Zer da?
SOC (Security Operations Center, Segurtasun Eragiketen Zentroa) bat erakunde bateko informazioaren segurtasuna bermatzeaz arduratzen den taldea da. Zentro horietan, segurtasuneko arriskua adieraz dezakeen jokabide anormal baten bila sareetako, zerbitzarietako, datu-baseetako, aplikazioetako eta beste sistema batzuetako jarduera aztertzen da. Oro har, SOCeko lanak bi modalitatetan egiten dira:
Bertako SOC: Horixe da eredu tradizionalena eta neurri handieneko enpresetan ikus daitekeena. Horietan, lanak egiteko beharrezko langileak, hardwarea eta softwarea barne mailan kudeatzen dira.
SOC zerbitzu gisa: Hirugarren batek eskaintzen du zerbitzua eta hark bere gain hartzen ditu zeregin horiek guztiak. Enpresa kontratatzailearen esku jartzen ditu zereginak garatu ahal izateko bere instalazioak, langileak, esperientzia, inteligentzia eta gaitasunak.
Zein da SOC baten egitura?
Hurrengo puntuetan azaltzen diren jarduerak 24x7 ordutegian modu eragingarrian egiten direla bermatzeko, SOC baten eragiketako oinarrizko egitura honako hau da:
- maila: SOCek jasotzen dituen alertak etengabe monitorizatzen dituzten operadoreek osatzen dute. Analistek segurtasun-alerta horiek ebaluatzen dituzte, eta SOCeko politikaren arabera aurrez zehaztutako atalasera iristen badira, 2. mailara igarotzen dira.
- maila: Analistek zehazten dute sistemak edo datuek eraginik jasan dute eta, hala bada, erantzun bat gomendatzen dute.
- maila: Prestakuntza maila altuko profesionalek osatzen dute. Gorabehera posibleak konpontzeaz gain, prebenitu ahal izateko gorabehera horiek bilatzeaz arduratzen dira.
Korrelazioko espezialistak: Ekitaldien korrelazioarekin eta SIEMen kudeaketarekin lotuta ezagutza handiak dituzten profesional teknikoek osatzen dute.
Inteligentzia arloko analista: Erasotzaileen portaera aztertzeaz eta disekzionatzeaz arduratzen diren profilek osatzen dute. Horren helburua da gainerako taldeei enpresako sarean portaera horiek detekta ditzaketen korrelazio-kasuak ezarri ahal izateko beharrezko informazioa ematea.
DFIR taldea: Segurtasuneko gorabeherei erantzuna emateaz arduratzen dira (Digital Forensic & Incident Response). Prestakuntza maila handiko eta segurtasuneko gorabeherak kudeatzen esperientzia duten profil profesionalek osatzen dute.
Funtzio nagusiak
SOC bakoitzak bere berezitasunak dituen arren, haren zereginek segurtasuneko gorabehera baten fase guztiak bilatzen dituzte: detekziotik hasi eta desagerrarazteraino. SOC batetik egin ohi dituzten oinarrizko zereginen laburpen bat da hau:
- Eskuragarri dauden baliabide guztien gaineko kontrola eta ikusgaitasuna izatea: babestu beharreko gailuak, aplikazioak eta prozesuak, eta haiek monitorizatzeko, detektatzeko eta babesteko erabiltzen diren sistemak eta tresnak.
- Monitorizazio jarraitua eta proaktiboa bermatzea mehatxuen detekzio goiztiarrerako edo aurreraturako, kalteak arindu eta prebenitzeko.
- Prebentzio-neurriak ezartzea segurtasuneko azken berrikuntzekiko eguneratuta egoteko, gorabeherei erantzuna emateko plana eta segurtasunarekin lotutako ekintzen plangintza diseinatuta. Etengabeko hobekuntza ezinbestekoa da ziberkriminalei aurrea hartzeko.
- Alertak aztertu eta kudeatzea haien kritikotasunaren eta lehentasunaren arabera sailkatzeko.
- Sareko jarduerarekin lotutako log-ak kudeatzea eta aztertzea, mehatxuak modu proaktiboan detektatzeko eta segurtasuneko arazoak ekiditeko. SIEM sistemak aplikazioetako, sistema informatikoetako eta segurtasun-sistemetako datu guztiak agregatzeko erabiltzen dira.
- Segurtasuneko gorabehera bat baieztatzen denean, horrek negozioaren jarraipenean izango duen inpaktua ahalik eta txikiena izango dela bermatzeko beharrezko ekintzak egitea eta erantzuna ematea. Era berean, arriskuan egon daitezkeen edo galdu diren datuak berrezarri eta berreskuratu beharko dira.
- Segurtasuneko gorabeheren kausa eta jatorria aztertzea eta horren berri ematea etorkizunean antzeko arazoak ekiditen laguntzeko.
- Araudia betetzen dela bermatzea.
Era berean, SOC batzuek funtzio hauetan espezialistak diren langileak izaten dituzte horiek guztiak erabilgarriago egiteko:
- Kalteberatasunen kudeaketa.
- Mehatxuen inteligentzia.
- Iruzurren itxiera.
- Legez kontrako Market edo Deep Web-ean salgai dauden kredentzialak berreskuratzea.
- Malwarea aztertzea.
- Sareko arkitektura diseinatzea.
Onurak
SOC bat izatearen (barne mailan edo zerbitzu gisa kontratatuta) onura nagusietako batzuk honako hauek dira:
- Segurtasuneko gorabeheren detekzioa hobetzea.
- Gorabeheren aurrean erantzute-denborak gutxitzea.
- Defentsa proaktiboa intzidentzien eta bidegabe sartzeen aurrean.
- Kostuak aurreztea segurtasuneko gorabeherei aurre egiteko garaian.
- Datuak babestea eta kontsumitzaileen konfiantza hobetzea.
- Segurtasun-eragiketen gaineko kontrol eta gardentasun handiagoa.
- Informazioaren esposizio-denbora gutxitzea.
- Gorabeheraren bat gertatuz gero, sistemak berreskuratzeko denbora gutxitzea.
- Dagokion sektorearen arabera, enpresan eragina izan dezaketen arriskuen gaineko ezagutza.
- Mugatuta eta pertsonalizatuta dauden korrelazio-kasuak sortzea.
Erreferentziak
https://www.s21sec.com/es/soc-gestionado-siem-como-servicio/