Security Operations Center

Security Operations Center (SOC) to Centrum Operacji Bezpieczeństwa, oparte o nowoczesne technologie, procedury oraz pracę ludzi odpowiedzialnych za szybkie wykrywanie zagrożeń. Zespół SOC najczęściej można spotkać w dużych firmach o zasięgu ogólnopolskim lub globalnym. Zazwyczaj w Centrum Operacji Bezpieczeństwa inwestują przedsiębiorstwa z sektora finansowego i publicznego.

W zespołach Security Operations Center dominują osoby znające się na branży IT, kryptologii i cyberbezpieczeństwie. Najczęściej oprócz odpowiedniego wykształcenia, posiadają one dodatkowe certyfikaty oraz liczne świadectwa ukończonych kursów i szkoleń z zakresu bezpieczeństwa. Niemniej ważne jest wieloletnie doświadczenie, które pozwala na jeszcze lepsze przewidywanie i eliminowanie cyberataków.

Do głównych zadań pracowników Security Operations Center należy aktywne monitorowanie sieci, wykrywanie zagrożeń i ich analiza oraz wdrażanie działań zgodnych z ustalonymi procedurami bezpieczeństwa. Stworzenie własnego SOC w przedsiębiorstwie jest sporym wyzwaniem, zwłaszcza w kwestiach finansowych i logistycznych. Konieczna jest inwestycja w oprogramowanie zapewniające odpowiednią ochronę antywirusową, stworzenie restrykcyjnych procedur na wypadek zagrożenia i przeszkolenie pracowników w dziedzinie cyberbezpieczeństwa. Konsekwencje wynikające z wieloletnich zaniedbań w bezpieczeństwie firmy mogą być bardzo poważne, a w skrajnych wypadkach doprowadzić nawet do utraty renomy i w konsekwencji zamknięcia dobrze prosperującego biznesu.

Niestety nadal w wielu firmach Centra Operacji Bezpieczeństwa w ogóle nie istnieją albo są poważnie zaniedbane finansowo, co zazwyczaj sygnalizują sami pracownicy. Wielu właścicieli i członków kadry zarządzającej bagatelizuje zagrożenie ze strony cyberprzestępców, nie widząc potrzeby rozbudowywania istniejącej infrastruktury i zwiększania nakładów na wdrażanie narzędzi, czy zatrudnianie specjalistów od szybkiego wykrywania zagrożeń.

Oprogramowanie HIS, znane także jako Host based Intrusion System, to środowisko służące do wykrywania włamań do systemu komputerowego. HIS jest w stanie monitorować zachowania infrastruktury na podstawie jej konfiguracji. Oprogramowanie potrafi kontrolować pakiety sieciowe, które są skierowane do konkretnego hosta oraz zweryfikować, która aplikacja nagle uzyskała niepowołany dostęp do ważnych zasobów organizacji. Ponadto, oprogramowanie HIS stale monitoruje stan systemu komputerowego i kontroluje takie elementy, jak pamięć RAM, system plików, pliki dziennika i sprawdzać, czy ich zawartość nie została zmieniona w trakcie ataku.

Host based Intrusion System opiera swoje działanie na sprawdzaniu, czy ewentualni hakerzy pozostawili ślady po działaniach w infrastrukturze komputerowej. Oprogramowanie HIS jest w stanie sprawdzić, czy na komputerze pojawiło się nagle oprogramowanie, które może szpiegować aktywność użytkownika i próbować wykraść ważne dane. Bardzo popularnym i powszechnie znanym rodzajem oprogramowania, które dynamicznie monitoruje aktywność użytkowników i aplikacji, jest program antywirusowy. Oprócz monitorowania stanu systemu potrafi on określić, czy dany program powinien mieć dostęp do zasobów, z których aktualnie korzysta.

Host based Intrusion System polega na bazie danych obiektów systemowych, które monitoruje. Oprogramowanie HIS zapamiętuje parametry każdego z kontrolowanych obiektów i tworzy z nich sumę kontrolną, która posłuży mu następnie do porównywania późniejszej aktywności aplikacji. Wszystkie zgromadzone sumy kontrolne są przechowywane w zabezpieczonej bazie danych. Gdy dochodzi do jakichkolwiek zmian w obrębie danego obiektu, oprogramowanie HIS porównuje zapisane rekordy z danymi, jakie ostatnio zarejestrował. Niestety, HIS nie jest doskonałym narzędziem do ochrony przed modyfikacją oprogramowania przez intruzów. Ingerencja w jeden z programów umożliwia zmiany w oprogramowaniu HIS. Wiele robaków i wirusów infekując komputer, próbuje wyłączyć systemy antywirusowe, aby te nie wykryły zmian w monitorowanych przez nie wartościach.