Zbudowanie własnego centrum SOC to niemałe wyzwanie dla każdego przedsiębiorcy. Czuwanie nad bezpieczeństwem własnej firmy to coś więcej niż inwestycja w niezawodny sprzęt i odpowiednio dobrane oprogramowanie. To przede wszystkim konieczność zatrudnienia wykwalifikowanych specjalistów. Dlatego wychodząc na przeciw Państwa potrzebom, proponujemy usługę Security Operation Center!
Nasz SOC to wykwalifikowany zespół specjalistów Smart-Kom, którego głównym celem jest monitorowanie sieci i poprawa bezpieczeństwa Państwa organizacji. Wykorzystujemy przy tym mechanizmy wykrywania, analizowania i reagowania na incydenty związane z bezpieczeństwem IT.
SOC działa zarówno w oparciu o różne technologie, jak i dobrze zdefiniowane procesy i procedury. Głównym zadaniem SOC należy zapewnienie ciągłej ochrony danych i aktywów krytycznych, wzmocnienie infrastruktury organizacji, wspieranie zapewnienia ciągłości działania, przygotowanie organizacji i reagowanie na sytuacje kryzysowe w cyberprzestrzeni i przywrócenie prawidłowego działania po incydencie.
Naszą usługę podzieliliśmy na dwa poziomy monitorowania:
Fachowe doradztwo
Profesjonalne doradztwo z zakresu bezpieczeństwa IT oraz informatyki śledczej. Dzięki znajomości narzędzi i oprogramowania z zakresu Security IT oraz Computer Forensics wykorzystywanego przez firmy i laboratoria śledcze na całym świecie jesteśmy w stanie fachowo doradzić jakie rozwiązanie będzie najbardziej korzystne w infrastrukturze klienta.
Monitorowanie bezpieczeństwa
- Monitorujemy aktywność wszystkich procesów systemu Windows i wykorzystujemy predefiniowane reguły do rozpoznawania podejrzanego działania systemu. W razie wykrycia takiej aktywności w trybie natychmiastowym unieszkodliwiamy działanie złośliwego procesu.
- Chronimy użytkowników przed złośliwym oprogramowaniem ransomware. Nasza technologia pozwala monitorować i weryfikować wszystkie uruchamiane aplikacje w oparciu o ich zachowanie i reputację. Jest przeznaczona do wykrywania i blokowania procesów, które przypominają swoim zachowaniem działanie oprogramowania ransomware.
- W przypadku, kiedy konwencjonalne skanery antywirusowe pozostają bezradne wobec zaawansowanych złośliwych kodów nasza usługa pozwala monitorować zachowanie procesów w bezpiecznym, odizolowanym środowisku, tak zwanym SANDBOXIE. Takie podejście pozwala nam wykrywać nowe zagrożenia nieznane jeszcze dla standardowych silników antywirusowych.
- Monitorujemy aplikacje narażone na ataki exploitów (m.in. przeglądarki, czytniki dokumentów, programy pocztowe, Flash, Java i inne). Zamiast skupiać się tylko na identyfikatorach luk CVE, koncentrujemy się na rozpoznawaniu technik wykorzystywanych przez exploity. W momencie wykrycia próby wykorzystania exploitu, staramy się natychmiast blokować takie zagrożenie.
- Ochraniamy stacje robocze od strony sieci. Dzięki stałemu monitorowaniu weryfikujemy ruch, który dostaje się do zabezpieczanej stacji roboczej oraz ruch, który od niej wychodzi. Takie zabezpieczenia pozwalają np. wychwytywać fałszywe strony internetowe powodując tym blokowanie fikcyjnych stron np. bankowych. Co za tym idzie, ochraniając użytkowników przed podawaniem danych autoryzacyjnych w fałszywych miejscach.
Zarządzanie szyfrowaną transmisją przekazywania wrażliwych plików
Wdrożenie i pełna obsługa systemu do zarządzania szyfrowanymi urządzeniami i danymi. Dzięki czemu, każde urządzenie USB wyniesione poza mury firmy zostanie automatycznie zaszyfrowane. Jeżeli ktokolwiek zgubi takie urządzenie lub zostanie ono skradzione nikt nie pozna tajemnicy firmy, ponieważ dane urządzenie będzie działało WYŁĄCZNIE w określonym wcześniej komputerze.
Na pozostałych komputerach dane będą całkowicie nieczytelne. Szyfrowanie istotnych danych ma ogromne znaczenie dla bezpieczeństwa organizacji. Klient ma do wyboru szyfrowanie pełnych stacji roboczych lub tylko określonych plików czy folderów. Każda wiadomość email w prosty sposób może być zaszyfrowana. Daje to gwarancję, że jedynie adresat wiadomość będzie w stanie zapoznać się z jej treścią. Całość szyfrowania odbywa się poprzez hasła lub certyfikaty, czym można zarządzać z jednego centralnego miejsca.
Zarządzanie bezpieczeństwem, regułami i przepływem wszelkich dokumentów w firmie
Wdrożenie oraz pełna obsługa profesjonalnego systemu Data Loss Prevention chroniącego zasoby klienta. Każdy plik przetwarzający w firmie posiada indywidualne reguły, na podstawie których określeni użytkownicy posiadaj odpowiedni uprawnienia. W każdej sytuacji można zweryfikować pełny cykl życia pliku.
Cyber Threat Hunting
To aktywne wyszukiwanie zagrożeń, zazwyczaj w sieci wewnętrznej organizacji. Celem takiego podejścia jest wykrycie istniejących, aktywnych zagrożeń takich jak działania intruza. Uwzględniając w tym również wewnętrzne ataki (zagrożenia wewnętrzne) wykonywane na przykład przez pracownika działającego na szkodę przedsiębiorstwa (m.in. szpiegostwo gospodarcze).
Usługa Thread Huntingu cechuje się tym, że detekcje nie bazują jedynie na wykrywaniu powszechnie znanych ataków cyberprzestępczych. Jest to usługa dużo szersza, co pozwala na proaktywne wykrywanie incydentów oraz co najważniejsze detekcję ataków APT (Advanced Persistent Threats), które w znacznych wypadkach nie są wykrywane przez standardowe rozwiązania bezpieczeństwa IT wykorzystywane w infrastrukturze sieciowej. Przewagą Cyber Threat Huntingu jest to, że płacą Państwo za stały proces wykrywania incydentów, a nie gotową technologię.
Dzięki posiadaniu szerokiej wiedzy i doświadczeniu z zakresu zwalczania ataków cyberprzestępczych (prowadzenie licznych testów penetracyjnych, audytów bezpieczeństwa, oraz szkoleń z zakresu ataków hakerskich – Akademia Hackingu), a zarazem wiedzy z zakresu analiz powłamaniowych: informatyka śledcza i reagowanie na incydenty (posiadamy własne największe w Polsce Laboratorium Informatyki Śledczej), a także współpracy z najlepszymi w swoich branżach jesteśmy w stanie świadczyć wysoką jakość usługi Threat Huntingu.
Cyber Threat Intelligence (CTI)
stałe pozyskiwanie informacji z zewnętrznych źródeł o zagrożeniach dla organizacji. Usługa składa się z dwóch części: informacji dla zespołów bezpieczeństwa w wewnętrznych strukturach organizacji oraz przede wszystkim danych wykorzystywanych do automatycznego wzbogacania (tzw. data enrichment) wewnętrznych systemów monitoringu typu SIEM, IPS czy IDS. Nasza usługa obejmuje stałe monitorowanie: social media, fora dyskusyjne, dane pochodzące z sinkhole, sieci honeypot, a także sieci TOR, Darknet czy Deep Web.
Nasze wieloletnie doświadczenie z zakresu cyberprzestępczości oraz doświadczenie naszego partnera w zakresie budowy systemów CTI pozwala spojrzeć nam na potrzeby usługi w nieszablonowy sposób. Nie liczy się wyłącznie ilość przetwarzanych informacji, ale przede wszystkim wysoka jakość i przemyślane źródła danych. Ważna jest także współpraca z zaufanymi organizacjami celem wymiany wysokiej jakości źródeł danych o zagrożeniach. Jest to jedna z zalet naszego podejścia względem innych i konkurencyjnych usług monitorowania zagrożeń (CTI), która wynika z szerokiej eksperckiej wiedzy w różnych specjalizacjach z zakresu cyberbezpieczeństwa.
System Security Information and Event Management – SIEM
Centralne gromadzenie wszelkich logów z systemów, serwerów i usług sieciowych.
Systemy SIEM są istotnym elementem bezpieczeństwa infrastruktury sieciowej i zapewniają całościowy wgląd w to, co dzieje się w sieci w czasie rzeczywistym i pomagają w walce z zagrożeniami. Wyjątkowość rozwiązań SIEM polega na połączeniu zarządzania incydentami bezpieczeństwa z zarządzaniem informacjami o monitorowanym środowisku. Zgromadzone logi, które trafiają do systemu są na bieżąco analizowane wyszukując wszelkich anomalii występujących w logach gromadzonych przez urządzenia, które przesyłają je do centralnego systemu.