Usługi Centrum Bezpieczeństwa w rozumieniu firmy BV Grupa oznacza outsourcing wszelkich usług związanych z:

– całodobową reakcją na incydenty bezpieczeństwa [incydent response], wraz z odpowiednim dokumentowaniem tych incydentów w systemie zgłoszeniowym [SIEM – security incident and event managment]

– bieżącym wykrywaniem i prewencyjnym monitoringiem zagrożeń poprzez odpowiednie oprogramowanie monitorujące środowisko IT klienta [EDR / NDR]. Wchodzi w to szereg narzędzi o charakterze antywirusowym, sond sieciowych itp. Zarządzaniem wszystkimi systemami związanymi z bezpieczeństwem.

– zakładaniem pułapek mających na celu wczesne wykrycie naruszeń bezpieczeństwa [honeypot, pułapki w formie plików itp.]

– doradztwem w zakresie budowy bezpiecznej firmy tj. bezpieczna architektura rozwiązań IT, odpowiednie procedury postępowania

– testami bezpieczeństwa w tym testy penetracyjne, itp.

– zgodności z normami, które wymagane są od klientów (np. norm wchodzących na poszczególne rynki) – w szczególności norm NIS2

– budową infrastruktury odtworzeniowej w przypadku skutecznego włamania / zaszyfrowania i zniszczenia podstawowej infrastruktury klienta. Tzw. „cyfrowa twierdza”. Realizujemy taką infrastrukturę w sposób „nie nonsensowny” tj. wychodząc nie z potrzeby stworzenia teoretycznie niepenetrowalnej i absolutnie bezpiecznej ale w praktyce drogiej i mało użytecznej w praktyce twierdzy ale raczej z wiedzy na temat realnego procesu odtwarzania w faktycznych sytuacjach życiowych zaszyfrowania infrastruktury.

– grupą szybkiego reagowania po wystąpieniu naruszenia bezpieczeństwa. W skład tej grupy wchodzą ludzie, którzy już uczestniczyli w likwidowaniu skutków ataków hackerskich, zaszyfrowania danych, spotkali się z sytuacjami żądań okupu itp.
– pomoc w zgłoszeniach ataków

Pojęcia związane z SOC

Przy wdrożeniu usługi outsourcingu Centrum Bezpieczeństwa warto rozumieć podstawowe pojęcia związane z tym tematem:

SIEM – Security Information and Event Management – używamy autorskiego rozwiązania na bazie rozwiązań komercyjnych i open source.

SOAR – Security Orchestration, Automation And Response – nasz system SIEM pełni również rolę systmu SOAR

UTM – Security Information and Event Management – współpracujemy z istniejącymi u klienta rozwiązaniami UTM lub wdrażamy / instalujemy tego typu urządzenia.

IPS/HIPS – (Host) Intrusion Prevention System

BDS – Breach Detection System – realizujemy integrację z tego typu systemami na przykład na poziomie logów z tych systemów i wykrywanie zagrożeń na podstawie logów

DLP/HDLP – (Host)Data Loss Prevention

W ramach budowy SOC wdrażamy integrację z innymi systemami posiadanymi przez klienta a szczególnie w zakresie:

CCTV – Closed Circuit Television – systemu wideomonitoringu

BMS – Building Management Systems – systemu automatyki budynkowej

ACS – Access Control System – systemu kontroli dostępu

2FA/MFA – Two Factor Authentication/Multifactor Authentication – uwierzytelniania

CASB – Cloud Access Security Broker – chmurowych systemów bezpieczeństwa

NAC – Network Admission Control – systemu dostępu do sieci

AV – AntiVirus – głównymi dostawcami systemów antywirusowych (ESET NOD, DEFENDER) – używamy nie tyle ich funkcji antywirusowej ale funkcjonalności związanych z EDR (wykrywaniem i raportowaniem zagrożeń)

NGAV – Next Generation AntiVirus

EDR – Endpoint Detection and Response – u większości klientów tą rolę pelni system antywirusowy

PAM – Privileged Access Management – wdrażamy strategię dostępu dla administratorów jak również narzędzia monitorujące ten dostęp,

RMS – Rights Management System – wdrażamy lub integrujemy się z istniejącymi systemami

Vulnerability Scanner – skaner podatności

Schemat postępowania (od czego zacząć)

Ankieta dotycząca środowiska klienta, celów wdrożenia SOC – Współpracę zczynamy od zapoznania się z potrzebami klienta, mamy wypracowaną ankietę która ułatwia rozpoczęcie współpracy.

Wycena – kolejnym etapem jest wstępna wycena na podstawie której można rozpocząć współpracę.

Podpisanie umowy na okres wstępny (wdrożenie) i na okres zasadniczego świadczenia usługi.

Okres 1 – wdrożenie: okres ten obejmuje budowę systemów bezpieczeństwa (właściwe wdrożenie EDR i innych systemów), oraz tworzenie procedur związanych z obsługą danego klienta. W tym okresie też są wdrażane niezbędne zmiany w konfiguracji systemow klienta (np. przebudowa systemu backupowego tak, aby był bezpieczny w przypadku próby zaszyfrowania itp)

Okres 2 – standardowy okres świadczenia usługi SOC:rutynowa obsługa istniejącego stabilnego śrooowiska klienta.

Spełnienie normy NIS2

Istotnym czynnikiem który wpływa na potrzebę utworzenia SOC jest oczywiście zapewnienie bezpieczeństwa w przypadku cyberataków. Ale dla wielu firm ważne jest też spełnienie nowych norm bezpieczeństwa NIS2. Normy te obejmują m.in. urzędy, firmy zajmujące się ogrzewaniem i chłodzeniem, mediami (np. ścieki), pocztę i kurierów, odpady, produkcję i sprzęt transportowy, żywność (przetwarzanie i dysrybucję).

Dyrektywa NIS określała dwie główne kategorie podmiotów objętych ochroną – operatorów usług kluczowych i odpowiednich dostawców usług cyfrowych – przy czym wymagań dotyczących drugiej grupy jest więcej. Zapisy ramowe NIS ułatwiały państwom członkowskim UE zidentyfikować obie te kategorie. W załączniku II do pierwszej wersji dyrektywy wymieniono rodzaje działalności objętych ochroną:

• energetyka, sektor naftowy i gazowy;

• transport lotniczy, kolejowy i drogowy;

• opieka zdrowotna;

• bankowość;

• rynki finansowe;

• zaopatrzenie w wodę pitną;

• infrastruktura cyfrowa.

W NIS2 znacząco rozszerzono tę listę, dodając nową kategorię podmiotów ważnych, które muszą spełniać kluczowe wymagania. Do kategorii tej należą:

• gospodarowanie odpadami;

• produkcja;

• dostawcy usług IT i bezpieczeństwa;

• usługi pocztowe i kurierskie;

• przedsiębiorstwa branży chemicznej;

• przetwórstwo żywności;

• podmioty badawcze;

• sieci społecznościowe i dostawcy usług cyfrowych.

Wymagania mogą również dotyczyć niektórych podmiotów dostarczających towary do UE, takich jak dostawcy objętych dyrektywą organizacji. Ich zgodność z regulacjami może być zatem konieczna.