TOP5 błędów w SOC
By the way... NOC, SOC i CSIRT - czyli co się z czym je? Co raz częściej widzę rozwiązania, w których etap NOC przejmuje rula koleracyjna SOC pt. "hej, dawno tu nie było żadnych logów z tego log source'a - sprawdź to", ale dzisiaj nie o tym. Dzisiaj o tym, że cyberbezpieczeństwo to ekosystem, tak silny jak jego najsłabsze ogniwo.
Na schemacie wszystko płynie pięknie i logicznie. W praktyce… no cóż, uczymy się przez ból, czyli „zaznacz wszystko i zaznacz jako False Positive”. Niech rzuci kameniem, kto jako junior analityk nigdy sam tego nie zrobił ;)
🛡️ Zamykanie alertów z zamkniętymi oczami (SIEM): Kiedy z nieostrojonego systemu wylewa się 10k alertów dziennie, analityk L1 zamienia się w bota. Zaznacz wszystko i Oznacz jako "False Positive / Znane zachowanie". Statystyki rozwiązanych incydentów w Excelu świecą na zielono, szef jest zachwycony, a hakerzy w tle radośnie wykradają bazę HR.
🛡️ Samobójstwo przez automatyzację (SOAR): Skonfigurowanie playbooka z „automatycznymi akcjami blokującymi” tak genialnie, że po wykryciu jednego fałszywego skanowania portów, SOAR odcina od sieci główny kontroler domeny i profilaktycznie blokuje konto prezesa. Przynajmniej jest w 100% bezpiecznie, bo absolutnie nikt w firmie nie może pracować.
🛡️ Ślepa wiara w „Magiczne Pudełka” AI (EDR/XDR i Threat Hunting): Kupienie najdroższego systemu na rynku, zostawienie go na fabrycznych, domyślnych ustawieniach i pójście na kawę. Przecież pudełko ma naklejkę "Next-Gen AI/ML", więc na pewno samo wyłapie wszystkie zaawansowane zagrożenia. Nikt niczego aktywnie nie szuka.
🛡️ Śmietnik w Threat Intelligence: Podpinanie darmowych, przedawnionych list zablokowanych IP (IoC) z internetu sprzed 5 lat do firmowych zabezpieczeń w ramach „proaktywnej obrony”. Efekt? Zablokowanie połowy usług chmurowych Microsoftu, Windows Update i sparaliżowanie własnego biznesu.
🛡️ Eskalacja metodą gorącego ziemniaka: Zamiast zrobić rzetelną korelację i analizę, analityk w panice wrzuca do CSIRTu pierwszy z brzegu nierozpoznany alert (np. o usunięciu ciasteczka śledzącego) z wielką czerwoną etykietą: POTWIERDZONE ZAGROŻENIE. Zero kontekstu, czyste zrzucenie roboty na linię wyżej, żeby wyrobić własne SLA.
#SOC #SIEM #CSIRT #Cyberbezpieczeństwo #NIS2 #KSC
„(…) wystarczy, że odpowiesz sobie na jedno zajebiście, ale to zajebiście, ważne pytanie: (...).”, na cholerę Ci ten cały SOC i cyberbezpieczeństwo?
Jeśli prowadzisz firmę i nagle każdy zaczął Ci mówić jak to NIS2 dojedzie Ciebie, firmę i całą Twoją rodzinę to wyluzuj się - miesiąc vacatio legis, a później całe dwa lata* czasu na odpowiedzenie sobie na jedno...
// ej, ej... jakie dwa lata? - przecież jest 6 miesięcy na określenie się i dopisanie do katalogu i 12 miesięcy na wdrożenie(?). No taaaak, ale w ciągu pierwszych dwóch lat mają nie karać (a potem może kolejnych dwóch, itd. - może nigdy), no aaale wracając do tego jednego pytania...
- d*pochron czy robimy to naprawdę? Przeczytałem całą ustawę - tam jest tyle błędów, że nawet drewniany Rasiak by je okiwał po 0,7 litra (swoją drogą to zabawne jak przepchałem SIEM w Nasku...). Nieważne jaką ekipę SOC'ową wybierzesz - musisz im powiedzieć "chłopaki, mam to w d*pie!" i wtedy każdy fachowiec z IQ +50 z kolejnej polskiej SOCo-druciarni będzie wiedział co zrobić.
A jeśli naprawdę masz świadomość, że ransomware może skutecznie pozamiatać z planszy Twoją firmę (jak tysiące innych) to bardziej od znanej firmy, sprawdź jacy konkretnie ludzie wdrożą Ci SOC'a i kto będzie siedział za konsolą docelowo - czy zjedli na tym zęby przez ostatnie kilkanaście lat, czy może trafisz na genialny pomysł jak (wybitni) menedżerowie IBM o zatrudnianiu juniorów. I co... czujesz się zachęcony powierzyć bezpieczeństwo swojej firmy w ręce juniorów? ;)
Jak to śpiewa Kazik? "Że z tylu różnych dróg przez życie. Każdy ma prawo wybrać źle" - ważne, żeby zrobić to świadomie, HEJJJ!