MENU

SOC (Security Operations Center)

SOC (Security Operations Center)

Cyberbezpieczeństwo od pewnego poziomu jest dziedziną zakładającą wysoki stopień specjalizacji. W związku z tym, że wystarczy, aby atakujący znaleźli jedną lukę, a chroniący muszą zabezpieczyć wszystkie słabe punkty – bezpieczeństwo, to proces ciągły w którym nie tylko staramy się ulepszać naszą ogólną postawę, ale również musimy mieć możliwość stałego monitorowania tego czy aby na pewno nikt aktualnie nie próbuje się do nas włamać (lub nie jest już obecny w naszej infrastrukturze).

Usługa SOC (ang. Security Operations Center), to nic innego, jak wsparcie zewnętrznego zespołu specjalistów stale monitorujących naszą infrastrukturę, którzy są cyfrowym odpowiednikiem fizycznej ochrony realizowanej na najwyższym poziomie kompetencji. Wykorzystując w tym calu najbardziej zaawansowany sprzęt, a także narzędzia do natychmiastowej obrony.

Cena

W zależności od stopnia rozwoju organizacji, a także wybranego zakresu ochrony cena w większości przypadków oscyluje w widełkach na poziomie 5 000 – 50 000 PLN miesięcznie (netto + VAT), przy czym poza stałym abonamentem należy doliczyć jeszcze koszt onboardingu (stanowiący zwykle 1-2 krotność wyjściowej stawki miesięcznej).

Dla atakowanej firmy czas reakcji często odgrywa kluczowe znaczenie w aspekcie tego czy dany atak uda się nie tylko zobaczyć, ale przede wszystkim zatrzymać.

Firmy podejmujące współpracę z zewnętrznym SOC zdają sobie sprawę z ekstremalnych oszczędności kosztowych względem posiadania tego typu kompetencji u siebie. Często samodzielna budowa operacji, których jakość będzie dorównywała zewnętrznym SOC jest zwyczajnie niemożliwa. Ważne jest jednak, aby jasno określić zasady współpracy w taki sposób, aby realizowana usługa dostosowana była do profilu firmy, a także stopnia uzyskiwanej swobody w związku z realizowaną ochroną.

Do kluczowych elementów realizacji współpracy pomiędzy usługodawcą SOC, a podmiotem korzystającym z usługi należy:

  • STRATEGIA
    Podstawą strategii wdrożenia w firmie usługi SOC powinno być podejście projektowe, gdzie wszyscy zaangażowani w proces znają ramy czasowe, cele i odpowiedzialność za poszczególne fazy implementacji.
  • ESKALACJA
    Umowa z dostawcą rozwiązania określa ramy, w których może poruszać się podmiot zewnętrzny dostarczający usługę. Na tej podstawie tworzone jest też drzewko decyzyjne oraz lista osób kontaktowych w razie wystąpienia incydentu.
  • MONITORING
    Zapewnienie realnej ochrony nie będzie możliwe, gdy nie będziemy mieli szansy, aby dostrzec zagrożenie. Funkcję taką zapewniają np. systemy EDR (ang. Endpoint Detection and Response), które pokazują nam co dzieje się „na końcówkach” naszej infrastruktury.
  • IZOLACJA
    W momencie, gdy operatorzy wejdą w posiadanie informacji, że nasza infrastruktura jest atakowana, musimy mieć możliwość szybkiego odizolowania tych jej elementów, które mogą znajdować się pod kontrolą atakujących.
  • UPRAWNIENIA
    Czasem sami dysponujemy rozwiniętą komórką ds. bezpieczeństwa (niekoniecznie w ramach 24/7/365 SOC), toteż wtedy ograniczamy uprawnienia firm zewnętrznych, będąc wysoce samodzielnymi już na warstwie operacyjnej. Jeżeli sytuacja jest odmienna, to pewnie będziemy chcieli nadać partnerowi szerokie uprawnienia, aby zdjął z nas ciężar utrzymywania ciągłości operacji oraz obsługi ewentualnych incydentów bezpieczeństwa.
  • CZAS REAKCJI
    Dostawca usługi SOC najczęściej jasno określa, ile czasu zajmie mu ewaluacja danego incydentu i określenie czy wskazanie jest typu false-positive (innymi słowy czy jest to fałszywy alarm) czy też wymaga podjęcia dalszego działania. Natomiast naszym zadaniem jest zrobić wszystko, aby wewnętrznie nie występowały zatory wydłużające czas reakcji.

W zależności od ustaleń przyjmuje się, że poza raportem z incydentów – zazwyczaj mają miejsce również regularne rewizje (miesięczne, kwartalne lub roczne) w ramach których operatorzy SOC dzielą się podsumowaniem za dany okres oraz mogą wskazać jednocześnie ewentualne punkty do poprawy.

Security Operations Center, to usługa realizowana w sposób ciągły, który realizowany jest na podstawie umowy abonamentowej.

Należy pamiętać o procedurze wdrożenia określanej jako onboarding, który może trwać od 1 do 90 dni w zależności od skomplikowania operacji, zastanych procesów bezpieczeństwa i wielkości ochranianej infrastruktury.

    Zapytaj o produkt

    Podaj swoje dane, a my się z Tobą skontaktujemy w sprawie wyceny usługi.