Blog Eksperta

Zarządzanie incydentami bezpieczeństwa – czy warto skorzystać z usługi zewnętrznego Security Operations Center?

Czym jest Security Operations Center?

 Jak sugeruje słowo „centrum”, jest to fizyczna lokalizacja zespołu ds. bezpieczeństwa informacji. Zespół ten odpowiedzialny jest za bieżące monitorowanie i analizowanie stanu bezpieczeństwa organizacji. Ponadto aktywnie zapobiega incydentom dotyczącym cyberbezpieczeństwa, wykrywa je i na nie reaguje. 

Zespół operacyjnego centrum bezpieczeństwa korzysta z kombinacji rozwiązań technologicznych i wielu skutecznych procesów. Składa się on zwykle z analityków bezpieczeństwa, inżynierów i kierowników, którzy nadzorują operacje w zakresie bezpieczeństwa. Osoby te ściśle współpracują z zespołem reagowania na incydenty, który po wykryciu problemów z bezpieczeństwem szybko na nie odpowiada.

Nie wszystkie organizacje są w stanie stworzyć operacyjne centrum bezpieczeństwa. Istnieje ku temu wiele powodów, ale często wiąże się to z brakiem zasobów. Firmom brakuje wystarczającej wiedzy, czasu i środków na jego stworzenie. Dlatego niezwykle cenny może okazać się outsourcing operacyjnego centrum bezpieczeństwa.

Dowiedz się więcej

Kolejne akty prawne takie jak "Ustawa o ochronie danych osobowych", a wcześniej RODO, czy "Ustawa o krajowym systemie cyberbezpieczeństwa" przykładają coraz większą wagę do odpowiedniego zarządzania incydentami cybernetycznymi.

Niestety wspominając o odpowiedzialności, również finansowej, nie wskazywane są konkretne wytyczne i receptury postępowania w tego typu sytuacjach. Przykładowo RODO w artykułach nr 25 i 32 wymaga ochrony danych w sposób odpowiedni (adekwatny  do oszacowanego ryzyka dla tych danych), zaś w artykule 5 ust. 2, dodatkowo wspomniane jest o konieczności udowodnienia, iż zrobiło się wszystko, aby nie dopuścić do incydentów bezpieczeństwa oraz że zostały one poprawnie (skutecznie) obsłużone. Nie do pominięcia jest również nakaz ujawniania informacji o incydentach bezpieczeństwa, o czy mowa jest w artykule nr 33. Jak widać wymagania są dość szerokie i nieokreślone. Warto więc bliżej przyjrzeć się kwestii wykrywania incydentów cybernetycznych, a jeśli już do nich dojdzie, również złożoności procesu zarządzania nimi.

Warto zacząć od uregulowania kwestii definicyjnych. Otóż wg normy PN-ISO IEC 27000 incydent bezpieczeństwa, to pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem informacji lub seria takich zdarzeń, które stwarzają prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Zarządzanie incydentami związanymi z bezpieczeństwem informacji według tej samej normy to procesy wykrywania, raportowania, szacowania, reagowania, podejmowania akcji i wyciągania wniosków z incydentów związanych z bezpieczeństwem informacji. Celowo wyróżnione zostały elementy składające się na zarządzanie incydentami, bo już sama definicja pokazuje jak złożona jest to kwestia i jak szerokie kompetencje powinien mieć zespół, który będzie obsługiwał tego typu zdarzenia. Należy zauważyć, że obsługa incydentu zaczyna się już na etapie jego wykrycia, a żeby ten proces działał skutecznie konieczne jest aktywne poszukiwanie informacji, które pomogą w wykryciu incydentu po pojawieniu się jego pierwszych symptomów, a nie dopiero jak skutki zmaterializowania się zagrożenia będą łatwo dostrzegalne, co niekiedy oznacza, że napastnik już osiągnął zamierzone cele. „Wyścig” zespołu bezpieczeństwa z atakującym i kluczowe momenty z przebiegu incydentu zaprezentowano poniżej.

Każdy życzyłby sobie, aby zarządzanie incydentem kończyło się na etapie jego wczesnego wykrywania i nigdy nie zaistniała potrzeba pisania raportów z przebiegu incydentu oraz szacowania strat poniesionych w jego konsekwencji. Patrząc na rysunek, można stwierdzić, iż chodzi o to aby odzyskanie kontroli nad sytuacją, co jest symbolizowane niebieską kreską na osi czasu, nastąpiło jak najszybciej, w szczególności przed osiągnięciem przez napastnika założonych celów. Jak łatwo zauważyć głównymi składowymi w okresie od rozpoczęcia ataku do odzyskania kontroli jest szybkie wykrycie incydentu, sprawna analiza tego co się wydarzyło i w końcu czas, w którym zostaną zrealizowane skuteczne działania, co w dużej mierze zależy od prawidłowości wyników analizy.

Przekładając to na konkretniejsze działania można przykładowo wymienić:

  • wykrywanie pełnego zakresu ataku, rodzaju zagrożenia, Indicator of Compromise (IoC) – jest to istotne ponieważ współczesne ukierunkowane ataki są najczęściej działaniami wielowątkowymi, a niektóre z tych wątków są realizowane jedynie dla odwrócenia uwagi do zasadniczego celu;
  • blokowanie komunikacji w kontekście wykrytego zagrożenia – ważne jest aby właściwie blokować przebieg i tym samym ograniczać eskalację ataku, jednocześnie w jak najmniejszym stopniu wpływając na działanie funkcji biznesowych;
  • usuwanie podatności, dzięki którym atak mógł być skuteczny – oczywiście wcześniej podatności te muszą być zidentyfikowane. Czasami są to podatności znane, które były akceptowane z różnych powodów, ale często jest to coś nowego i ich poszukiwanie, na podstawie bieżących obserwacji trwa równolegle z eskalacją ataku;
  • ograniczanie wpływu incydentu - tutaj pomocna będzie znajomość możliwych konsekwencji ataku, oszacowania prawdopodobieństwa i czasu odzyskania kontroli;
  • dokumentowanie wykonywanych czynności – o tym często zapomina się w „ferworze walki”, a niestety później trzeba napisać rożnego typu sprawozdania, między innymi aby udowodnić, że incydent bezpieczeństwa został poprawnie obsłużony.

Dopełniając obrazu zarządzania incydentami bezpieczeństwa należy wspomnieć o warunkach jakie panują od momentu wykrycia incydentu do momentu odzyskania kontroli. Otóż zespół obsługujący taką sytuację działa pod presją czasu, do tego bezpośrednio ze środowiskami produkcyjnymi, najczęściej bez możliwości „testowego” zweryfikowania podejmowanych decyzji. Do tego dochodzi wielowątkowość działań i współpraca z wieloma osobami, z którymi wcześniej mógł nawet nie mieć kontaktu, np. prawnikami, czy osobami odpowiadającymi za kontakt z mediami. To wszystko powoduje, że nawet najlepiej przygotowany teoretycznie administrator może zostać sparaliżowany tego typu sytuacją.

Opisana złożoność, jak również uwarunkowania towarzyszące obsłudze cyberincydentów pokazują jakie umiejętności i predyspozycje powinien posiadać zespół podejmujący się tego zadania. Aby działać szybko i skutecznie musi wykazać się nie tylko najwyższym poziomem umiejętności administratorskich, biegłością w użytkowaniu  specjalizowanych narzędzi, ale również dobrą znajomością procedur i wymagań prawnych. Zespół taki powinien też cyklicznie brać udział w szkoleniach typu „live-fire cyber defence”. W cyberbezpieczeństwie zadania takie realizują zespoły Security Operations Center (SOC). Można zauważyć  tu pewną analogię do jednostek specjalnych, które zajmują się np. odbijaniem zakładników i w tym konkretnie ustawicznie się szkolą. Wiedząc, że takie zespoły są, chyba nikt nie powierzyłby tego zadania zwykłym jednostkom policji, czy też wojska.

Oczywiście ważne jest aby taki specjalny zespół dobrze znał teren, w którym przyjdzie mu działać, dlatego lepszym od incydentalnego „gaszenia pożaru” wymuszonego konkretnym zdarzeniem, jest stała współpraca. „W czasie pokoju” będzie ona polegała na monitorowaniu ochranianego środowiska, analizowaniu zagrożeń, które mogą być dla danego podmiotu niebezpieczne i ogólnym wspieraniu w doskonaleniu systemu bezpieczeństwa, zaś w przypadku zaistnienia incydentu, a tego nie można wykluczyć nigdy, wcześniej zgromadzona wiedza po stronie SOC pozwoli szybciej opracować i wdrożyć skuteczne środki zaradcze.

Przykładowe dokumenty opisujące zarządzanie incydentami:

NIST Special Publication (Sp) 800-61 – Computer Security Incident Handling Guide

ISO/IEC 27035-1:2016 – Principles of Incident  Management

Zobacz co jeszcze może zaoferować ci zewnętrzne Security Operations Center:

SOC24

- 11 października 2021

Masz jeszcze jakieś pytania na temat SOC?

Skontaktuj się z nami już dziś!

Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy, żeby Ci pomóc.

Zostaw wiadomość +48 22 5671740 Zapytaj o wycenę

Udostępnij tę stronę:

Ta witryna korzysta z plików cookie. Kontynuując przeglądanie tej witryny, wyrażasz zgodę na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieć się więcej