5-8 minut

Jak reagować na cyberzagrożenia?

Ochrona zasobów IT firmy w czasach zmieniających się zagrożeń i w obliczu niedostatku specjalistów jest wymagającym wyzwaniem dla menedżerów ds. cyberbezpieczeństwa. Odpowiedzią jest zarządzany z zewnątrz stały monitoring i analiza ryzyka działająca 24 godziny na dobę.

CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU:
  1. DLACZEGO WZMOCNIENIE OBRONY IT JEST DZIŚ KONIECZNOŚCIĄ.
  2. JAKIE MOŻLIWOŚCI OFERUJE SECURITY OPERATIONS CENTER.
  3. DLACZEGO WYBÓR ZEWNĘTRZNEJ USŁUGI W TEJ DZIEDZINIE MOŻE OKAZAĆ SIĘ KORZYSTNIEJSZY NIŻ PROWADZENIE WŁASNEGO CENTRUM.
  4. JAKIE ZNACZENIE MAJĄ AUDYTY BEZPIECZEŃSTWA I TESTY PENETRACYJNE.

Budowa własnego systemu wykrywania i reagowania na incydenty cyberbezpieczeństwa to obecnie wyzwanie, z którym poradzić sobie mogą tylko największe przedsiębiorstwa. Jednocześnie przestępcy coraz częściej biorą na cel mniejsze firmy. Choć przedstawiają one mniejszą wartość dla włamywaczy, to łatwiej pokonać ich zabezpieczenia (o ile jakiekolwiek mają).

Według raportu „2023 Cyberthreat Defense Report” sporządzonego przez CyberEdge Group aż 72 proc. wszystkich firm na świecie zostało zaatakowanych przez ransomware – dla porównania w 2018 roku było to „tylko” 55 proc. przedsiębiorstw[1]. Aż 46 proc. z nich zdecydowało się zapłacić okup (dwa lata wcześniej szantażystom ulegała jedna trzecia firm). W co najmniej dwóch trzecich przypadków udało się odzyskać dane z kopii bezpieczeństwa. Ogółem średni koszt uporania się ze skutkami tego rodzaju ataku wynosił 1,82 mln dolarów – wynika z „The State of Ransomware 2023” firmy Sophos[2].

Z kolei dane zebrane przez Strongdm pokazują, że aż 46 proc. wszystkich incydentów bezpieczeństwa dotknęło firmy zatrudniające mniej niż tysiąc osób[3]. 37 proc. przedsiębiorstw zaatakowanych ransomware zatrudniało mniej niż 100 osób. Połowa z nich została zmuszona do zapłaty okupu. Małe i średnie przedsiębiorstwa są również najczęściej atakowane e-mailami ze złośliwą zawartością (1 na 323 wiadomości). Jednocześnie co druga firma tej wielkości nie posiada zespołu ani systemu zapewniającego choć minimalną ochronę przed zagrożeniami.

Ochrona na zlecenie

Kolejnym problemem jest rynek pracy – specjalistów ds. cyberbezpieczeństwa bardzo trudno zrekrutować, co przekłada się na koszty zatrudnienia. Ta sytuacja w najbliższym czasie raczej się nie poprawi, bowiem ochrona danych i zabezpieczanie systemów IT stały się przedmiotem nowych regulacji unijnych i krajowych, które nakładają w tym obszarze nowe obowiązki na przedsiębiorstwa.

W tej sytuacji wiele organizacji decyduje się na przeniesienie kompetencji tradycyjnego Security Operations Center (SOC) – własnego zespołu, własnego sprzętu i oprogramowania – do tzw. wirtualnego SOC. Najczęściej oznacza to korzystanie z zewnętrznych usług profesjonalistów w zamian za opłatę abonamentową, czyli w modelu SOC-as-a-Service.

Na tym właśnie polega oferowany przez T‑Mobile stały monitoring bezpieczeństwa z usługą SOC. Pozwala on firmom skorzystać z usług ekspertów dysponujących doświadczeniem i najnowocześniejszymi narzędziami pozwalającymi wykrywać incydenty cyberbezpieczeństwa i chronić się przed atakami – nawet nie posiadając własnego kompetencji w tym obszarze.

Podstawowe zadania SOC można podzielić na trzy kategorie. Pierwszą jest prewencja – tu mieszczą się m.in. początkowy audyt bezpieczeństwa oraz Threat Intelligence, czyli okresowe dostarczanie informacji i nowych zagrożeniach i sposobach obrony przed nimi.

Drugim filarem jest oczywiście ochrona – wykrywanie prób ataku i innych zagrożeń dla systemu IT firmy, stały monitoring oraz ogólne przygotowanie infrastruktury IT do ewentualnego incydentu bezpieczeństwa – np. wykonywanie cyklicznych kopii bezpieczeństwa oraz aktualizacje.

Wreszcie trzecim elementem jest wykrywanie i raportowanie, czyli tzw. SIEM (System Security Information and Event Management) pozwalający zbierać i analizować logi pod kątem możliwych incydentów. Kluczowe jest tu oczywiście kategoryzowanie incydentów (triaż) oraz reagowanie na nie, czyli obrona i mitygacja skutków incydentu. W T-Mobile działania te regulowane są w umowie typu SLA

Dodatkowe atuty – doświadczenie i koszty

Korzystanie z zewnętrznych usług w tej dziedzinie niesie szereg korzyści, spośród których zwrócimy tu uwagę na dwie najistotniejsze. Pierwsza to kompetencje i doświadczenie specjalistów pracujących w SOC, które obsługuje wielu klientów jednocześnie. Oznacza to dostępność zespołu ekspertów 24 godziny na dobę, siedem dni w tygodniu. Jednocześnie zespół ten dysponuje różnorodnymi kompetencjami – od zarządzania urządzeniami mobilnymi, po współpracę w środowisku chmurowym.

Usługi oferowane przez operatora telekomunikacyjnego mają jeszcze inną istotną cechę – specjaliści mają dostęp do większej ilości danych i telemetrii z różnych systemów, które pozostają pod ich opieką. A

Kompetencje specjalistów zespołu SOC T‑Mobile oraz zgodność z dobrymi praktykami potwierdza akredytacja CERT Trusted Introducer i spełnienie standardów ISO opisujących wymagania w obszarze bezpieczeństwa i zarządzania ciągłością biznesu. SOC działa również zgodnie z wytycznymi Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) oraz amerykańskiego National Institute of Standards and Technology w obszarze cyberbezpieczeństwa.

Drugim istotnym czynnikiem przemawiającym za korzystaniem z usług SOC-as-a-Service jest optymalizacja kosztowa. Nakłady, jakie przedsiębiorstwa musiałyby ponieść na budowę i utrzymanie własnego SOC, obejmują wynajęcie powierzchni, zakup sprzętu i oprogramowania oraz rekrutację i utrzymanie zespołu. Dla wielu firm, nawet działających w dużej skali, to wydatki przekraczające budżety działów IT. W dodatku usługi zewnętrznego SOC mogą być elastycznie wyceniane – organizacja będzie płacić tylko za to, co uzna za niezbędne. Ten model pozwala również na łatwe skalowanie działań bez ponoszenia dodatkowych kosztów na ludzi i sprzęt. Nie bez znaczenia jest też tempo wdrożenia takiego rozwiązania – budowa własnego SOC od podstaw może zająć miesiące, a nawet lata.

Jak to wygląda w praktyce? T‑Mobile policzyło koszty dla funkcjonowania SOC przez trzy lata w firmie zatrudniającej 100 pracowników biurowych. W przypadku własnego SOC koszt sięga co najmniej 3,5 mln złotych. W tym samym okresie – w zależności od wersji i wykupionych usług – koszt SOC w T-Mobile mieściłby się w granicach 0,5 – 1,3 mln zł.

Te wyliczenia potwierdzają analizy TCO (całkowitego kosztu posiadania) przeprowadzone przez analityków Frost & Sullivan[4]. W przypadku największych przedsiębiorstw wdrożenie własnego SOC jest ok. czterokrotnie droższe niż skorzystanie z usług zewnętrznych. Ta różnica zwiększa się istotnie dla firm małych i średnich – tu rozwiązanie SOC-as-a-Service jest 8- 9 razy tańsze niż budowa własnego centrum. Najistotniejszą pozycją we wszystkich scenariuszach są koszty osobowe.

Audyty i testy będą koniecznością

Wchodzące właśnie nowe regulacje w zakresie cyberbezpieczeństwa na poziomie Unii Europejskiej – m.in. NIS2[5] oraz DORA[6] – oznaczają nowe obowiązki dla menedżerów zajmujących się w firmach cyberbezpieczeństwem. Obejmują one m.in. przeprowadzanie audytów cyberbezpieczeństwa pozwalających określić aktualny stan przygotowań dla potencjalny incydent. Niektóre przedsiębiorstwa będą musiały prowadzić okresowe testy penetracyjne, których celem jest symulacja ataku i ocena procedur cyberbezpieczeństwa w organizacji. Zarówno audyt, jak i testy penetracyjne mogą być elementem usług świadczonych przez ekspertów T‑Mobile.

Najważniejsze wnioski

Wszystkie firmy, niezależnie od wielkości, powinny w sposób świadomy i profesjonalny zająć się bezpieczeństwem swoich systemów informatycznych. Koszty zaniechań w tej dziedzinie mogą być ogromne – i nie chodzi tu tylko o straty w wyniku działania przestępców, ale również o ewentualne kary przewidziane w nowych regulacjach.

Co zatem powinien zrobić CISO chcący uruchomić lub udoskonalić Security Operations Center?

  • Dokonać oceny ryzyka w połączeniu z audytem bezpieczeństwa IT.
  • Obliczyć koszty wdrożenia (lub rozbudowy) własnego SOC i porównać je z kosztami korzystania z usług SOC świadczonymi przez dostawców zewnętrznych.
  • Ocenić jakość tych usług i oszacować czas niezbędny do wdrożenia zmian w obu wariantach.
  • Przekonać zarząd firmy o konieczności wzmocnienia systemu monitoringu bezpieczeństwa i reagowania na incydenty.

[1] https://www.statista.com/statistics/204457/businesses-ransomware-attack-rate/

[2] https://assets.sophos.com/X24WTUEQ/at/c949g7693gsnjh9rb9gr8/sophos-state-of-ransomware-2023-wp.pdf

[3] https://www.strongdm.com/blog/small-business-cyber-security-statistics#small-business-cybersecurity-overview

[4] https://cybersecurity.arcticwolf.com/rs/840-OSQ-661/images/AWN_SOC-as-a-Service-or-DIY_Infographic.pdf?a=infographics

[5] https://www.traple.pl/dyrektywa-nis-2-srodki-zarzadzania-ryzykiem/

[6] https://www.pwc.pl/pl/artykuly/dora-dlaczego-to-jest-dla-ciebie-istotne.html

Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Data publikacji: 26.10.2023

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.