Bezpečnostní dohled jako služba

AUTOCONT Security Operation Centrum (AC SOC) nabízí nejen monitoring a dohled, ale také analýzu a návrh nápravných opatření, spolupracuje na jejich implementaci a provádí potřebné testování.

V čem jsme jedineční?

  • Pomocí zvoleného nástroje AlienVault USM využíváme rozšířených detekčních mechanismů, které pracují i s informacemi z dalších oblastí bezpečnosti jako je práce s aktivy, zranitelnostmi, narušení provozu atd.
  • AlienVault Labs a komunitní prostředí otevřené výměny bezpečnostních informací - OTX nám umožňuje využívat širokou “inteligenční bázi hrozeb” jako jsou například reputace IP adres, domén apod.
  • Naše řešení využívá principu federativního modelu, což nám umožňuje do našeho AC SOC replikovat pouze databázi kybernetických událostí a incidentů a původní tzv. „RAW“ data s časovým razítkem a digitálně podepsaná ukládat v lokalitě zákazníka, jako důkazní materiál pro případné pozdější šetření forenzního charakteru…
  • Velmi úzká vazba s AC Network Operation Centrem nám umožňuje pro řešení incidentů využít zázemí společného dispečinku, vzdálené správy, provozního monitoringu, L1 podpory a především potenciál desítek specialistů, jejichž know-how pokrývá hlubokou znalost kompletního IT prostředí našich zákazníků z různých komerčních oborů a odvětví a také veřejné správy.

Co je SOC a jak v AC funguje

Dohledovým systémem jsou generovány události, které čekají na další zpracování, analýzy a reakce. Zde nastupuje lidský faktor, který má zjistit s ohledem na prostředí a zájmy zákazníka, zda se jedná o skutečný kybernetický bezpečnostní incident (KBI). To ale není vůbec jednoduché. K zajištění stálého bezpečnostního dohledu je nezbytný fungující tým vysoce kvalifikovaných specialistů IT bezpečnosti, který využívá procesně i technologicky vyspělých vlastností tzv. Security Operation Centra (SOC).

Vlastní bezpečnostní tým a SOC je pro drtivou většinu společností a organizací ekonomicky nedostupný. AUTOCONT proto vybudoval vlastní Security Operation Centrum (AC SOC) a služby AC Bezpečnostního dohledu poskytuje zákazníkům prostřednictvím tohoto sdíleného zázemí, a především pomocí vlastního bezpečnostního týmu. Každý zákazník využívající služby AC Bezpečnostního dohledu je napojen na „Federační server“, umístěný v prostředí AC SOC. Všechny lokálně generované kybernetické bezpečnostní události (KBU), alarmy a incidenty (KBI) každého zákazníka jsou na tento server bezpečnou cestou replikovány. Bezpečnostní tým tak má globální přehled o všech dohledovaných zákaznících a dokáže včas a cíleně reagovat.

Nabídka služeb AC Bezpečnostního dohledu

Pokročilý bezpečnostní dohled

  • Analýza prostředí, identifikace technických aktiv a analýza dopadů
  • Pojmenování zodpovědných osob a nastavení konkrétních metrik
  • Nastavení sběru logů, dle potřebných požadavků legislativ a shod tak, aby sledoval jednotlivá rizika konkrétního aktiva - definici detekčních procesů
  • Definice procesů reakce, které jsou v souladu s platnou legislativou, ve shodě s regulatorními podmínkami a s bezpečnostní politikou a strategií zákazníka (“Response Plan”)
  • Pokud služba obsahuje pronájem SIEMU, včetně HW, řeší také sběr a uložení logů
  • Profylaxe poskytnutého HW a SW každý měsíc
  • Analýza logů a korelace událostí v reálném čase
  • Analýza událostí a identifikace a klasifikace možných incidentů
  • Alerting v reálném čase pomocí základních komunikačních nástrojů: e-mail, SMS, telefon
  • Reporting
    • měsíční report o událostech a incidentech s návrhy systematických opatření (“Lessons Learn”)
    • měsíční „Asset Discovery” SCAN (nová, objevená technická aktiva)
    • měsíční „Vulnerability” SCAN (scan zranitelností)
    • měsíční „základní NBA” SCAN (základní přehled o tom, kdo, s kým a jak nejvíce komunikuje)
  • Garance technického specialisty pro zahájení řešení kybernetického bezpečnostního incidentu do 4 hodin
  • Service Desk - zakládání incidentů, proaktivní komunikace o jejich řešeních tzv. Incident Response, komunikace s třetími stranami - NUKIB, UOOU, CSIRT.CZ apod.

 

AC SOC - MINI
Základní bezpečnostní monitoring s omezením:

  • 100 monitorovaných IP address nebo 1000 EPS
  • Real-Time data - min. 4 dny
  • Bez archivu
  • Hotová pravidla
  • 30 minut meeting se specialisty SOC tzv. Lessons Learned
Zájem ?