trendy
Co řeší dohledové centrum SOC365? Security Operation Centrum se zabývá disciplinovaným dohledováním ICT prostředí a analýzou anomálií, detekcí bezpečnostních událostí či incidentů s vysoce efektivní reakcí na incidenty. SOC365 si tedy lze představit jako specializované kompetenční centrum k řešení bezpečnostních situací organizované do procesně oddělených rolí – operátor, analytik, incident manažer, technický specialista a člen CSIRT týmu.
Z
pohledu zákazníka se do SOC365 soustředí veškeré rutinní činnosti zaměřené na monitoring prostředí, posuzování zjištěných stavů a situací, detekce anomálií a lokalizace příčin jejich vzniku, správa alertů a incidentů, koordinace vyšetřování anomálií a zvládání následků incidentů, průběžný reporting ze všech sledovaných oblastí požadovaných zákonnými normami a požadovaných zákazníkem. Cílem centra je poskytovat službu SOC365 pro zajištění nezbytné bezpečnosti ICT, předcházení výskytu kybernetických incidentů a provozních selhání ICT služeb. Dosažení tohoto cíle je zajištěno díky neustálým monitorováním datové sítě zákazníků pomocí hardwarových a softwarových prostředků centra SOC365 a vyhodnocování dění v datové síti tak, aby byl zajištěn spolehlivý provoz a bezpečný chod IT zákazníků. O průběhu dění v kybernetickém prostředí zákazník dostává pravidelně informace a reporty.
Kdo SOC365 „ovládá“
2
Centrum SOC365 je sestaveno z profesionálního personálu postupujícího
podle certifikovaných procesů. Ke své práci má k dispozici specializované softwarové nástroje pro kybernetickou bezpečnost a pro datovou analytiku. Podstata centra SOC365 je založena na znalostech v oblasti kybernetické bezpečnosti, architektury informačních systémů, datové analytiky, profesionálního dohledu nad důvěryhodným sběrem dat.
Kdo potřebuje SOC365 Společnosti začínají stále více řešit doposud tolik podceňovanou kybernetickou bezpečnost, ať již více, či méně úspěšně. Medializované útoky z posledních měsíců ukazují, že současné řešení je ve spoustě společností absolutně nedostatečné. Přestává být otázka, zda se něco v podobě kybernetického útoku stane, ale kdy k němu dojde. Další otázkou je, jak zajistit bezpečnost služeb a bezproblémový provoz a chod informačních systémů. Security Operation Centrum SOC365 využívají v současnosti klienti z nezbytných potřeb zákona o kybernetické bezpečnosti a také cca třetina připojených klientů se sítí s kritickou infrastrukturou.
Proč a jak SOC365 funguje
Je již všeobecně známo, že kybernetické útoky zpravidla probíhají ve třech fázích, ale často tyto fáze společnosti systematicky neřeší. Jde o tyto fáze: a) průnik do systému; b) sběr informací a šíření infiltrace v systému nebo do dalších systémů; c) šifrování souborů pro monetizaci kooperace na jejich obnově, pokud klient nemá jejich zálohu. Vlastní průnik do systémů může začít i několik měsíců předem, aniž by o tom v dotčené společnosti kdokoliv věděl. Jde o využití situace, jelikož malé procento společností má nějaké řešení na sběr potřebných dat a fundovaného pracovníka k jejich vyhodnocování. Typovým problém pro snadnost útoků je, že mnoho klíčových znalostí o bezpečnosti společnosti je vloženo do klíčových bezpečnostních systémů, jako jsou firewall, centrální switch, Microsoft Active Directory, ale přístup k nim mají pouze správci těchto systémů, nikoliv celý ICT tým společnosti v procesně řízeném režimu (jen na čtení). V každém bezpečnostním systému je sice podobná bezpečnostní funkce nastavena
