SOC központ tervezése és kialakítása

Szolgáltatásunk egy olyan csapat és munkafolyamat megtervezése, ami a biztonsági incidensek megelőzésének és folyamatos nyomon követésének megvalósulását teremti meg, más szóval a biztonságelemző és reagáló képesség tervezését, kialakítását jelenti.

Napjaink komplex támadási technikái megkövetelik minden közepes méretű, saját IT infrastruktúrát üzemeltető vállalattól, hogy aktívan képes legyen észlelni és reagálni az őt érő támadásokra. A SOC központból irányított, központosított elemző és reagáló biztonsági szolgáltatás kelti életre a számos biztonsági eszköz által kreált és rendelkezésre bocsátott adatot, naplóállományt, amely a megfelelően paraméterezett és szervezett feldolgozás nélkül értéktelen vagy időben elavult cselekvést tesz csak lehetővé.

A biztonságelemző és reagáló képesség kialakításához több szakaszon keresztül vezet az út.

• Szükséges legelőször a védendő értékeink azonosítása, a „védendő környezet” határainak meghatározása.
• Ezután kell következzen az IT környezetben (pl. hálózati tartományok, kiszolgálók, tárolók, alkalmazások, védelmi eszközök) fellelhető naplóforrások felmérése, az elemzésbe és értékelésbe bevonandó inputok tipizálása, a kinyerhető információk megismerése.
• Az elvárt biztonsági szint eléréséhez szükséges naplózási és elemzési követelmények teljesítésének függvényében szükséges lehet az egyedi naplófeldolgozó megoldások fejlesztése, testreszabása (egyedi parserek készítése).
• Csak ezek birtokában lehetséges a valós anomáliákat kiszűrni képes reagálóképesség kialakítása központi biztonsági naplóelemző és riasztási eszköz (SIEM) segítségével.
• A különböző naplóállományok feldolgozása és egymáshoz illesztése (Usecase-ekbe való szervezése), melynek keretében történik meg a korábbi lépésekben feltárt elemek egységbe kovácsolása, ami az automatizált és testre szabott válaszadás lehetőségét teremti meg.

SOC csoport működtetéséig vezető úton bármelyik lépésnél is tartson a szervezet (lásd fenti szakaszok), mi tovább tudjuk lendíteni a következő érettségi szintre.

Ha kényelmetlenül érzi magát ha a „ransomware”, „adatszivárgás”, „elszámoltatható IT” kifejezéseket hallja, nincs objektív képe az IT biztonság állapotáról, vagy éppen a biztonsági reagáló képesség definíciója szorul pontosításra, akkor kollégáink pont az ilyen kérdéseket várják, és készséggel segítenek.

A szolgáltatás eredménye

A szolgáltatás eredménye a szervezet biztonsági reagáló képességének érettségi szintjétől is függ. Éppen ezért a szolgáltatás első hozzáadott értéke, hogy megállapítjuk a jelenlegi érettségi szintet, IT biztonsági megoldások képességeit, együttműködési kereteit, továbbfejlesztési lehetőségeit és időtávját.

A felmérés eredményeként összeállítjuk azt az intézkedési tervet, mely a saját csoportba szervezett, biztonsági reagáló képesség megvalósításához, azaz a SOC kialakításához és üzemeltetéséhez szükséges. A fentieken túl, igény esetén, természetesen végig is vezetjük ügyfelünket ezen az úton.

Miért a KÜRT?

A KÜRT Zrt. informatikai piacon eltöltött több mint 30 éve során megtanultuk, hogy a hosszú távú és céltudatos gondolkodás az egyetlen módja annak, hogy a kihívásokra érdemi reakciót adhassunk. Ennek az egyenes következménye, hogy tisztában vagyunk értékeinkkel, képességeinkkel, így vállalásainkat is felelősen tudjuk megtenni. Éppen ezért gondoljuk úgy, hogy SOC (Security Operations Center) tervezésére és kialakítására bármely területen vállalkozunk.
Részt vettünk már világversenyek, országos és európai szintű események védelmének megszervezésében is.

A biztonsági reagáló képesség kialakítása hosszú távú és céltudatos gondolkodást igényel.

A reagáló képesség fejlesztésének bármelyik szakaszában képesek vagyunk beavatkozni, fejleszteni azokat.