Co je SOC a jak funguje v AUTOCONTu

Dohledovým systémem jsou generovány události, které čekají na další zpracování, analýzy a reakce. Zde nastupuje lidský faktor, který má zjistit s ohledem na prostředí a zájmy zákazníka, zda se jedná o skutečný Kybernetický bezpečnostní incident. To ale není vůbec jednoduché.

K zajištění stálého bezpečnostního dohledu je nezbytný fungující tým vysoce kvalifikovaných specialistů IT bezpečnosti, který využívá procesně i technologicky vyspělých vlastností tzv. Security Operations Center (SOC). Vlastní bezpečnostní tým a SOC je pro drtivou většinu společností a organizací ekonomicky nedostupný.

AUTOCONT proto vybudoval vlastní SOC – AC Security Operations Center (AC SOC) a služby AC Bezpečnostního dohledu poskytuje zákazníkům prostřednictvím tohoto sdíleného zázemí a především pomocí vlastního bezpečnostního týmu.

Každý uživatel služby AC Bezpečnostního dohledu je napojen na „Federační server“, umístěný v prostředí AC SOC. Všechny lokálně generované Kybernetické bezpečnostní události, aletry a incidenty každého zákazníka jsou na tento server bezpečnou cestou replikovány. Bezpečnostní tým tak má globální přehled o všech dohledovaných zákaznících a dokáže včas a cíleně reagovat.

AC bezpečnostní tým

Protože kybernetický prostor nemá hranice a znalosti o jeho aktuálním stavu jsou klíčové i pro efektivní řešení lokálních Kybernetických bezpečnostních incidentů, opírá se bezpečnostní tým o vlastní znalostní bázi – AC SOC Threat Intelligence. Ta je tvořena především přímým napojením na globální znalostní bázi AlienVault LABS a dalším souborem zdrojů třetích stran. Využívá také komunitní platformy pro výměnu bezpečnostních informací „Open Threat eXchange“ (OTX). Znalosti pro řešení a předcházení kybernetickým bezpečnostním incidentům dále čerpáme z globálních i národních doporučení a bezpečnostních reportů, pomocí pečlivě vybraných internetových bezpečnostních portálů a v neposlední řadě také z vlastních měření a testů prováděných u zákazníků.

Každý člen týmu disponuje vysokou mírou odbornosti, zkušenostmi a přehledem z oblasti kybernetických hrozeb a je schopen zastávat v týmu požadované bezpečnostní role. Jak tedy spolupráce v týmu konkrétně funguje?

Strojová detekce neumí nahradit „lidský“, analytický pohled. Ten je zatím jediný, který v konečné fázi rozhodování dokáže do posuzování míry rizika (Security SCORE) vnést i celkový „kontext“ prostředí organizace.

Proto je třeba vygenerované aletry „ověřit“ a případně „redefinovat“ jejich míru rizika. Tímto procesem dojde k uzavření „False Positive“ (nepravdivých či nevěrohodných), nebo „akceptovatelných“ (nezajímavých)  alertů. V AC SOC je toto práce pro člena týmu v roli Operátora.  Ten u zbylých, „zajímavých“ Kybernetických bezpečnostních událostí a incidentů zakládá tiket v interním systému AC SOC (zákazník má náhled) a posunuje je k analýze na člena týmu v roli Analytika.

Pokud analýza ukáže, že o nic nejde, bude interní AC SOC tiket uzavřen a uveden v měsíčním reportingu. V opačném případě se jedná o Kybernetickou bezpečnostní událost, která svým charakterem může přejít v blízké době do statusu incidentu, nebo jde o skutečný Kybernetický bezpečnostní incident (KBI).

V tento okamžik, je dle komunikační matice kontaktována pověřená osoba zákazníka s rozhodovací pravomocí, jak s tímto „alarmem“ naložit. Dochází k předání na AC Service Desk, který startuje proces řízení incidentu v rámci smluvních závazků, SLA, legislativních povinností a komunikace s třetími stranami (NBU, CSIRT, UOOU…). KBI je předán na člena týmu v roli Experta. Ten KBI podrobí detailní analýze, provede klasifikaci a kategorizaci KBI a navrhuje operativní protiopatření vedoucí k eliminaci kybernetického útoku a následného vyřešení a uzavření KBI. Všechny tyto stavy a výsledky KBI jsou opět zahrnuty v měsíčním reportu.