentů (reakce). Po úspěšné reakci je zajištěno poučení se z incidentu (kontinuální zlepšování), kontrolu zavedení nápravných opatření a reporting zjištěných skutečností pro zvýšení informovanosti (post incident). A to vše díky silné kombinaci procesů, technologií a lidských zdrojů přímo optimalizovaných pro zákazníkovy potřeby.


Výhody

  • Snížení reakční doby na incident (zvýšení efektivity) a tudíž zmírnění dopadu incidentu (snížení nákladů na obnovu).
  • Centralizace bezpečnosti do jednoho bodu.
  • Real-time znalost bezpečnostní situace v infrastruktuře.
  • Snížení nákladů na lidský faktor (operátoři SOC namísto techniků pro jednotlivé technologie).
  • Minimalizace možnosti pochybení operátorů (automatizace bezpečnosti) díky předem definovaným postupům řešení incidentů.
  • Reflexe aktuálních, ale i nově vznikajících hrozeb (pokrytí komplexního portfolia bezpečnostních hrozeb).

Proč zvolit AEC?

  • Disponujeme týmem zkušených bezpečnostních konzultantů a architektů.
  • Naši specialisté jsou schopni integrovat široké portfolio technologií do jednoho bodu a nad těmito technologiemi vytvořit/nastavit procesy k zajištění správné funkčnosti navrženého řešení.
  • Celé navržené řešení je v souladu s národní legislativou, ale i mezinárodními standardy.
  • Jsme schopni celé navržené řešení a jeho funkčnost otestovat penetračními testy.
  • Jsme lokální firmou s kmenovými zaměstnanci a preferujeme osobní přístup ke každému zákazníkovi.
  • Disponujeme referencemi od velkých zákazníků.
  • Máme více než 26 let zkušeností v oblasti bezpečnosti informací napříč sektory (banky, energetika a utility, telekomunikace, výrobní podniky, média a obchod, pojišťovny, veřejný sektor).

Reference

Dlouhodobě spolupracujeme s firmami a organizacemi napříč celým trhem. Mezi našimi zákazníky najdete nadnárodní společnosti, ale také malé firmy a drobné podnikatele. Všem vycházíme maximálně vstříc a poskytujeme služby na míru s ohledem na jejich velikost i oblast působení. Konkrétní reference rádi předložíme na vyžádání.