SOC Lite
Narastająca fala cyberataków oraz wymagania prawne, wymuszają potrzebę monitorowania i analizowania sytuacji bezpieczeństwa w firmie, stanowiąc przy tym wyzwanie organizacyjne i finansowe. Monitorowanie zdarzeń z zakresu bezpieczeństwa jest kosztowne i pracochłonne, wymaga „ręcznej” analizy zdarzeń oraz ich klasyfikacji: na dotyczące rzeczywistego ataku i będące fałszywymi incydentami. Każda firma, która uruchomi system monitoringu szybko orientuje się, że prób ataku są setki.
SOC Lite to nowa usługa cyberbezpieczeństwa w ofercie Orange – przedstawiciel trendu usług bezpieczeństwa, określanego jako „high fidelity alerts”.
SOC Lite to mariaż:
- systemów detekcyjnych,
- rozwiązań bazujących na machine learning,
- wyselekcjonowanych źródeł reputacyjnych wzbogacających dane.
Rozwiązanie wykrywa incydenty na podstawie ustalonych scenariuszy, łącząc wiedzę ekspercką z potrzebą klienta i możliwościami rozwiązania.
SOC Lite wspiera biznes poprzez realizacje najbardziej pracochłonnych działań, pozwalając specjalistom IT skupić się na jak najszybszym wyeliminowaniu powstałego zagrożenia.
Funkcje SOC Lite
Monitorowanie i wykrywanie
Elementem monitorującym i wykrywającym anomalie oraz cechy niezgodności z politykami bezpieczeństwa – przekazującym je następnie do analizy jest Zarządzany UTM. Funkcje monitorowania i wykrywania oparte są na logach pochodzących z poszczególnych modułów systemów Fortinet:
- Firewall,
- Intrusion Prevention System (IPS),
- Antywirus,
- Sandbox,
- Filtracja Web/URL,
- Kontrola Aplikacji.
Analiza
Naruszenia wykryte przez usługę Zarządzany UTM są weryfikowane pod kątem zbieżności ze scenariuszami (najczęściej obserwowane rodzaje ataków). W przypadku podobieństw, naruszenia są wzbogacane o dane pochodzące z własnych systemów, przygotowanych przez Orange Polska oraz wyselekcjonowanych zewnętrznych źródeł reputacyjnych. Wszystkie analizy wykonywane są automatycznie w trybie ciągłym.
Alerty i informacje o incydentach
Alert – gdy incydent zostanie zakwalifikowany jako niebezpieczny, każdorazowo i bezzwłocznie* wysyłany jest alert mailowy do klienta. Zawiera on informacje pozwalające zidentyfikować wykryte naruszenia w tym:
- namiary na zainfekowane urządzenie
- źródło ataku
- odnośniki do wybranych źródeł reputacyjnych
- rekomendacje dotyczące proponowanych działań
Informacja – dodatkowo w przypadku wykrycia podatności podczas skanowania publicznych adresów IP** klient otrzymuje informację dotyczącą:
- paneli logowania do urządzeń sieciowych
- usług sieciowych (DNS, NTP), które mogą być wykorzystane do ataków DDoS na inne systemy w Internecie
- usług, które mogą być wykorzystane do włamań i przejęcia kontroli nad systemami – UPnP
- rekomendację działań naprawczych
Uwaga: informowanie uwzględnia również automatyczną selekcję alertów generowanych z urządzeń UTM.
* Informacja wysyłana za każdym razem w trybie natychmiastowym po wykryciu incydentu zakwalifikowanego w scenariuszu.
** Informacja mailowa raz na dobę w przypadku wykrycia podatności.