În actualul context global, în care tehnologiile avansează rapid, iar volumul datelor colectate și procesate este tot mai mare, companiile resimt nevoia de a-și proteja informațiile sensibile, cum ar fi date despre clienți, angajați, parteneri de afaceri sau contracte. Însă această misiune devine tot mai dificil de realizat. Ameninţările cibernetice sunt multiple, au o dinamică accentuată şi un caracter global nelimitat de granițele fizice, ceea ce le face dificil de identificat şi contracarat. Probabilitatea ca o companie să fie ținta a unui atac sau a unei operațiuni cibernetice a crescut odată cu gradul de sofisticare al celor care desfășoară activități de criminalitate cibernetică.
Pentru a se putea apăra în fața atacurilor cibernetice, companiile au la dispoziție mai multe variante. Una dintre măsurile defensive pe care companiile le pot utiliza împotriva atacurilor cibernetice este folosirea unui centru de operaţiuni pentru securitate (SOC – Security Operations Center) ce poate fi constituit în cadrul propriei organizații sau externalizat unor firme care oferă astfel de servicii.
Componentele sistemului
Prin intermediul SOC, nivelul de securitate cibernetică al unei companii este în permanență monitorizat și analizat pentru a-i menține capacitatea de apărare cibernetică. Sistemul monitorizează și analizează activitatea în rețea, servere, endpoint-uri (staţii de lucru, tablete, telefoane inteligente), baze de date, aplicații, site-uri și alte sisteme pentru a identifica activități neobișnuite care pot reprezenta indicatori ai unui incident de securitate sau ai unei compromiteri.
Un SOC are trei componente:
– echipa de securitate compusă din specialiști, responsabili de detecția, analiza și răspunsul la incidente cibernetice;
– procesele ce implică o standardizare clară a acțiunilor (a pașilor pe care echipa îi urmează) pentru a avea garanția faptului că nimic relevant nu este omis din analiză sau că un incident este „fabricat”;
– tehnologiile responsabile de agregarea datelor colectate din mai multe surse (rețea, log-uri și endpoint) astfel încât, în timpul unui incident, analiștii SOC să poată pivota, de la utilizarea sistemului de monitorizare ca unealtă de detecție, la folosirea lui ca unealtă de investigare pentru a identifica activitățile care au stat la baza creării incidentului de securitate.
Avantajul reacţiei rapide
Principalul avantaj al utilizării SOC în cadrul unei organizații este reducerea timpului de detecție a incidentelor prin continua monitorizare și analiză a datelor și proceselor. Capacitatea SOC de a fi operațional 24/7 le oferă companiilor ce dețin un astfel de sistem un avantaj în apărarea împotriva incidentelor și intruziunilor, indiferent de sursa acestora, momentul producerii sau tipul de atac. Practic, un SOC reduce diferența de timp între momentul compromiterii și cel al detecției și permite identificarea și remedierea acelor aspecte care au permis compromiterea.
Alte beneficii ale utilizării unui SOC sunt:
– minimizarea costurilor generate de compromiterea datelor, în urma unui atac cibernetic;
– realizarea unor politici de securitate adaptate nevoilor organizației;
– respectarea standardelor internaționale specifice industriei în care activează compania;
– consolidarea încrederii clienților și a angajaților față de companie.
Adoptarea unor măsuri stricte pentru a preveni pierderile de date este o metodă eficientă pentru menținerea prestigiului organizaţiei pe termen lung. Atât clienții cât și angajații au nevoie de certitudinea că informațiile lor sunt în siguranță.
Soluţii pentru orice companie
Construirea unui centru de operaţiuni pentru securitate, adaptat necesităților propriei companii, presupune parcurgerea câtorva etape. În primul rând este necesară o analiză internă pentru a determina care sunt punctele optime pentru amplasarea unor senzori, astfel încât să fie monitorizate din perspectivă cibernetică procesele informatice esențiale din organizație. Rezultatele acelei analize vor creiona, în cazul unei organizaţii, necesitățile cărora trebuie să le răspundă SOC-ul.
Următorul pas presupune o altă analiză, de natură financiară, care va stabili unde se va constitui acel centru: în cadrul propriei organizații sau externalizat. O companie mare va opta de cele mai multe ori pentru realizarea propriului centru, în timp ce o companie medie sau una mică poate lua în calcul externalizarea serviciului.
Costurile asociate operaționalizării și menținerii în funcțiune a propriului SOC nu sunt mici, deoarece includ atât cheltuielile cu personalul (compus din specialiști în cybersecurity, analiză malware, trafic și forensics), cât și cele asociate celorlalte componente: procesele și tehnologiile. Cu toate acestea, în funcție de tipul și volumul de date vehiculate în cadrul companiei, de domeniul său de activitate și de cota de piaţă, costurile asociate unui SOC pot fi minore, comparativ cu valoarea pierderilor în cazul unei compromiteri.
O altă etapă constă în crearea unui proces individualizat pentru a identifica și a elimina amenințările la adresa propriei companii. În acest moment este important ca toate sistemele incluse în SOC să fie corect definite.
Ultima fază presupune implementarea unor tehnologii utile activității derulate în SOC care să asigure elementele necesare realizării detecției și analizei, în funcţie de care să poată fi ulterior aplicate măsuri de contracarare a amenințărilor cibernetice la nivelul infrastructurii monitorizate.
Respectarea standardelor
În mediul de afaceri actual, în care se vehiculează foarte multă informație în format digital și în care sunt utilizate tot mai multe platforme cloud (de stocare în reţea), utilizarea unui centru de operaţiuni pentru securitate contribuie la protejarea datelor sensibile din cadrul companiei și la respectarea standardelor de protecţie specifice domeniului de activitate (ex: plăți electronice, aviație).
Un astfel de standard este definit de Legea nr. 362/2018, prin care au fost transpuse în legislația națională prevederile Directivei UE 2016/1148 ce stabilește măsuri pentru atingerea unui nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană (Directiva NIS).
Un SOC poate fi util operatorilor de servicii esențiale pentru economie și societate, definiți în legea menţionată, act care îi obligă să respecte anumite norme tehnice. Utilizarea unui SOC ar putea veni în întâmpinarea nevoii operatorilor de a se conforma legislației naționale și ar simplifica procesul de monitorizare a respectării, în cadrul propriilor rețele, a cerințelor de securitate stabilite.
Abstract
Along with the continuous advancement of technology, the business world, as we know it, is changing, shifting towards a faster, more convenient and more effective way of implementing business models and concepts. The majority of these actions require processing and storing a large amount of digital data which need to be secured in order to maintain or even boost the company’s brand integrity.
As cyberthreats evolve even faster, this becomes an even more difficult task to handle. By utilizing a Security Operations Center, either created within the organization or outsourced, companies can increase their analytic power (by combining skilled analysts with security automation) to enhance security measures, react faster and defend better against data breaches and cyber attacks.
Autori: Sebastian Caminschi și Anca Brote
