Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL o tym, jak w praktyce działa centrum cyberbezpieczeństwa (Security Operations Center). Prezentacja miała miejsce podczas październikowych warsztatów EXATEL InTECH Day.

1. Jak w praktyce działa
Security Operations Center
1
Dr inż. Jakub Syta
Dyrektor Departamentu Cyberbezpieczeństwa

2. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
2
Największe bolączki cyberbezpieczeństwa
• kosztuje więcej niż, łatwa do pokazania, generowana wartość
• zagrożenie może nigdy w nas nie uderzyć (choć to już tylko
mrzonki wynikające z teorii ryzyka)
• nie ma na rynku wystarczająco dużo ludzi, którzy to potrafią
zrobić
• wymaga stałej uwagi oraz dokładności i konsekwencji
• nie da rady się zabezpieczyć przez 100% zagrożeń
• Wymaga od IT i biznesu chwili refleksji nad skutkami
inicjowanych pomysłów

3. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
3
Zapewnianie cyberbezpieczeństwa

4. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
4
Monitorowanie i reagowanie na incydenty
Dane są zawarte w logach ze źródeł
Eksperci wraz z klientem zamieniają swoją wiedzę w regułę
korelacyjną
SIEM analizuje przeprasowane logi wykorzystując reguły
korelacyjne dając w rezultacie informacje nt. potencjalnego
naruszenia
Analityk SOC, wykorzystując swoją wiedzę, potwierdza incydent
Klienci przy wsparciu ekspertów, wykorzystując swoją wiedzę,
eliminują incydent i doskonalą źródła, reguły i scenariusze

5. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
5
Reagowanie na incydent
Reakcja zgodnie ze zdefiniowanym scenariuszem
w ramach L1 i L2 we współpracy z Klientem,
wykorzystując system ticketowy

6. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
6
Przepis na sukces
Źródła, które są poprawnie skonfigurowane
Reguły biorące pod uwagę ryzyko biznesowe
Scenariusze odzwierciedlające możliwości organizacji
Doświadczony zespół, który monitoruje bezpieczeństwo 24x7
Zaufanie do partnera
Przepis na
sukces

7. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
7
Punkty zapalne
Oczekiwany zakres scenariusza vs. dostępy do źródeł
Charakter reguł korelacyjnych vs. zaangażowanie biznesu oraz zakres
logowania potrzebnych źródeł
Nadmiar naruszeń generowanych przez źle skonfigurowane źródłaPunkty
zapalne

8. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
8
Jak się przygotować do uruchomienia usługi
Ustalmy architekturę bezpieczeństwa
Zorganizujmy dostępy sieciowe
Wskażmy zespół z którym analitycy SOC mogą się kontaktować i
potwierdźmy sposoby komunikacji
Wybierzmy te źródła, które na pewno dobrze działają i zaimplementujmy
szereg reguł informatycznych (quick win)
Skonfigurujmy poprawnie kolejne kluczowe źródła, które pozwolą patrzeć
holistycznie na bezpieczeństwo i dobierzmy do nich reguły
Zacznijmy wdrażać brakujące źródła z priorytetem określanym przez
zidentyfikowane ryzyko
Jak się
przygotować

9. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
9
Mniej oczywiste zalety zewnętrznego SOC
Możliwość udowodnienia dochowania należytej staranności
Uporządkowanie infrastruktury IT
Ograniczenie ilości pożarów prowadzące do bardziej
przewidywalnego zarządzania IT
Zidentyfikowanie priorytetów zakupowych (do celów
budżetowych)
Szybki start i „skokowe” podniesienie poziomu
bezpieczeństwa
Kupujemy również „święty” spokój
Warto w trudnych chwilach mieć do kogo zadzwonić

10. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
10
Ludzie, procesy, technologie
Cel: Zapewnienie odpowiedniej jakościowo liczby źródeł
wysyłających logi do systemu SIEM w celu analizy korelacji i tym
samym skutecznego monitorowania i reagowania przez zespół
SOC
Security Operations
and
Analytics Platform
Architecture
EDR
AD
DNS
File server
Mail server
antymalware
WAF
DAM
antywirus
PIM/PUM NAC
Security baseline
firewall
antyDDoS SIEM SOC

11. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
11
NAJBEZPIECZNIEJSZA
POLSKA SIEĆ