Wiele organizacji nie dysponuje odpowiednimi zasobami, by zapewnić nieprzerwane działanie zespołu monitorującego zdarzenia cyberbezpieczeństwa. W takich sytuacjach podmioty często decydują się na outsourcing SOC.
ComCERT proponuje rozwiązanie oparte na obsłudze zdarzeń przy wykorzystaniu udostępnionego przez Klienta rozwiązania klasy SIEM. Realizacja usługi polega na monitorowaniu oraz obsłudze zdarzeń na podstawie uzgodnionych z Klientem instrukcji, a także ich kwalifikacji oraz priorytetyzacji.
Obsługa kolejki zdarzeń prowadzona jest zdalnie w lokalizacji ComCERT, z wykorzystaniem stacji pośredniczącej. W celu zabezpieczenia łączności pomiędzy środowiskiem Klienta a środowiskiem ComCERT, zestawiony zostaje tunel VPN. Poprzez tunel ComCERT loguje się do dedykowanej stacji pośredniczącej, z której możliwy jest dostęp do konsoli systemu SIEM.
Proponowany przez ComCERT model Security Operations Center opiera się na podejściu typu SOA (Service Oriented Architecture),
a kompleksowa usługa składa się z trzech części:
Proces obsługi zdarzeń bezpieczeństwa proponowany przez ComCERT bazuje na wiodących praktykach z zakresu reagowania na incydenty komputerowe. Cykl życia incydentu oraz powiązane z nim aktywności SOC bazują na wzorcach „Good Practice Guide for Incident Management” (ENISA), „Computer Security Incident Handling Guide” (NIST) oraz normie ISO 27035 (Information Security Incident Management)./
Usługa może być świadczona w dowolnym reżimie czasowym (8/5, 24/7 lub „po godzinach”) i obejmować obsługę jednej lub wszystkich linii wsparcia, zgodnie z potrzebami organizacji.
1 Linia SOC
- Wsparcie ekspertów ComCERT 24/7
- Czas reakcji: 15 minut (od momentu wykrycia alertu do jego podjęcia przez Operatora)
- Czas obsługi incydentu: do 15–60 minut (zgodnie z uzgodnionym scenariuszem)
- Monitorowanie i detekcja zdarzeń
- Triage
2 Linia SOC
- Tryb 8/5 wraz z gotowością podjęcia działań w pozostałych godzinach
- Czas reakcji: 1 godzina
- Czas na przedstawienie zaleceń: 8 godzin
- Czas rozwiązania problemu: do skutku
- Analiza logów
- Analiza po incydencie
3 Linia SOC – CTAC
- Tryb 8/5 wraz z gotowością podjęcia działań w pozostałych godzinach
- Czas podjęcia działań: 8 godzin
- Analiza malware’u
- Konsultacje ekspertów ComCERT
- Zarządzanie scenariuszami
- Ocena bezpieczeństwa
- Zarządzanie źródłami Threat Intelligence