Budowa zespołów SOC i CERT/CSIRT

ComCERT, jako pierwszy komercyjny CERT w Polsce dysponuje wiedzą ekspercką i doświadczeniem w zakresie budowy i zarządzania komórkami SOC i CSIRT/CERT. Te kompetencje wykorzystujemy przy wspieraniu naszych Klientów w budowie takich komórek. Usługa taka polega na zaprojektowaniu oraz implementacji komórki SOC/CSIRT w środowisku Klienta. Realizacja projektu oparta jest na uznanych standardach branżowych z uwzględnieniem wszelkich wymagań ustawowych.

W ramach prac ComCERT dokonuje analizy obecnie funkcjonujących u Klienta procesów monitorowania cyberbezpieczeństwa oraz obsługi incydentów, a także opracowuje koncepcję SOC. 

Analiza SIM3

W pierwszej fazie projektu ComCERT przeprowadza badanie poziomu dojrzałości organizacji w zakresie zarządzania incydentami cyberbezpieczeństwa przy zastosowaniu metodyki SIM3. Zastosowanie tej metodyki pozwala na obiektywne sprawdzenie, czy struktury odpowiedzialne za zarządzanie incydentami działają zgodnie z najlepszymi standardami i praktykami. Szczegółowy raport pozwala wyznaczyć odpowiednie kierunki rozwoju przyszłej bądź obecnej komórki SOC/CSIRT

Analiza FIRST

Kolejnym krokiem w ramach fazy analitycznej jest wypełnienie ankiet oraz przeprowadzenie warsztatów na podstawie wykazu usług świadczonych przez zespoły reagowania na incydenty bezpieczeństwa komputerowego. Wykaz ten jest zawarty w dokumencie „FIRST CSIRT Framework – Computer Security Incident Response Team (CSIRT) Services Framework”. Ten krok pozwala ustalić jakie usługi powinien świadczyć nowo powstający zespół.

Analiza MITRE

W ostatnim kroku ComCERT przeprowadza warsztaty, które mają służyć wspólnemu zidentyfikowaniu modeli ataku, jakie będą miały zastosowanie w działalności SOC. Zastosowanie MAM w modelowaniu zagrożeń uwzględnia również identyfikację powiązań i przepływów pomiędzy technikami rozłożonymi na 12 taktyk (Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact). Zaletą takiego podejścia jest fakt, że niemal każda kolejno analizowana technika MAM posiada informacje dotyczące sposobu wykrycia (detection) i neutralizacji (mitigation) zagrożenia. 

Na podstawie takiej analizy ComCERT uzyskuje wiedzę odnośnie niezbędnych czynności reagowania na specyficzny incydent oraz jakie systemy cyberbezpieczeństwa i źródła danych będą miały zastosowanie w zakresie wykrywania i neutralizacji tego incydentu.

Koncepcja SOC / CSIRT

Na podstawie zebranych i przeanalizowanych informacji specjaliści ComCERT mogą zaproponować model organizacyjny SOC. Jest on prezentowany w postaci diagramu graficznego i dopasowany do specyfiki organizacji Klienta. W swojej metodyce budowania zespołów cyberbezpieczeństwa ComCERT kieruje się najlepszymi praktykami MITRE, SANS oraz Enisy. Po zaakceptowaniu wysokopoziomowego diagramu organizacyjnego, ComCERT SA przystępuje do stworzenia opisów komórek organizacyjnych oraz zadań i usług, które powinny być świadczone. Do zadań na tym etapie projektu budowy SOC należy między innymi: zdefiniowanie katalogu usług realizowanych przez SOC, określenie obszaru zadań objętych działaniem SOC oraz przypisanie zadań i usług do działów SOC, w tym określenie stanowisk (funkcji i roli) niezbędnych w poszczególnych działach oraz zakresów zadań dla tych stanowisk.

W ramach budowy koncepcji komórki SOC w organizacji ComCERT opracowuje lub dostosowuje zestaw procesów SOC. Zawiera on definicję ról i odpowiedzialności, diagram procesu w notacji BPMN, opis realizowanych czynności w ramach procesu, wymagane procedury i checklisty, a także szablony dokumentów. ComCERT proponuje także stworzenie zestawu playbooków, które będą dotyczyć obsługi (detekcji, klasyfikacji, priorytetyzacji, analizy, powstrzymania i neutralizacji) specyficznych typów incydentów. Wszystkie te scenariusze odpowiadają zdefiniowanym wcześniej modelom zagrożeń dla obszaru działania SOC i są prezentowane w formie procedury.

Implementacja

W ramach implementacji komórki SOC, ComCERT może wesprzeć organizację również w zakresie dostarczenia niezbędnego sprzętu oraz przeprowadzenia szkoleń dla personelu Klienta. Wedle życzenia organizacji ComCERT dostarcza niezbędne rozwiązania technologiczne wiodących producentów, a także wspiera w ich wdrażaniu w środowisku Klienta.