Esettanulmány címe:
SOC as a Service, Informatikai incidensek elhárítása mint szolgáltatás
Az esettanulmányban szereplő ügyfél ágazati besorolása:
információ, kommunikáció
Az esettanulmányban szereplő ügyfél piaci bemutatása - ágazat, cégméret, piaci körülmények, erőforrások:
Ügyfelünk budapesti alapítású és székhelyű cégként a világ 10 országában van jelen, hogy mindenhol a lehető legaktuálisabb és legmagasabb minőségű IT tanácsadási szolgáltatásokat tudjuk nyújtani globális partnereink számára.
Munkáik során kiemelt figyelmet fordítanak a technológiai fejlődés biztonsági kockázatainak csökkentésére is. Informatikai szakértőik sok éves fejlesztői, üzemeltetési és biztonsági tapasztalatokkal, valamint többen hazai és nemzetközi szakértői képesítésekkel rendelkeznek.
A megoldandó üzleti probléma bemutatása:
Bár ügyfelünk rendelkezett minden szükséges védelmi eszközzel (tűzfal, vírus és spam védelmi megoldások) melynek szükségesnek gondolt informatikai és üzleti értékei megóvására, azonban a belső vizsgálatok eredménye alapján felismerték, hogy folyamatosan érkező informatikai támadások észleléséhez és – elfogadható időn belüli – elhárításához szükséges erőforrások, eszközök, szaktudás és szakember gárda saját erőből történő felállítása és fenntartása nem valósítható meg költséghatékony módon.
Az alkalmazott megoldás bemutatása és a bevezetést követően elért üzleti előnyök:
Megoldásként az Andrews IT Engineering SOC as a Service szolgáltatását választották.
A SOC, Security Operation Center olyan szervezeti egységet takar, aminek a feladata az információbiztonsággal kapcsolatos események észlelése, feldolgozása és intézkedési terv, szakmai javaslat kidolgozása a felmerült problémák, biztonsági incidensek megoldására.
A SOC három fő tényezőből tevődik össze:
Emberi erőforrás
Megfelelő nagyságú emberi erőforrás, mely képes biztosítani a szükséges rendelkezésre állást.
Naprakész szaktudás
Megfelelő kompetenciájú szakértői gárda, mely képes elemzeni, értelmezni a történteket és megalapozott szakmai jelentést, illetve javaslatot tenni a feltárt problémával és annak megoldásával kapcsolatban.
Eszközök, környezet
Megfelelő gyűjtő, értékelő és elemző infrastruktúra (alkalmazások és rendszerek) melyek képesek a biztonsági események naplóit fogadni és feldolgozni.
Biztonsági események a nap 24 órájában és az év 365 napján előfordulhatnak. A támadások észlelése, megállítása, hatásainak mérséklése szempontjából kiemelkedő fontosságú a reagálási idő, amin belül a támadás észlelésre és elhárításra kerül. Mivel ezen események bármikor bekövetkezhetnek, az információbiztonságot fenntartó eszközök folyamatos reagálást és felügyeletet igényelnek.
A támadások és egyéb incidensek egy részét a meglévő biztonsági eszközök (tűzfalak, vírus és spamszűrő megoldások) képesek elhárítani és naplózni (sikertelen bejelentkezés, elutasított hálózati kapcsolat, vírusos csatolmány szűrése), azonban a védelmi eszközök számára ismeretlen támadási formákat, viselkedéseket nem képesek észlelni, illetve jelenteni. Ezért szükséges a védendő rendszerek naplóinak, viselkedésének monitorozása, elemzése. A védelmi eszközök által elhárított incidensek további támadások előjelei is lehetnek, tehát attól, hogy az a támadás nem volt sikeres nem jelenti azt, hogy a támadó feladta és tevékenysége további figyelmet ne érdemelne.