Budowa własnego SOC to nie tylko technologia, ale przede wszystkim ludzie, procesy i konsekwentny rozwój kompetencji. Największym wyzwaniem jest rekrutacja i utrzymanie analityków – dlatego SOC360 stawia na juniorów, intensywne programy szkoleniowe i realny rozwój zamiast wąskich ról opartych o playbooki.

Operacyjnie SOC360 działa w modelu jednoliniowym, bez sztywnego podziału na L1/L2/L3 i bez playbooków, co pozwala analitykom prowadzić incydent od początku do końca, szybciej reagować i lepiej rozumieć kontekst ataku. Całość wspierają procesy CTI, OSINT, threat hunting, detection engineering oraz kontrola jakości analiz.

Technologicznie fundamentem są EDR/XDR i NDR, uzupełniane przez SIEM, własne laboratoria malware i zaplecze developerskie. Wniosek jest prosty: skuteczny SOC to złożony organizm, dlatego dla wielu firm szybszą i bezpieczniejszą drogą jest SOC as a Service, który daje natychmiastowy dostęp do dojrzałych procesów i doświadczonego zespołu.

Współczesne przedsiębiorstwa muszą stawić czoła coraz bardziej złożonym zagrożeniom cybernetycznym, co wymaga solidnych struktur obronnych. Jednym z kluczowych elementów strategii bezpieczeństwa jest zespół Security Operations Center (SOC), który monitoruje systemy bezpieczeństwa, analizuje dane i reaguje na incydenty w czasie rzeczywistym.

Budowa własnego SOCa wiąże się jednak z wieloma wyzwaniami. Wykorzystując doświadczenie naszego zespołu SOC360, postanowiliśmy omówić najważniejsze z nich oraz przedstawić, jak i dlaczego pracujemy bez podziału na linie i playbooki.

W tym artykule dowiesz się:

• Jak podejść do rekrutacji analityków SOC i rozwoju zespołu,
• Jakie procesy są niezbędne w organizacji,
• Jakie technologie wspierają analityków.

Budowa SOCa - Ludzie

Rekrutacja

Pozyskanie odpowiednich pracowników nie jest łatwym zadaniem. Eksperci, którzy często specjalizują się w kilku technologiach, mogą mieć trudności z pracą w dynamicznym, wielosystemowym środowisku, a ich wysokie oczekiwania finansowe nie zawsze idą w parze z gotowością do pracy operacyjnej od zaraz. Zespół SOC potrzebuje osób, które są otwarte na rozwijanie swoich kompetencji i adaptowanie się do szybkich zmian.

Z drugiej strony, młodsi pracownicy, tzw. juniorzy, również stanowią wyzwanie. Polski system edukacji, koncentrujący się na teorii i egzaminach, często nie przygotowuje młodych ludzi do praktycznej pracy w cyberbezpieczeństwie. Nawet absolwenci renomowanych uczelni mogą nie mieć wystarczającej wiedzy praktycznej i umiejętności.

Mimo to postawiliśmy właśnie na to rozwiązanie i do naszego zespołu dobraliśmy młodych, inteligentnych ludzi zafascynowanych cyberbezpieczeństwem, chętnych do praktycznej nauki i gotowych do ciężkiej pracy.

Programy edukacyjne i poszerzanie kompetencji

Opracowaliśmy program szkoleniowy, który pozwala juniorom zgłębić podstawy cyberbezpieczeństwa oraz zyskać doświadczenie w pracy analityka SOC. Zbudowaliśmy własne laboratorium, gdzie nasi pracownicy zdobywają praktyczną wiedzę na temat m.in. konfiguracji różnych systemów operacyjnych, czy budowania skomplikowanych sieci. Dopiero potem przechodzą oni do nauki w obszarze cyberbezpieczeństwa oraz zaliczają certyfikaty wewnętrzne, które poświadczają zdobywanie kolejnych kompetencji.

Po ukończeniu wszystkich etapów programu, osoby te mogą rozpocząć pracę analityków, pozostając jeszcze pod nadzorem seniorów, a po około roku po rozpoczęciu programu są gotowe do pracy samodzielnej.

Wynagrodzenie

W branży bezpieczeństwa IT wynagrodzenia są tematem częstych dyskusji. Analitycy mogą zarabiać od 5 do 60 tysięcy złotych miesięcznie. Nasi pracownicy są stale bombardowani zaproszeniami do rozmów przez headhunterów. I w tym przypadku można rozważyć dwie drogi:

1. Postawienie na mniejsze kompetencje w zespole, na przykład pierwszą linię, która wykonuje tylko playbooki bez dalszego rozwoju, co pozwala uniknąć gwałtownego podnoszenia wynagrodzeń, ale zwiększa rotację w zespole.
2. Postawienie na rozwój kompetencji, co wymaga dostosowania systemu wynagrodzeń do rosnących umiejętności, ale za to sprawia, że SOC jest lepiej przygotowany to wykrywania i blokowania incydentów, a analitycy usatysfakcjonowani i mniej skłonni do zmiany pracy.

W SOC360 zdecydowaliśmy się na opcję drugą.

Budowa SOCa – Procesy

Harmonogram

SOC musi działać przez 24 godziny na dobę. W przypadku, kiedy nasz zespół liczy 27 osób, odpowiednie ułożenie grafiku na dziesięć zmian jest wyzwaniem. Musimy stale monitorować ilość alertów, czas poświęcany na ich analizę oraz obciążenie pracy, aby zapewnić odpowiednie warunki pracy. Układanie harmonogramu to skomplikowana sprawa, ponieważ nie jesteśmy w stanie przewidzieć, kiedy nastąpią zaawansowane ataki, a przez to, kiedy będzie potrzebne większe obłożenie na zmianie. Dlatego musimy mieć zawsze w gotowości ludzi, których możemy dynamicznie dołączać do pracy operacyjnej. Ponadto dbamy również o preferencje pracowników, co pozytywnie wpływa na ich zadowolenie z pracy i efektywność działania. W związku z tym postanowiliśmy zastosować uproszczony model organizacyjny, czyli SOC jednoliniowy.

SOC oparty na jednej linii wsparcia

W trybie jednoliniowym staramy się utrzymać zbliżone kompetencje u każdego analityka. Wszyscy przechodzą przez ten sam program szkoleniowy, używają tych samych systemów i mają takie same uprawnienia. Każdy specjalista, który otrzymuje zdarzenie do analizy, może prowadzić ją tak długo i dokładnie, aż ma pewność co się wydarzyło i jak należy zareagować. W razie potrzeby analityk może skonsultować problem z innym członkiem zespołu, bez sztywnego podziału na linie. Jest to istotne, ponieważ posiadając jednolity zespół o silnych kompetencjach, łatwiej jest zarządzać harmonogramem pracy.

SOC bez playbooków

Każdy analityk SOC360 pracuje bezpośrednio na systemach generujących alerty, takie jak EDR, NDR czy systemy cloudsecurity. Otrzymujemy w związku z tym zdarzenia, które nie są jednoznaczne – opierają się na podejrzanej aktywności, która rzadko przebiega w powtarzalny sposób. Ponieważ analiza tych zdarzeń nie może być schematyczna, nie korzystamy z playbooków. Uważamy, że zmienność i dynamika środowiska cyberprzestępczego sprawiają, że nie ma standardowych odpowiedzi, które można z góry zaplanować ani playbooków, które byłyby uniwersalnie skuteczne. Playbooki często też ograniczają uwagę – ich brak pozwala naszym analitykom na szerszy ogląd sytuacji.

CTI, OSINT i inne procesy wspomagające działanie SOCa

Nawet najlepsze systemy EDR, NDR i cloudsecurity mogą nie być w stanie wykryć bardzo zaawansowanych ataków (lub mogą wykryć je na zbyt późnym etapie). Atakujący podszywają się pod typowe działania użytkowników, korzystają z zastanych na przejętych hostach narzędzi, po to, by pozostać niewidocznym w tłumie procesów i aktywności. Aby skutecznie wykrywać ataki, analitycy musza na bieżąco wiedzieć jakie są najnowocześniejsze techniki ataków, jakie są słabsze strony organizacji, gdzie jest większe ryzyko włamania. W tym celu stworzyliśmy dział CTI, który na bieżąco analizuje dane ze specjalistycznych źródeł i darkwebu, a następnie dzieli się tą wiedzą z resztą zespołu. Mamy tez OSINT którym analizujemy widoczność naszych klientów w sieci, szacujemy ryzyko oraz wykorzystujemy przy weryfikacji różnych hipotez. Ponadto, wprowadziliśmy proces kontroli jakości – wybrane zgłoszenia są ponownie sprawdzane przez innych analityków, a następnie komentowane – w celu utrzymania wysokiego poziomu naszych analiz oraz wyłapywania trendów i obszarów do doskonalenia. Kontrola jakości ma również dużą wartość edukacyjną, gdzie członkowie zespołu mogą uczyć się od siebie nawzajem.

Dodatkowo wykorzystujemy threathunting do sprawdzania, czy istnieją ślady ataków lub zagrożeń, które mogły nie zostać wykryte przez istniejące systemy bezpieczeństwa oraz detection engineering, którego używamy do tworzenia reguł analitycznych na podstawie najnowszych technik ataków oraz naszych doświadczeń.

Analiza danych BI (Business Intelligence) i Data Analytics również jest niezbędna do monitorowania trendów, identyfikacji problemów, oceny efektywności generowanych alertów i czasu pracy analityków. Jest to bardzo szeroki proces, który ma duży wpływ na efektywność działania SOCa.

Budowa SOCa – Technologie

SOC oparty na EDR/XDR

SOC musi operować z pomocą zaawansowanych technologii. Nasz zespół koncentruje się przede wszystkim na narzędziach typu EDR/XDR, które pozwalają nam precyzyjnie śledzić wydarzenia zachodzące na endpointach, co jest szczególnie ważne, ponieważ techniki ataków, stosowane przez grupy takie jak APT, często pozostawiają ślady właśnie tam.

Dzięki EDRom możemy szybko reagować na incydenty, np. poprzez natychmiastowe zatrzymywanie procesów i izolowanie ich w kwarantannie. Dodatkowo wykorzystujemy systemy NDR, które monitorują ruch sieciowy, co umożliwia nam wykrycie zdarzeń, które mogły zostać pominięte przez inne systemy. Często korelujemy dane z różnych systemów przy pomocy SIEMów, które mają dla nas wartość dopełniającą, ponieważ same w sobie są niewystarczające i nie dają możliwości aktywnej reakcji.

W pracy SOC niezbędny jest system obsługi zgłoszeń – można do tego celu wybrać rozwiązania open-source lub komercyjne i dostosować je do własnych potrzeb. W zespole SOC360 mamy również laboratorium do detonacji i analizy malware'u (często napotykamy podejrzane pliki, których funkcje i role są nieznane, i wymagają dokładnej analizy) oraz laboratorium do testowania nowych technologii, aby móc ocenić propozycje nowych systemów przed ich wdrożeniem.

Dodatkowo korzystamy ze wsparcia działu deweloperskiego, który zajmuje się dostosowaniem systemu obsługi zgłoszeń, automatyzacji oraz pisania skryptów, które mogą się przydać w analizie zgłoszeń lub analizie danych wewnętrznych.

Dowiedź się, dlaczego nie korzystamy z systemów SOAR.

Baza wiedzy

Jednym z poważniejszych wyzwań dla organizacji jest zarządzanie przepływem informacji oraz utrzymywanie aktualnych danych, zwłaszcza w dynamicznie zmieniającym się środowisku cyberbezpieczeństwa. Organizacje często dysponują wieloma źródłami informacji, takimi jak sprawy wewnętrzne, bieżąca sytuacja klientów, nowe zagrożenia czy aktualizacje systemów bezpieczeństwa. W związku z tym kluczowe jest stworzenie i wdrożenie odpowiedniego narzędzia, które umożliwi uporządkowane i intuicyjne dzielenie się informacjami oraz zarządzanie bazą wiedzy. Takie rozwiązanie pomoże uniknąć chaosu informacyjnego i błędów wynikających z korzystania z nieaktualnych danych.

SOC360: SOC as a Service nowej generacji

Jak widać, budowa SOCa nie kończy się na zatrudnieniu kilku osób i daniu im systemów do monitorowania. Bez odpowiedniej organizacji, wyróżnienia szeregu procesów i technologii zespół nie będzie skutecznie funkcjonował.

Naprzeciw potrzebom firm chcących zadbać o swoje bezpieczeństwo od zaraz, bez konieczności ponoszenia wysokich i długofalowych inwestycji, wychodzą gotowe rozwiązania takie jak SOC as a Service. Doświadczony zespół weźmie na siebie wszystkie wyzwania związane z organizacją SOCa, zapewniając Twojej organizacji bezpieczeństwo na wysokim poziomie.

SOC360 to zespół wysoko wykwalifikowanych ekspertów, którzy analizują problemy u źródła, wykorzystując przede wszystkim systemy EDR i NDR, cloudsecurity, jak i inne, przeznaczone do monitoringu, systemy cyberbezpieczeństwa. Dzięki brakowi podziału na linie i dbaniu o kompetencje zespołu nasi analitycy nie muszą sobie przekazywać zgłoszeń, co sprawia, że ich reakcje są szybkie i skuteczne.

Wzmocnij bezpieczeństwo Twojej firmy już dziś! Skontaktuj się z nami. Jeśli chcesz dowiedzieć się więcej o budowie SOCa, obejrzyj webinar "3 kluczowe wyzwania, z którymi się spotkasz, budując SOCa".