Kybernetické hrozby se dnes nevyhýbají ani středním podnikům ani kritické infrastruktuře. Organizace čelí ransomwaru, pokročilým persistentním útokům (APT), únikům dat a zranitelnostem v dodavatelském řetězci – přičemž budovat vlastní tým bezpečnostních specialistů je časově i finančně náročné. Právě na tento problém reaguje AXENTA CyberSOC, specializované centrum kybernetické bezpečnosti provozované společností AXENTA, které zákazníkům nabízí komplexní bezpečnostní dohled formou služby.
Co CyberSOC ve skutečnosti dělá
CyberSOC funguje jako Security Operations Center (SOC) provozovaný jako služba (Security as a Service, SaaS). Zákazník připojí vlastní nebo outsourcovanou infrastrukturu na bezpečnostní monitoring centra a získá nepřetržitý dohled nad svým prostředím bez nutnosti budovat vlastní SOC. Centrum pracuje v režimu 24×7 a pokrývá celý životní cyklus bezpečnostního incidentu – od detekce přes analýzu až po nápravu.
Technologický základ služby tvoří kombinace nástrojů od světových výrobců, jako jsou ESET, IBM, Micro Focus, One Identity a Progress/Flowmon. Konkrétně jsou v provozu nástroje pro Log Management, SIEM (Security Information and Event Management) a SOAR (Security Orchestration, Automation and Response), doplněné o ticketingový systém pro správu incidentů. Analytici pracují s daty v reálném čase pomocí korelačních pravidel, přičemž výstupy jsou přístupné zákazníkovi prostřednictvím centrálního dashboardu CyberCopter.
Služba pokrývá nejen klasické IT prostředí, ale také OT infrastrukturu (SCADA systémy), IoT zařízení a fyzickou infrastrukturu. To je z hlediska průmyslových podniků podstatné – monitoring výrobní infrastruktury probíhá pasivními metodami, které nezasahují do chodu výrobních procesů.
Analytické vrstvy a odborný tým
CyberSOC je organizován do více úrovní analytické práce. Operátoři L1 zajišťují nepřetržitý provoz a první triáž událostí. Analytici L2 a L3 se věnují hlubší analýze incidentů, forenzní práci (DFIR – Digital Forensics and Incident Response) a aktivnímu vyhledávání hrozeb metodou threat hunting, včetně přístupu označovaného jako „hunting unknown-unknowns“, tedy hledání dosud neznámých vzorců chování.
Součástí týmu je také CSIRT (Computer Security Incident Response Team), který zajišťuje komunikaci se zákazníkem i s dozorovými orgány v případě kybernetického incidentu s legislativními dopady. Centrum pracuje s komunitními zdroji hrozeb prostřednictvím standardů STIX a TAXII a je zapojeno do klastrů kybernetické bezpečnosti, což umožňuje rychlou aplikaci informací o zero-day zranitelnostech přímo do prostředí zákazníka.
Modulární architektura
Základní vrstva služby zahrnuje sběr logů, jejich šifrovaný přenos a bezpečné uložení, detekci incidentů, reporting a přístup do dashboardu CyberCopter. Na tuto základní vrstvu lze navazovat doplňkové moduly podle potřeb konkrétní organizace.
Mezi dostupné moduly patří Vulnerability Management pro správu a prioritizaci zranitelností, Operational Monitoring pro dohled nad provozní infrastrukturou, Privileged Access Management (PAM) pro řízení přístupu privilegovaných uživatelů, Network Detection and Response (NDR) pro analýzu síťového provozu a User and Entity Behavior Analytics (UEBA) pro detekci anomálního chování uživatelů a strojů. Tato modulárnost umožňuje přizpůsobit rozsah služby konkrétním potřebám zákazníka, jeho infrastruktuře i rozpočtu.
Legislativní soulad a dostupnost
CyberSOC je navržen tak, aby organizacím pomohl plnit povinnosti vyplývající z aktuální legislativy – konkrétně ze Zákona o kybernetické bezpečnosti (ZoKB), evropské směrnice NIS2, nařízení GDPR a normy ISO 27001. Reportingové funkce a dokumentace incidentů přímo odpovídají požadavkům na prokazatelnost přijatých bezpečnostních opatření.
Provozní dostupnost je zajištěna redundantně ve dvou geograficky oddělených lokalitách – v České republice a na Slovensku. To garantuje vysokou dostupnost služby i v případě výpadku jednoho datového centra.
Napojení zákazníka na CyberSOC je procesně jednoduché. Po úvodní konzultaci a analýze stávajícího prostředí je možné mít službu zprovozněnou do jednoho týdne od akceptace nabídky. AXENTA přitom disponuje více než desetiletými zkušenostmi s implementací a provozem SOC na českém a slovenském trhu.
Více informací o službě AXENTA CyberSOC je dostupných na adrese cybersoc.cz.
