SOC360 działa już od pięciu lat. Pierwszy ticket pojawił się w systemie 10 lutego 2021 roku. Od tego momentu liczba zgłoszeń systematycznie rosła - w styczniu tego roku przekroczyliśmy 500 000 ticketów.

Za każdą z nich stoi analiza, decyzja i odpowiedzialność konkretnego analityka. To także rozwój procesów, dopracowywanie współpracy w zespole i dostosowywanie się do zmieniającego się krajobrazu zagrożeń.

Z okazji 5-lecia poprosiliśmy zespół o podzielenie się swoimi doświadczeniami. W rozmowie prowadzonej przez Natalię Prochowską-Zawisza, naszą Content Manager zaglądamy za kulisy pracy SOC: jak wygląda dzień analityka, jakie wyzwania są dziś największe i co zmieniło się przez ostatnie pięć lat.

W artykule wypowiedzieli się:

• Filip Duch – Vice Head of Implementation SOC360
• Anna Michalska – Menadżerka ds. szkoleń SOC360
• Filip Perz – Analityk SOC360

Największy problem nie tkwił w technologii, lecz w procesach

Natalia: Pięć lat to sporo czasu. W tym okresie wydarzyło się naprawdę dużo, a Wy rozwijaliście się w zawrotnym tempie. Patrząc z tej perspektywy, co było dla Was największym wyzwaniem?

Kiedy wraca się do początków pracy w SOC, łatwo założyć, że największym wyzwaniem były zagadkowe alerty, trudne incydenty albo nowe narzędzia. Tymczasem problem okazał się dużo bardziej przyziemny – śmieje się Filip Duch

Filip Duch: Głównym problemem okazało się być przekazywanie sobie informacji. Po prostu nie sądziliśmy, że praca zmianowa wymaga przygotowania i przestrzegania odpowiedniej procedury – szczególnie przy długotrwałych analizach wykraczających poza pojedynczą zmianę. Wydawało nam się, że wystarczy szybka rozmowa albo kilka zdań wrzuconych na kanał komunikacyjny.

Rzeczywistość szybko nas zweryfikowała. W praktyce wiele ważnych informacji gdzieś po drodze ginęło. Osoby przychodzące na kolejną zmianę nie zawsze wiedziały, na jakim etapie jest sprawa i od czego powinny zacząć.

Nie pomagał też fakt, że zespół bardzo szybko rósł. Ludzi było coraz więcej. Przy takiej skali zaczął się ten proces rozjeżdżać i po prostu wymykać spod kontroli.

Natalia: Jak rozwiązaliście ten problem?

Filip Duch: Przearanżowaliśmy samą konstrukcję zmian. Po pierwsze – zwiększyliśmy ich liczbę do aż ośmiu w ciągu doby. Po drugie – sprawiliśmy, że zaczęły się mocno i wielopoziomowo zazębiać.

W praktyce w jednym momencie część osób jest w trakcie zmiany, część zaraz ją kończy, a część właśnie zaczyna. Zawsze istnieje ten okres współobecności. To właśnie dzięki zazębieniu zmian nie trzeba już formalnie ich przekazywać w jednym momencie, co minimalizuje problemy komunikacyjne.

Natalia: Wasza praca to nie tylko analiza alertów i reagowanie na incydenty, ale też rozmowy z klientami, tłumaczenie ryzyk i wspólne podejmowanie decyzji. Jakie pytanie pojawia się najczęściej, kiedy rozwiewacie wątpliwości klientów dotyczące funkcjonowania SOCa?

Filip Perz: „Skąd wiecie, że to realne zagrożenie?” albo: „Jak analityk odróżnia anomalię od prawdziwego ataku?” Te pytania pojawiają się regularnie. Klienci chcą zrozumieć, na podstawie czego podejmujemy tak ważne decyzje. Jest to pewnego rodzaju test naszej wiedzy i umiejętności.

Natalia: No właśnie, a skąd to wiecie?

Filip Perz: To nie jest jeden czynnik. Nie ma jednej reguły, jednego parametru, który mówi: „to już incydent”. Według mnie to przede wszystkim kompetencje, doświadczenie oraz intuicja.

Kompetencje, bo musisz dogłębnie rozumieć, jak system działa w trybie nominalnym, jakie procesy są standardowe oraz jakie zachowania są akceptowalne dla danego środowiska. Im lepiej znasz tę normalność, tym szybciej wychwycisz potencjalne zagrożenie. I wtedy zaczyna zapalać się pierwsza czerwona lampka, tylko, że jedna lampka to za mało, żeby mówić o incydencie.

Doświadczenie również robi ogromną różnicę. Jeżeli przerobisz odpowiednio dużą liczbę zgłoszeń, zaczynasz łatwo zauważać niepokojące sygnały. To one stanowią początek dużej układanki i dogłębnej analizy, często niewidocznych na pierwszy rzut oka.

Natalia: Padło też słowo „intuicja”. Co to właściwie znaczy?

Filip Perz: Intuicja jest budowana równolegle do doświadczenia, o którym wspomniałem wcześniej. Wiemy, że osoba atakująca działa zazwyczaj sprytnie. Ona chce się ukryć. Rozbija działania na wiele mniejszych kroków, z których każdy robi coś niewielkiego. Z tych małych elementów powstaje łańcuch przyczynowo-skutkowy. Wszystkie te poboczne działania, czyli sposób budowania łańcucha, próba maskowania się, rozbijanie działań zaczynają wskazywać, że to nie jest standardowe zachowanie. Intuicja pomaga w tych sytuacjach podjąć decyzję, że musisz zacząć szukać głębiej.

Natalia: Czyli realne zagrożenie jest „większe” albo „mądrzejsze”?

Filip Perz: Nie chodzi o to, że jest mądrzejsze. Chodzi o to, że próbuje nas zmylić. Próbuje oszukać. Próbuje się ukryć. Anomalia sama w sobie to jeszcze za mało, żeby mówić o incydencie. Kiedyś usłyszałem mądre zdanie: „Nie każda anomalia oznacza atak. Ale każda realna kompromitacja zaczyna się od anomalii”, myślę, że idealnie tutaj pasuje.

„Przekazywanie informacji to nasz obowiązek”

Natalia: Skoro mówicie, że doświadczenie i wyczucie są tak ważne, to rozumiem, że ogromne znaczenie ma u Was przekazywanie sobie tej wiedzy na bieżąco?

Filip Perz: Tak. Nawet uważam, że jest to odpowiedzialność każdego z nas. Każdy musi być na bieżąco z tym, co się dzieje. Z tym, jakie zagrożenia widzimy, jakie schematy zaczynają się pojawiać, co jest nowe, a co już znamy.

Natalia: A macie jakieś stałe formy wymiany wiedzy? Na przykład regularne spotkania?

Filip Perz/Filip Duch: Tak. Mamy regularne briefingi oraz wewnętrzne wykłady. Jeżeli widzimy jakieś zagrożenie, które jest popularne, albo takie, które nie wpisuje się w schemat „ataku, który wszyscy widzieli milion razy”, to omawiamy je na briefingu. Opowiadamy, jak wyglądało zdarzenie, co było nietypowe, na co warto zwrócić uwagę. Każdy może zadać pytanie, rozwiać wątpliwości, dopytać o szczegóły. Jest to niezwykle przydatny proces.

Natalia: Wspomnieliście też o regularnych szkoleniach. Jak to wygląda w praktyce?

Filip Perz: Mamy cały program szkoleniowy prowadzony przez Anię - naszą Menadżerkę ds. szkoleniowych.

Ania Michalska: Nasz program szkoleniowy to uporządkowany proces wdrożenia i stopniowego podnoszenia kompetencji, tak żeby każdy wiedział, na jakim jest etapie i co dalej przed nim. Jednocześnie jesteśmy bardzo dumni z naszego modelu, w którym każdy członek zespołu ma zarezerwowany w pracy czas na rozwój.

Praca pod presją czasu

Natalia: Praca w SOC często kojarzy się z szybkim tempem, pilnymi zgłoszeniami i koniecznością podejmowania ważnych decyzji. Wiele osób z zewnątrz wyobraża sobie ciągłą presję. Jak to wygląda w rzeczywistości?

Filip Perz: Presja jest odczuwalna, ale tylko w konkretnych sytuacjach.

Najczęściej wtedy, gdy widzimy, że coś jest nie tak i pojawia się wątpliwość, czy dane zdarzenie jest złośliwe, czy nie. W takich momentach liczy się jedno: ochrona klienta. To jest punkt wyjścia. Nie zaczynamy od rozbudowanej analizy wszystkich szczegółów. Najpierw reagujemy i zabezpieczamy to, co trzeba.

Staramy się zrobić wszystko, co w naszej mocy, aby jak najszybciej i jak najlepiej sklasyfikować incydent. Czasem oznacza to dodatkowe konsultacje, szybkie sprawdzenie kilku źródeł albo weryfikację z drugą osobą. Zdarzało się też wydzwaniać do siebie nawzajem po nocach, jeśli sytuacja tego wymagała. Presja bardziej wynika w tym przypadku z ogromnej odpowiedzialności.

Natalia: Jest to dla Was stresujące?

Filip Perz: Tak. To jest odczuwalne. Praca w trybie 24/7 oznacza zmiany, odpowiedzialność o każdej porze dnia i nocy, konieczność podejmowania decyzji pod presją. Natomiast, najbardziej cenię sobie fakt, że w takich sytuacjach nikt nie jest zostawiany sam sobie.

W sytuacjach, które wymagają przeanalizowania wielu wątków jednocześnie, zespół zaczyna działać razem. Jedna osoba patrzy na jeden aspekt, druga sprawdza coś innego, ktoś koordynuje całość. To powoduje, że nawet jeśli sytuacja jest stresująca, nie ma poczucia samotności z tym problemem.

AI w cybersecurity prędzej zaszkodzi niż pomoże

Natalia: Dużo mówi się dziś o automatyzacjach i sztucznej inteligencji w cyberbezpieczeństwie. Wasza praca w dużej mierze opiera się na doświadczeniu, wiedzy i manualnej analizie. Korzystacie z takich ułatwień?

Filip Perz: I to jest trudny temat, bo i tak i nie.

AI realnie przyspiesza pewne rzeczy. Na przykład wyszukiwanie informacji o nietypowych procesach. Jeżeli trafia się coś rzadkiego, mniej znanego, to narzędzia oparte na AI pomagają szybciej zebrać podstawowe informacje. Natomiast to nie jest coś, co wykonuje pracę za nas.

Żeby AI mogło faktycznie podejmować decyzje za analityka, musiałoby mieć dostęp do ogromnej liczby źródeł informacji, pełnego kontekstu organizacji oraz dysponować ludzkim wyczuciem.

Każdy klient działa inaczej:

• ma inny profil działalności, • pracuje w innych godzinach, • używa innego oprogramowania, • ma inne „normalne” zachowania w środowisku.

Filip Duch: Bez tego kontekstu automatyczna decyzja będzie po prostu błędna. Dlatego w cybersecurity AI jest wsparciem, ale jeśli ktoś traktuje je jako zamiennik doświadczenia i odpowiedzialności analityka, może szybciej zaszkodzić niż pomóc.

Natalia: Po pięciu latach działania 24/7, pół milionie zgłoszeń i tysiącach decyzji podejmowanych pod presją można mówić o liczbach. Można mówić o rozwoju procesów, dojrzałości operacyjnej czy technologii. Co Wy uważacie za największy sukces w ciągu tych 5 lat?

Filip Duch: Przede wszystkim to, że staliśmy się dojrzałą, samodzielną organizacją.

Wiele podobnych firm zatrzymuje się jednak na etapie start-upu. Działają szybko, reaktywnie względem aktualnie panującej koniunktury na rynku, często bazując na improwizacji i zaangażowaniu kilku kluczowych osób. To działa przez jakiś czas, ale trudno skalować taką organizację i utrzymać w modelu 24/7. Nam udało się przejść ten etap. Zbudowaliśmy strukturę, która nie opiera się na jednym czy dwóch liderach, tylko na zespołach, procesach i zbiorowej odpowiedzialności. Dziś jesteśmy organizacją, która potrafi działać stabilnie pod presją, rozwijać się i jednocześnie utrzymywać jakość.

Jeśli rozważasz monitorowanie bezpieczeństwa swojej organizacji w trybie 24/7 przez SOC, skontaktuj się z nami. Porozmawiamy o Twojej infrastrukturze, sprawdzimy obecny poziom ochrony i pokażemy, jak może wyglądać stałe monitorowanie oraz reagowanie na incydenty w praktyce.