SIEM SOC

SIEM SOC – פתרון אבטחה מתקדם המשלב מערכות טכנולוגיות המנטרות תהליכים ואירועים חשודים במערכות, זיהוי פרצות אבטחה ותגובה בזמן אמת לאירועים.
המערכת אוספת נתונים ממקורות רבים: תעבורת רשת, שרתים, בסיסי נתונים ואפליקציות. ביצוע תיאום נתונים לזיהוי פעילות חשודה, כגון זליגת מידע או הצפנתו באופן לא לגיטימי.
איסוף המידע באופן רציף והצלבתו בניתוח מעמיק מאפשרת פיקוח וזיהוי דפוסי פעולה של משתמשים ומערכות הארגון. חשוב לקבל את השירות לאחר או במקביל לביצוע סקר אבטחת מידע בארגון להבה כוללת של המצב.

שירות SIEM SOC מסייע במניעה, איתור, ניתוח ותגובה לאירועי אבטחת-מידע. כמובן שהוא אינו מחליף שגרת הגנה המבוסס על נהלי אבטחת מידע.

בכל מקרה של חריגה, מערכת ההתרעות מפעילה את הצוות הכונן אשר מנתח פעולות חשודות, ניסיונות גישה בלתי מורשים, התקפות על הרשת או כל פעולה המנוגדת לחוקים שהוגדרו מראש.
מרכז בקרה אנושי הפועל 24 שעות ביממה, 7 ימים בשבוע 365 יום בשנה מקבל את ההתרעות בזמן אמת ומפעיל את צוות התגובה.

SIEM – ראשי תיבות באנגלית של: Security Information and Event Management
SOC – ראשי תיבות באנגלית של: Security Operations Center

SOC מרכז בקרת אירועי סייבר

תפקיד מרכז הבקרה הנו פיקוח באמצעות גורם אנושי על המערכות הטכנולוגיות, ניטור וניתוח פעילות האבטחה בארגון. תגובה בזמן אמת לאירועי אבטחת-סייבר באמצעות שילוב של פתרונות טכנולוגיים. מרכז האבטחה מאויש ע”י אנליסטים ומהנדסים אשר מספקים ניתוח וסיוע מקצועי לארגון לתפעול אירועי סייבר ואבטחת מידע. צוות המרכז עוקב ומנתח פעילות ברשתות, בשרתים, נקודות הקצה, בסיסי נתונים, יישומים ואתרי אינטרנט.
בשלב הראשון הנו הטמעת מערכות SIEM והגדרת יעדים ואסטרטגיה להגנת על מערכות המידע של הארגון.
בשלב השני, בהתאם לדרישות יבוצע הגדרות של מערכות הניטור ואיסוף הלוגים לזיהוי פעילות חשודה ברשת.
השלב השלישי הוא למעשה מצב שיגרה שכולל השגחה 24/7 ומקצה שיפורים ועדכונים רציף לצורך אופטימיזציה של המערכת בכדי למנוע התראות שגויות ולהבטיח כיסוי מירבי.

יתרונות ה-SOC

היתרון העיקרי של קיום מרכז הבקרה הנו שיפור גילוי אירועי האבטחה באמצעות מעקב וניתוח רציף של הפעילות. זמן תגובה הוא מרכיב חשוב ביותר לצמצום נזקי אירוע סייבר.
הפער בין זמן התקיפה לזמן הגילוי הוא רכיב קריטי המשפיע על היקף ועוצמת הנזקים. דרישות רגולציה ואבטחה בין לקוחות וספקים כוללים דרישות למערכות שליטה ובקרה, מנגנונים והסדרה של איתור, תגובה ודיווח לבעלי עיניין במקרים של אירועי סייבר.

  • מוקד אנושי 24/7 מאוייש במומחי אבטחה ואנליסטים.
  • תגובה מיידית לאירועי אבטחה בזמן אמת.
  • צמצום נזקי אירועי סייבר.
  • ניהול לוגים לזיהוי פעילות חשודה ברשת.

מערכת ניהול אירועים עבור siem soc

מערכת ה siem תפקידה לנהל במקום מרוכז אחד את התרעות אבטחת המידע בארגון.

מערכת זאת מתממשקת אל מעין חיישנים הפזורים ברשת, בהתאם לארגון.

חיישנים אלו שולחים התרעות מתאימות למערכת ודרכה ניתן להגדיר חוקים וקורלציות מתאימות.

בהתאם לחוקים הללו יקפצו התרעות אבטחה, אותן ניתן להגדיר לפי רמת חומרה.

המלצות למספר חוקים עקרוניים חשובים, כמובן שאלו רק חלק :

  1. כתובות חשודות. רשימת כתובות שבמהלך ההיסטוריה ביצעו פעולות חשודות.
  2. חוק עבור נגישות תקשורתית מן ה FW אל כתובת חשודות.
  3. חוק עבור פעולות סריקת פורטים ברשת.
  4. חוקים המתממשקים אל התרעות WAF עבור אתר מסויים.
  5. חוקים בהקשר ניסיונות DOS.
  6. חוקים עבור נגישות לשרתים רגישים, שרתי ניהול בארגון.

מערך ניטור siem soc

כאשר חיברנו את מקורות המידע שלנו למערכת ה SIEM  ויצרנו חוקים בהתאם, למעשה העמדנו כלי הגנה.

כמו כל כלי, יש משמעות לתפעולו. מערך ניטור חזק יופעל על ידי כוח אדם היודע לעשות שימוש אופטימלי בכלי.

יש חשיבות עצומה לרמת ההכשרה של כוח האדם במערך הניטור, לנהלי שגרת ההגנה ולזמני התגובה עבור ההתרעות שקופצות.

לעיתים יוסלמו דרכי הטיפול בהתרעות לגורמים אחרים בארגון ולא יטופלו עד הקצה על ידי מערל הניטור הראשוני.

שגרת ההגנה יכולה להגדיר באילו שלבים התגובה לאירועים עוברת בין צוותים שונים.

כמו כן במסגרת נהלי העבודה יוגדרו גם אופן הפעולה במקרים שונים ואופן התיעוד והאכיפה בארגון.

יש להפיק לקחים מן אירועים העולים בניטור וליישם על מנת לייצר חוקים טובים ומעודכנים יותר.

חשיבות רבה ישנה לתרגול שגרת ההגנה על ידי נסיונות תקיפה מכוונים מתוך הארגון.

באמצעות תרגילים ואימונים, יכולים לבדוק את חסינות ואמינות החוקים וכן לשפרם.

כמו כן נדרש להיות קשובים לעדכונים ולמתקפות השונות ברחבי האינטרנט על מנת להישאר רלוונטיים.

תרחישי התקיפה לארגון יכולים להיות רבים ומגוונים.

באמצעות דוחות רלוונטיים ניתן לבנות תרחישי תקיפה אופציונאליים ולבצע סיעור מוחות כיצד ניתן להגן.

שגרת ההגנה בנויה מרבדים רבים, החל מביצוע נהלים על ידי כוח אדם ועד לשימוש בכלים טכנולוגיים.