Lai palielinātu vai samazinātu teksta burtu izmēru, izmantojiet šādas klaviatūras taustiņu kombinācijas:
Windows
Apple
Kā neapmaldīties SOC (drošības vadības centra) džungļos
19/06/2025
Artūrs Filatovs
LVRTC Kiberaizsardzības biznesa virziena vadītājs
Arvien sarežģītākas un mērķētākas kiberuzbrucēju taktikas un kiberuzbrukumu apjoms liek organizācijām meklēt jaunas pieejas savas drošības stiprināšanā, savukārt uzraudzības iestādes gan nacionālā, gan starptautiskā līmenī pastiprināti vērš uzmanību incidentu laicīgas atklāšanas, novēršanas un savlaicīgas ziņošanas nozīmei.
Lai mazinātu kiberdraudus un veidotu vienotu pieeju kiberincidentu monitoringa un novēršanas procesiem, Eiropas Savienības un Latvijas līmenī turpina ieviest stingrākas kiberdrošības prasības. To vidū īpaša loma ir Nacionālajam kiberdrošības likumam (turpmāk – NKDL), NIS2 direktīvai un Digitālās darbības noturības aktam jeb DORA, kas stājas spēkā finanšu sektorā. Šie normatīvie akti uzliek organizācijām pienākumu nodrošināt pastāvīgu incidentu uzraudzību, identificēšanu, reaģēšanu un informācijas apmaiņu ar kiberdrošības iestādēm. Arī medicīnas nozari gaida lieli izaicinājumi kiberdrošības jomā – īpaši attiecībā uz incidentu novēršanu, ziņošanu atbildīgajām iestādēm un Eiropas centrālajai kiberdrošības aģentūrai (ENISA). Līdz ar to Eiropas Savienības kiberdrošības prasību ievērošana kļūst par stratēģisku prioritāti gandrīz visiem uzņēmumiem un iestādēm.
Šajā kontekstā nozīmīga loma ir drošības operāciju centram (SOC), kas organizācijām ļauj efektīvi monitorēt un reaģēt uz kiberdraudiem.
Tomēr SOC ieviešana un uzturēšana var būt izaicinājums. Organizācijām ir jāizvēlas piemērotākā pieeja – vai tas būtu ārpakalpojums (SOC as a Service), pašbūvēts SOC vai atvērtā pirmkoda risinājumi (open source SOC).
Kā neapmaldīties kiberdrošības džungļos un atrast katrai organizācijai piemērotāko risinājumu, ņemot vērā esošās vajadzības un resursus?
LVRTC ir izveidojis un turpina nepārtrauktu attīstību SOC pakalpojumam un tehnoloģiju kopai. SOC piedāvājam valsts un pašvaldību organizācijām, kas šo pakalpojumu var izvēlēties no Valsts elektronisko pakalpojumu centra (VESPC) pakalpojumu groza, kā arī privātā sektora uzņēmumiem un organizācijām.
SOC pakalpojuma attīstība notiek projekta “Vienotā kiberdrošības infrastruktūra” ietvaros, kuru līdzfinansē Eiropas Reģionālās attīstības fonds. Projekta mērķis ir stiprināt valsts un pašvaldību iestāžu kibernoturību, nodrošinot integrētus, pārvaldītus kiberdrošības pakalpojumus caur VESPC.
Šo gadu laikā esam arī izpētījuši Latvijas SOC tirgu un to dalībnieku piedāvājumus, nonākot līdz secinājumam, ka Latvijā trūkst SOC pakalpojumu automatizācija, centralizācija un incidentu aktīva novēršana. Lielākā daļa SOC ietver tikai pasīvu monitoringu, nevis aktīvu iejaukšanos incidentu gadījumos. Tādēļ tālāk piedāvājam mūsu analīzi un redzējumu par situāciju.
Mūsu platuma grādos visvairāk sastopamas trīs galvenās SOC ieviešanas stratēģijas – ārpakalpojums (SOC as a Service), pašbūvēts SOC un atvērtā pirmkoda SOC. Tie atšķiras pēc pieejas, resursu vajadzībām un riskiem.
-
Tas piedāvā ātru ceļu uz atbilstību, izmantojot jau izstrādātas tehnoloģijas, procesu vadlīnijas un 24/7 ekspertu atbalstu. Šī pieeja ir īpaši piemērota organizācijām, kurām nav iekšējās kapacitātes vai vēlmes ieguldīt lielus resursus infrastruktūras un ekspertu uzturēšanā. SOCaaS nodrošina arī ātrāku atbilstību incidentu ziņošanas prasībām (24h/72h), pateicoties iebūvētām atskaišu sistēmām un automatizācijai. Būtisks ieguvums ir arī neatkarība no viena tehnoloģiju piegādātāja (vendor lock-in). SOCaaS ļauj organizācijai brīvāk izvēlēties piemērotākos rīkus un pakalpojumu sniedzējus, izvairoties no centralizētām platformām, kas var ierobežot pielāgojamību, sadārdzināt uzturēšanu vai ne vienmēr nodrošināt vispiemērotāko risinājumu konkrētām vajadzībām.
-
Pašbūvēts SOC ļauj pilnībā pielāgot drošības kontroli uzņēmuma iekšējām vajadzībām, bet prasa ievērojamus ieguldījumus cilvēkresursos, tehnoloģijās un procesā. Šī pieeja vislabāk piemērota lielām organizācijām ar nobriedušu IT un drošības pārvaldību.
-
piemēram, integrējot Wazuh (SIEM), TheHive (incidentu pārvaldība), MISP/OpenCTI (TI platformas) un Shuffle (SOAR) – ir pievilcīgi no izmaksu viedokļa, bet tie uzliek organizācijai pilnu atbildību par ieviešanu, konfigurēšanu, atbilstību un uzturēšanu. Risks slēpjas ne tikai uzturēšanas kapacitātē, bet arī tajā, ka nav oficiāla atbalsta vai garantētas atbilstības prasībām. Šāda risinājuma uzturēšana prasa daudzdimensionālu tehnisko kompetenci, kas vidēja lieluma uzņēmumiem ne vienmēr ir pieejama.
Drošības operāciju centra salīdzinājums
| Funkcija | SOC kā pakalpojums (SOCaaS) | Pašbūvēts SOC | Open-source SOC risinājums (ar vai bez papildus tehniskā atbalsta) |
|---|---|---|---|
| Atbilstība NIS2 (NKDL) / DORA u.c normatīvajiem aktiem | Nodrošina gatavu atbilstību vai palīdz pielāgoties; bieži sertificēts. | Nepieciešams izveidot pašiem procesus, nodrošināt dokumentāciju un auditus. | Nepieciešama pilnīga procesa uzbūve un regulatīvās atbilstības pielāgošana; nav iebūvētas garantijas. Izmanto daudz resursu. |
| Tehnoloģiju uzturēšana un atjauninājumi | Atbild pakalpojumu sniedzējs. | Atbild iekšējā IT / SOC komanda. | Atbildība uz uzņēmumu; programmatūras atjauninājumi jāveic manuāli, risks palaist garām kritiskus patchus. |
| Incidentu noteikšana un reaģēšana (MTTD/MTTR) | Ātra, automatizēta un bieži ar SOAR integrāciju. | Atkarīgs no komandas kapacitātes. | Iespējama labā līmenī, ja tiek veikta integrācija ar SOAR (piem., TheHive, Shuffle), bet prasa zināšanas. |
| Incidentu atskaites un ziņošana | Automatizētas, regulāras atskaites. | Pašiem jāizstrādā. | Nepieciešama pielāgošana, nav standarta mehānisma atbilstībai NIS2/DORA 24h/72h prasībām. |
| IT aktīvu uzskaite | Integrēti rīki un CMDB atbalsts. | Pašiem jāizvēlas un jāintegrē rīki. | Nepieciešama papildus integrācija (piem., GLPI, OCS Inventory), kas var būt sarežģīta. |
| Izmaksas | Abonēšanas modelis, bez kapitāla ieguldījuma. | Lieli sākotnējie ieguldījumi + cilvēkresursi. | Zemas vai 0 izmaksas licencēm, bet augstas izmaksas uzstādīšanai, integrācijai un uzturēšanai. |
| Mērogojamība | Viegli pielāgojams pakalpojuma līmenis. | Nepieciešams ieguldīt infrastruktūrā. | Atkarīgs no uzņēmuma resursiem, open-source komponentes ne vienmēr labi mērogojas. |
| Ekspertīze | Iegūsti SOC profesionāļu kompetenci. | Atkarīgs no iekšējās komandas zināšanām. | Nepieciešama augsta tehniskā ekspertīze vairākās jomās (SIEM, SOAR, Threat Intel). |
| Tehniskā automatizācija | Iebūvēts SOAR, mākslīgais intelekts un iepriekš izstrādāti darbības scenāriji (playbooks). | Nepieciešams izstrādāt, pielāgot. | Pieejami bezmaksas risinājumi (piem.,TheHive, Cortex, Shuffle), bet integrācija jāveic pašiem. |
| Draudu izlūkošana (Threat Intelligence) | Integrēti komerciāli un kopienas draudu izlūkošanas plūsmas. | Jāiegādājas vai jāintegrē atsevišķi. | Atbalsts ļaunatūras informācijas koplietošanas platformai un OpenCTI, bet jāveic konfigurācija, jāuztur pašiem. |
| Audits un pierādījumi atbilstībai | Pieejami SLA rādītāji, žurnāli, pieraksti. | Pašiem jāveido viss atskaites process. | Žurnāli pieejami, bet atbilstība jānodrošina manuāli, nav iebūvēta audita funkcionalitāte. |
| Galvenie riski | Atkarība no ārējā pakalpojuma sniedzēja. | Iekšējo resursu nepietiekamība, dārga ieviešana. | Drošības nepilnības, uzturēšanas risks, nav oficiāla atbalsta, atbilstības nodrošināšana sarežģīta. |
LVRTC kiberdrošības jomā aktīvi darbojas kopš 2015. gada, kad Latvijas prezidentūras Eiropas Savienībā laikā LVRTC tika uzticēta valsts informācijas resursu aizsardzība pret kiberapdraudējumiem. Šodien nodrošinām kiberaizsardzību vairāk nekā 50 valsts iestādēm un, reaģējot uz pieaugošo publiskā sektora interesi, sniedzam kiberdrošības pakalpojumus arī publiski atvasinātām iestādēm (pašvaldībām un to kapitālsabiedrībām).
Mūsu mērķis ir palīdzēt organizācijām savlaicīgi identificēt, novērst un pārvaldīt kiberdrošības apdraudējumus, vienlaikus nodrošinot augstu datu aizsardzības un sistēmu pieejamības līmeni. Mēs piedāvājam pilnu drošības risinājumu klāstu izmantojot VESPC, kas balstās mūsu pieredzē, modernās tehnoloģijās un sadarbībā ar nacionālajiem un starptautiskajiem partneriem.
Izvēloties SOC ieviešanas modeli, organizācijām svarīgi izvērtēt vairākus faktorus:
- cik ātri jānodrošina atbilstība NIS2 un DORA regulējumiem,
- vai ir pieejami atbilstoši cilvēkresursi un zināšanas,
- kāds ir pieejamais budžets (gan sākotnējām investīcijām, gan arī ilgtermiņa uzturēšanai),
- kāda ir vēlme un spējas apstrādāt drošības incidentus 24/7 režīmā.
LVRTC SOC pakalpojums nodrošina elastīgu pieeju, atbilstoši organizācijas vajadzībām – gan 8×5 pakalpojuma nodrošināšanu ar kiberdrošības analītiķiem un tehniķiem , gan arī pilnu 24/7/365 uzraudzību, kas ir īpaši būtiska kritiskās infrastruktūras un būtisko pakalpojumu sniedzējiem.