SOC | Security Operation Center

Centrum Cyberbezpieczeńtwa

Pomagam zrozumieć jak zaprojektować, wdrożyć i utrzymać.
Tak prosto, jak to tylko możliwe (chwilami aż za bardzo).

Oglądaj mnie na YouTube ​NIS2​

Wersja oficjalna, czyli kim ja to nie jestem
// schowany za siedmioma... działami

Przychodząc do firm typu Deloite, EY czy PwC - finalnie przychodzisz do mnie, nie wiedząc o tym. 7 lat przepracowałem w IBM na pierwszej linii frontu jako analityk w jednym z największych SOC na świecie (X-Force), obsługując równie duże korporacje. Kolejne kilka lat spędziłem jako architekt budując SOC od zera dla wielu polskich firm jak np. NASK. Od roku pracuję w międzynarodowym zespole Kyndryl przeprowadzając pełne wdrożenia usług SOC od AV, EDR, NDR, XDR do SIEM i SOAR.

A tak między nami, mordeczkami
// to jest [...] dramat! 

To niesamowite jak łatwo przepalić nawet ogromny budżet klienta i najzwyczajniej w świecie zrobić to (#@%!$#)... źle. Projekt, budowa i utrzymanie SOC'u przypomina trochę zakup samochodu - dopłacanie do małoistotnego wodotrysku kosztem bezpieczeństwa (np. słabych opon) nie jest najlepszym wyborem, a niestety tam gdzie brakuje wiedzy i doświadczenia pojawia się ułańska fantazja - na Twój koszt.

Eiusmod tempor

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Consectetur

Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Jak działa SOC?

Trochę jak drużyna piłkarska - wykopuje Szczęsny (urządzenia wysyłają logi), główkuje Krycha (logi trafiają do XDR/SIEM), każdy ma swoją określoną rolę, ale bardziej jak sztafeta bo kolejność działania jest kluczowa jak przy budowie domu - pierw fundamenty, później ściany i dach, czyli odpowiednio: projekt (dokumentacja), wdrożenie (integracja) i utrzymanie (SOC).

Dolor sit amet

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Etap 1. Pomyśl
// high/

Ustalenia warstwy biznesowej, żeby wiedzieć jakie źródła danych podłączyć i jak na nie patrzeć.

Po ludzku: musisz wiedzieć na co polujesz: - dzika, sarnę czy teściową i czy strzelasz prawdziwymi czy ślepakami (compliance).

Etap 2. Podepnij
// integracja urządzeń

Znając priorytetyzację urządzeń, ustalasz telemetrię, porotokoły, porty, adresacje

Po ludzku: to jak z listem, musisz wiedzieć do kogo wysyłasz i dlaczego inPost jest lepszy od poczty (zwłaszcza na Jagodnie).


Etap 3. Monitoruj
// analiza + tickety

Mając use-casy, wybrane techniki i taktyki Mittre attack, wiesz jakich potrzebujesz rul korelacyjnych.

Po ludzku: z perspektywy obserwatora czy Ty strzelasz czy do Ciebie strzelają - jeden huk, a jednak dla Ciebie kluczowy.

Etap 4. Reaguj
// this is sparta!

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Po ludzku: musisz wiedzieć na co polujesz: - dzika, sarnę czy teściową.

Na cholerę ten SOC?
czyli którą tabletkę wybierasz?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Niebieska tabletka - compliance

Lub  zapomnieć o wszystkich swoich niepokojach

Czerwona tabletka - prawda o świecie

Możesz pójśc drogą Neo

Cloud vs onpremise

Może zaskoczę Cię, ale cloud to zwyczajny hosting. Dlaczego? Pomyśl na chłopski rozum - jeśli coś, czego używasz nie stoi u Ciebie, to znaczy, że stoi u kogoś innego. 

Takich tematów jest dużo

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.