Skip links
SOC as a Service

Safetech SOC as a Service oferă viteză de reacție și acuratețe în detectarea amenințărilor

Safetech SOC as a Service oferă viteză de reacție și acuratețe în detectarea amenințărilor

Operat in-house sau externalizat către o companie specializată precum Safetech Innovations, un Security Operations Center contribuie esențial la îmbunătățirea posturii de securitate a unei organizației și creșterea rezilienței cibernetice. În esență, Safetech SOC as a Service oferă monitorizare continuă (24/7) a rețelei, sistemelor și datelor unei organizații, identificând și abordând potențialele amenințări înainte ca acestea să escaladeze. Totodată, pentru că amenințările și atacurile evoluează constant, serviciile de tip SOC externalizat contribuie și la alinierea securității cibernetice cu realitatea din mediul cybercrime. Prin contractarea serviciilor de Security Operations Center ale Safetech, companiile elimină problemele generate de gestionarea și remedierea amenințărilor, angajarea, pregătirea și motivarea resurselor umane necesare și ținerea sub control a costurilor. Între beneficiile oferite de Safetech SOC as a Service, un rol important îl are monitorizarea sistematică a indicatorilor de calitate a serviciilor de securizare furnizate și îmbunătățirea continuă a acestora. În cadrul acestui obiectiv, Safetech urmărește continuu îmbunătățirea acurateții detecției de amenințări, așadar reducerea ratei de detecții fals pozitive și fals negative. În acest articol vom prezenta o serie de exemple de acțiuni de îmbunătățire efectuate de echipa Safetech SOC și rezultatele obținute.

Beneficiile majore ale utilizării Safetech SOC as a Service

Safetech Innovations oferă o acoperire extinsă a riscurilor de securitate cibernetică, sprijinindu-se pe experiența vastă a echipei sale și pe o gamă diversificată de servicii specializate. Cu acces la unelte avansate și servicii de Threat Intelligence, echipa din Security Operations Center, care in prezent investighează o medie de 12.000 de alerte de securitate/lună și tratează, în medie, 150 de incidente de securitate/lună, valorifică experiența dobândită pentru a anticipa și gestiona riscurile similare în mod proactiv. Expertiza echipei de analiști certificați asigură o abordare completă a riscurilor și ajută clienții să maximizeze valoarea investițiilor existente în soluții de protecție cibernetică. Totodată, serviciile SOC asigură monitorizare non-stop, printr-o echipă structurată, organizată și instruită de peste 30 de specialiști experimentați. Prin externalizarea operațiunilor de securitate către Safetech, companiile beneficiază de predictibilitate financiară, eliminând costurile ridicate asociate dezvoltării și funcționării unui SOC intern. Calitatea serviciilor este confirmată de acreditări și certificări de prestigiu, precum Trusted Introducer, NICP, ISO 9001 și 27001, demonstrând un angajament solid față de excelența tehnică și operațională. La nivel operațional, companiile care au contractat Safetech SOC as a Service raportează:
  • Reducerea timpului de detecție și răspuns la amenințări. Echipa SOC Safetech folosește tehnologii avansate precum machine learning și automatizarea proceselor pentru a detecta anomaliile și amenințările în timp real. Aceste instrumente analizează volume mari de date în cadrul cărora identifică rapid tipare de comportament neobișnuite, reducând astfel timpul de reacție. Astfel, atacatorii au mai puțin timp să compromită sistemele, iar echipa SOC reușește să neutralizeze amenințările înainte ca acestea să producă efecte negative importante asupra organizației.
  • Îmbunătățirea acurateții detecției de amenințări. Un răspuns rapid este inutil dacă nu este corect. Safetech SOC as a Service urmărește continuu reducerea numărul de alarme false, îmbunătățind focusul pe amenințările reale. Astfel, sunt eliminate pierderile de timp și resurse cauzate de alarmele false, îmbunătățind eficiența și reducând stresul operațional al echipelor de securitate.
  • Îmbunătățirea nivelului de protecție prin măsuri proactive. Serviciile SOC oferite de Safetech pot include analize avansate și raportari post-incident care evidențiază cauzele și propun măsuri de prevenire a unor incidente similare. Astfel, mijloacele și procedurile de monitorizare ale clienților sunt permanent actualizate și optimizate, pentru a obține o rată ridicată de identificare și blocare a amenințărilor în stadii incipiente, reducând riscurile și creând un mediu IT mai sigur.

Safetech optimizează permanent activitatea din SOC

Safetech aplică un proces intern de îmbunătățire continuă a serviciilor de Security Operations Center furnizate clienților săi. În continuare prezentăm un set de cinci exemple de acțiuni de îmbunătățire aplicate recent în cadrul centrului de operațiuni de securitate al Safetech și rezultatele obținute prin aceste acțiuni.

• Detectarea fișierelor malware polimorfice prin integrarea de sisteme sandbox avansate.

Echipa din SOC a observat că anumite fișiere malware își schimbă semnătura pentru a evita detecția bazată pe reguli fixe (fals negative). Pentru a contracara acest aspect, analistii au configurat un sistem sandbox care analizează comportamentul fișierelor în medii izolate. Malware-ul este executat și analizat pentru a identifica acțiuni suspecte (ex. criptarea datelor, conectarea la servere externe). Această acțiune a avut ca rezultat creșterea ratei de detectare a fișierelor malițioase necunoscute anterior cu 70%.

• Corelarea alertelor pentru detectarea atacurilor lente și persistente (Advanced Persistent Threat, APT)

Punctul de pornire al acestei acțiuni a fost înțelegerea faptului că atacurile avansate, lente și discrete pot trece neobservate dacă fiecare etapă individuală nu declanșează o alertă. Prin urmare, echipa SOC a dezvoltat un mecanism de corelare între evenimente aparent neconectate din logurile rețelei, serverelor și endpoint-urilor. De exemplu, o creștere subtilă a volumului de date exfiltrate, combinată cu autentificări din locații neobișnuite, indică un APT. Astfel, au obținut reducerea semnificativă a alertelor fals negative asociate cu atacuri persistente.

• Îmbunătățirea detecției mișcărilor laterale prin monitorizarea accesului la partajări de fișiere

O altă problema identificată a fost aceea că atacatorii interni sau anumite forme de malware avansat utilizau partajările de fișiere pentru a se propaga, fără a declanșa alerte. Ca răspuns, inginerii de securitate din cadrul SOC au creat reguli de detecție care analizează tiparele neobișnuite de acces la resurse, cum ar fi volumul mare de fișiere accesate într-un timp scurt sau modificarea simultană a mai multor fișiere de către un singur utilizator. Acțiunea a dus la obținerea unei detecții cu 50% mai rapidă a mișcărilor laterale, prevenind extinderea atacurilor.

• Îmbunătățirea detectării exploatărilor RCE prin analiza contextului

Pentru că alertele pentru vulnerabilități RCE (Remote Code Execution) generează numeroase alerte fals pozitive în urma procesării cererilor HTTP legitime dar complexe, echipa SOC Safetech a căutat o soluție. Aceasta a implicat corelarea alertelor cu logurile serverelor web pentru a identifica semnături comportamentale asociate cu exploatarea reală, cum ar fi execuția comenzilor shell sau încărcarea de fișiere suspecte. De asemenea, a fost adăugat un filtru bazat pe frecvența și secvența anormală a cererilor. Ca rezultat, precizia alertelor a crescut cu 45%, iar volumul de muncă manuală a scăzut considerabil.

• Reducerea alertelor fals pozitive în soluțiile bazate pe detecția anomaliilor comportamentale

Datele acumulate în cadrul Safetech au arătat că soluțiile de securitate bazate pe detectarea anomaliilor comportamentale pot genera alerte fals pozitive atunci când utilizatorii desfășoară activități neobișnuite dar legitime. De exemplu, un angajat accesează o resursă IT neobișnuită pentru rolul său, ca parte a unui proiect temporar. În absența contextului specific, aceste activități sunt semnalate ca posibile incidente de securitate, ceea ce consumă timp și resurse pentru investigare.

Pentru validarea contextuală a activităților, echipa SOC a integrat sistemul de detecție cu aplicații interne, cum ar fi cele de management al proiectelor sau resurse umane. Acest lucru permite soluției să recunoască situațiile în care un acces neobișnuit este justificat de atribuții noi sau schimbări în proiectele utilizatorului. De asemenea, pentru a nu trata fiecare anomalie ca o potențială amenințare, echipa a configurat sistemul să verifice activitatea utilizatorului într-un context al unor date relevante, cum ar fi locația de autentificare, schimbările recente de parolă sau utilizarea dispozitivelor necunoscute. Astfel, în lipsa altor semne de risc, sistemul de monitorizare a obținut capacitatea să recalibreze prioritatea alertei.

Totodată, a fost realizat un reglaj fin al pragurilor care definesc ce înseamnă „comportament neobișnuit” pentru a lua în considerare activitățile recurente sezoniere (de exemplu, perioadele de raportare financiară, când utilizatorii accesează mai multe resurse IT decât în mod obișnuit). O altă acțiune a vizat crearea unui mecanism prin care utilizatorii să poată confirma rapid dacă o activitate este legitimă, oferind feedback direct în platforma utilizată de echipa Safetech SOC. Această informație este folosită ulterior pentru recalibrarea automată a algoritmilor de detecție.

Măsurile prezentate la acest punct au dus la reducerea alertelor fals pozitive cu până la 50%.

Avantajele colaborării cu Safetech

Serviciile de externalizare de Security Operations Center furnizate de Safetech au o structură granulară, fiind special concepute pentru a permite organizațiilor să opteze doar pentru ceea ce au nevoie. De exemplu, companiile pot să aleagă doar livrarea de servicii recurente (monitorizare, scanare și management al vulnerabilităților cu acoperire 24/7), cu posibilitatea accesării periodice sau la cerere a unor servicii complementare (asset discovery, investigații avansate etc).

Livrate prin intermediul centrului Computer Emergency Response Team al Safetech (STI CERT®), aceste servicii reprezintă un pachet complex care include personal specializat și certificat, tehnologie și unelte de ultimă generație, proceduri mature și bune practici continuu actualizate. Combinate, toate acestea garantează un nivel superior de securitate și predictibilitate, în conformitate atât cu obiectivele de business ale unei organizații, cât și cu cele mai recente reglementări naționale și europene.

Pentru mai multe informații despre oferta Safetech SOC as a Service, vă invităm să ne contactați prin email la sales @ safetech.ro sau la telefon +40 21 316 0565.