EXATELLERS to rozmowy o technologii, biznesie i trendach w obszarze telekomunikacji i cyberbezpieczeństwa. W tym podcaście rozmawiamy o tym, jak w EXATEL łączymy telekomunikację z innowacjami i dlaczego prowadzimy działania R&D tworząc własne rozwiązania. Ja nazywam się Sylwia Buźniak, jestem senior HR Business Partnerem i do tego programu będę zapraszać ekspertów EXATEL, aby poznać kulisy ich pracy i zrozumieć, które technologie są kluczowe dla rozwoju biznesu. Zapraszam.

Sylwia: Dzień dobry, w dzisiejszym podcaście moim i państwa gościem jest Rafał Litwińczuk, ekspert ds. reagowania na incydenty bezpieczeństwa w Security Operation Center EXATEL. Cześć Rafał!

Rafał: Cześć.

Sylwia: Twoje stanowisko jest trochę skomplikowane dla osób, które niekoniecznie pracują w SOC. Powiedz proszę czym się zajmujesz w EXATEL?

Rafał: W SOC odpowiadam za tzw. incident response, czyli jestem trochę takim detektywem. Przykładowo: jeśli u jednego z naszych klientów coś się wydarzyło, to trzeba mu pomóc. Chodzi o bezpieczeństwo: miał miejsce jakiś incydent i klient potrzebuje pomocy w identyfikacji co się faktycznie wydarzyło, kto to zrobił, w jaki sposób, czy dalej jest w tej organizacji, czy już go nie ma i co w ogóle zrobił. Wtedy wkraczamy my – w tym m.in. ja – i staramy się wyjaśnić temat. Ważnym zagadnieniem jest też czasami pytanie „dlaczego”? Nie ukrywam, że nie jest łatwo do tego dojść, ale się staramy.

Sylwia: Za jakie usługi odpowiadasz?

Rafał: Odpowiadam za obronę, czyli śledzenie, identyfikację ewentualnych ataków. Paleta usług jest tak naprawdę bardzo szeroka. Moim obszarem zainteresowania jest bardziej różnego rodzaju malware, działania grup przestępczych, ale już wchodzących do organizacji, próbujących ją spenetrować. Głośnie ostatnio przypadki wykorzystania ransomware, też wchodzą w rachubę.  Jeżeli firma zostanie zaszyfrowana i trzeba wyjaśnić jak dostał się do niej atakujący, co właściwie zrobił, czy doszło do wycieku danych – bo to jest powszechny trend i też lepiej działa jeśli chodzi o wymuszenia na klientów – to wtedy wkraczamy my i staramy się wyjaśnić tego typu sprawę.

Sylwia:  Żeby nadać ramy tej rozmowie, skupmy się po prostu na atakach ransomware. Czy mógłbyś powiedzieć jakie są główne wyzwania związane z obsługą incydentów związanych z ransomware?

Rafał: Przy ransomware to jak przy każdym innym malware’u – wyzwania będą trochę podobne. Podejście klientów będzie jednak odmienne, bo atak ransomware – w przeciwieństwie do innych ataków – niesie za sobą jeszcze dodatkowy element: wymuszenie. Ale także bardzo często publikację, że dana firma padła ofiarą. W  przypadku innego rodzaju malware’a albo grup przestępczych, które atakują organizacje, to bardzo często grupy te starają się załatwić sprawę po cichu. Wykradają dane, są cicho, być może wykorzystują je jeszcze w innym celu, np. żeby przedostać się do innych organizacji (np. wykorzystują naszą organizację, żeby przeskoczyć tzw. supply chain attack). W przypadku ransomware sprawa wygląda nieco inaczej. Mianowicie firma dowiaduje się najszybciej jak to jest możliwe (z punktu widzenia atakującego), że padła ofiarą takiego ataku. Podejmowane są próby natychmiastowego jego spieniężenia, czyli w tym wypadku następuje wymuszenie. Ofiara dostaje od razu komunikat, że padła ofiarą ransomware’u i dostaje 24 godziny, aby mogła odzyskać swoje dane. To pierwszy element: zagrożenie – „słuchaj, nie dostaniesz z powrotem tych danych, bo my je zaszyfrowaliśmy”. Drugi element jest taki, że w tej notce bardzo często pojawiają się informacje, że dodatkowo twoje dane zostały przejęte. Jeżeli nie spełnisz tego punktu, to twoje dane zostaną opublikowane. Widzieliśmy nie raz, że tego typu podejście jest bardzo skuteczne, jeśli chodzi o zyski grup przestępczych. Zarabiają one na tym bardzo dużo, przy jednoczesnym niskim koszcie.

Sylwia: A czym różni się przygotowanie i reakcja na incydent związany z ransomeware od innych rodzajów incydentów cybernetycznych?

Rafał: Odwołam się do niedawnego raportu Microsoft Digital Defense Report, który został opublikowany bodajże w październiku 2023 roku i mówi m.in. o trendach na rynku cyberbezpieczeństwa i o tym jakie ataki mają miejsce w szeroko rozumianej cyberprzestrzeni. Warto sobie odpowiedzieć na pytanie, w jaki sposób ci atakujące dostają się w ogóle do organizacji. Tu podaje się tak naprawdę trzy główne wektory. Pierwszy wektor to zewnętrzne serwisy służące do zarządzania. Przykładowo: organizacje bardzo często (jeszcze po pandemii) posiadają różnego rodzaju usługi wystawione na zewnątrz, np. RDP czy  SSH dostępne całkowicie publicznie. Tutaj atakujący mają możliwość podjęcia próby przełamania zabezpieczeń. Najczęściej odbywa się to tak, że próbują odgadnąć hasło. W końcu trafiają, bo to nie jest trudne. Niejednokrotnie właśnie słabe hasła są problemem. Tutaj jest drugi punkt, wskazywany m.in. przez Microsoft, a mianowicie hasła, wykorzystanie prawidłowych kont, wykorzystywanie danych z wycieków do zalogowania się do danej organizacji. I dalej już atakujący mogą się po niej rozprzestrzeniać. Trzeci element – również ważny – to aplikacje, które są dostępne publicznie. Bardzo często mamy sytuacje, że przygotowaliśmy sobie stronę. Jako firma potrzebowaliśmy jakiejś funkcjonalności na niej, kalendarza, koszyka, czegokolwiek. Zainstalowaliśmy tysiące pluginów na naszej stronie, ale nikt tego nie aktualizuje, a podatności wychodzą codziennie. Codziennie jesteśmy zasypywani informacjami na ten temat. To są trzy obszary, które głównie służą do dostania się do naszej organizacji. Oczywiście phishing tutaj jest jeszcze kolejnym obszarem, ale o tym można by stworzyć oddzielną serię. Więc to są główne elementy, którymi atakujący się dostają i chodzi o to, żeby zabezpieczyć się przed tego typu zagrożeniami.

Warto znać swoją infrastrukturę. To pierwszy problem z którym osobiście spotykam się kiedy idziemy do klienta. To jakie drogi kliencie masz usługi wystawione do świata? ,,Na pewno mamy stronę główną, VPN i coś tam jeszcze’’. Dobrze, a czy jesteś w stanie je wylistować? Różna jest wtedy odpowiedź. Dlatego właśnie bardzo ważne jest prowadzenie takiej inwentaryzacji i posiadanie wiedzy „co mamy”, bo to ułatwi aktualizowanie tych rozwiązań, sprawdzenie czy nie ma czegoś, co już powinno być wymienione 5 lub 10 lat temu, bo nie miałeś na to czasu, zapomniałeś albo nie wiedziałeś, że w ogóle to posiadasz. To jest pierwszy element. Drugi element jest taki, że jak masz wystawiony jakieś usługi do których trzeba się zalogować, to nie stosuj tam domyślnych loginów i haseł. Stosuj złożone hasła, a tam gdzie możesz to stosuj multi-factor authentication (MFA), czyli uwierzytelnianie wieloskładnikowe, np. tokenem lub SMS-em. SMS jest względnie najsłabszy, ale też daje ci jakieś dodatkową warstwę zabezpieczenia. Na tej podstawie jesteś w stanie z mojej perspektywy – jeżeli dołączysz do tego monitorowanie bezpieczeństwa, np. świadczone przez SOC – wykryć takie próby wcześniej i przerwać atak, który ma miejsce. Drugim etapem jak się przygotować do takiego ransomware’u, jest monitorowanie tego co się dzieje u ciebie w organizacji. Fajnie, że już wiesz co się dzieje u ciebie na zewnątrz, na krawędzi. Wewnątrz też dobrze wiedzieć co się dzieje. Najczęściej wygląda to tak, że ,,nasi pracownicy korzystają ze swoich prywatnych komputerów’’.  Rozumiem, że firma chce zaoszczędzić, lecz niesie to dodatkowe ryzyko, że z tego komputera korzystają inne osoby. Nie wszyscy mają nastawienie, że nie będą klikali we wszystkie linki albo nie będą instalowali jakiegoś trzeciego oprogramowania, które bardzo często przynosi za sobą dodatkowe niespodzianki, które mogą narazić również naszą organizację. W ten sposób np. też wiemy, że atakujący dostają się do organizacji właśnie przez komputery, na których pracownik może korzystać z VPN-a prywatnie. Całkowicie niezabezpieczone, nieprzygotowane odpowiednio do pracy. I wtedy mamy problem.

Sylwia: Poruszyłeś temat dotyczący trendów w liczbie i rodzajach ataków ransomware. Czy jest w stanie powiedzieć jakie są prognozowane kierunki rozwoju ransomware’u w najbliższych latach? Czy można spodziewać się jakichś innowacji w tym obszarze?

Rafał: Ten obszar bardzo się profesjonalizuje. Kiedyś można było spotkać ransomware trochę spontaniczne. Ktoś napisał jakiś kod, umieścił przykładowo na GitHub’ie, ktoś inny wziął ten kod i zaczął rozsyłać z myślą: ,,zobaczymy, może się uda i zdobędziemy trochę pieniędzy”. Teraz to są już organizacje, które działają na bardzo wysokim poziomie. Przytoczę pewną anegdotę. Miałem okazję czytać wymianę zdań między klientem, ofiarą ransomware’u oraz obsługą Help Desku, która prosi o wysłanie tych pieniędzy. Negocjacje trwają. Oczywiście ofiara próbuje obniżyć kwotę. „Dobra, damy wam 800 tysięcy”. – „Nie, tu 1,5 miliona wymagamy”. Negocjacje trwają dalej. Ofiara w tym wypadku zapłaciła, ale to, co jest zabawne, to później ten operator ransomware’u przekazał bardzo profesjonalnie stworzoną informację, która brzmiała: „Droga ofiaro, dostaliśmy się do Ciebie w ten sposób. Musisz zabezpieczyć to i to.” Czyli my jako SOC, jako właśnie analitycy bezpieczeństwa, bardzo często też przygotowujemy tego typu raporty poincydentalne. Tutaj operator ransomware’u, przekazał: dobra, dostaliśmy się do ciebie w ten sposób. Musisz zabezpieczyć to. To jest dobra praktyka, musisz wdrożyć ją u siebie w organizacji, żeby nigdy nie padł ofiarą np. kolejnego ransomware’u, co jest zabawne i świadczy też o pewnego rodzaju profesjonalizacji tej branży. Wracając do tematu trendów, to aktualnie panującym trendem jest to, że ransomware nie działa w sposób w pełni automatyczny. Obecnie pierwszy etap, tj. dostarczenia ransomeware’u, odbywa się faktycznie w sposób automatyczny. Czy przez załączniki, czy też faktycznie wykorzystanie jakiejś podatności. Automat chodzi, skanuje różnego rodzaju dostępne usługi i próbuje wykorzystać podatności. Dostaje się w końcu, nawiązuje kontakt z tak zwaną bazą, czyli z serwerem zarządzającym atakujących i czeka na dalsze komendy. Co się później dzieje? Później przychodzić taki operator – czyli zarządzanie jest tak naprawdę stricte ludzkie –  który w sposób bardziej dyskretny penetruje tą sieć. Patrzy na to co się w tej sieci dzieje, gdzie może przeskoczyć, w jaki sposób może to zrobić. Nie robi tego w sposób w pełni automatyczny, nie puszcza skanera po wszystkich portach żeby zobaczyć gdzie może przeskoczyć. Zachowuje się w sposób bardzo inteligentny. To nie jest już taki głupi automacik, że tam będzie próbował przeskakiwać i będzie strzelał wszystkimi podatnościami jak leci. Nie, to już jest człowiek, który ma jakieś doświadczenie. Ma też checkliste dzięki której wie co ma zrobić i jak ma dalej przeskakiwać. Więc tutaj ten operator skutecznie – czasami przez bardzo wiele tygodni – siedzi w takiej organizacji, nasłuchuje, próbuje się przedostać dalej, przeszukuje pliki na serwerze, na którym się znajduje. Niejednokrotnie coś znajduje, wykorzystuje ponownie hasła, więc zmienia się w ogóle trochę podejście. Nie jest to  być może pełnoskalowe, że na szeroką skalę mamy do czynienia z atakami ransomware. Ta pierwsza faza jest na szeroką skalę, bo atakujemy „wszystko co się rusza”. Tam, gdzie się dostaliśmy, to już siada człowiek, patrzy i podejmuje konkretne działania. Czy zastosuję taką czy inną ścieżkę, to tutaj jest ten element. Warto zwrócić też uwagę na trend – szeroko rozumianej – sztucznej inteligencji. Z mojej perspektywy to są jeszcze początki, ale AI już dziś wiele potrafi i będzie w stanie troszeczkę zautomatyzować ten proces i obniżyć koszty, jakimi są obarczeni atakujący. Nie oszukujmy się, to też są organizacje, które próbują na siebie zarobić.

Sylwia: W ramach jakiej usługi EXATEL, klienci mogą się z tobą spotkać?

Rafał: Najczęściej uczestniczę właśnie w obsłudze incydentów i można mnie spotkać w obsłudze incydentów w ramach usługi SOC Assistance. Jest to usługa dzięki której możemy wspomagać klienta w obsłudze jego incydentów. Nie wygląda to jednak tak jak klasyczne SOC, czyli:  ,,Drogi kliencie, wstawiamy ci teraz SIEM-a (chyba że go masz) i siadamy i monitorujemy 24 godziny na dobę. Tutaj działamy bardziej z doskoku. Wydarzył się incydent, zauważyłeś go drogi kliencie, albo nasz SOC wykrył (bo być może masz usługę i SOC monitoruje twoją infrastrukturę) jakiś incydent, który nie może zostać zaklasyfikowany jako false positive. I ty kliencie potwierdzasz, że faktycznie wygląda to podejrzanie, to wtedy eskalujemy ten incydent, obsługujemy go. Wkraczamy wtedy tutaj jako tzw. druga linia, która analizuje incydent w sposób bardziej zaawansowany, szerszy, bardziej dogłębny. Tutaj więc najczęściej można mnie tak naprawdę spotkać. Sama usługa SOC też zawiera oczywiście wsparcie drugiej linii. Dodatkowo są jeszcze różne usługi projektowe, które świadczymy.

Sylwia: Twoja praca polega też na tym, że obsługujesz i wspierasz klientów już po ataku. Nie zapobiegasz, a próbujesz działać prewencyjnie na przyszłość, dając rekomendacje co powinni zrobić.

Rafał: Tak, dajemy rekomendacje, ale też bardzo ważnym elementem jest sam etap obsługi incydentów. Rekomendacje są swego rodzaju lessons learned, ale na tym tak naprawdę obsługa incydentu się nie kończy. Można sobie wyobrazić, że np. obsługujemy incydent, namierzyliśmy atakującego, wiemy już jak się dostał, co robił, gdzie był. Udało się nam wyczyścić tę infrastrukturę, czyli – mówiąc potocznie – wykopać atakującego z infrastruktury. Klient dostał też rekomendacje. Etap lessons learned jest bardzo ważny, bo nam jako analitykom pozwala też usprawnić nasze działanie. Bardzo często siadamy z klientem, rozmawiamy o tym co poszło dobrze, co poszło źle i co można by równocześnie usprawnić z punktu widzenia klienta. Dodatkowo doradzamy, nie tylko „drogi kliencie, kup pudełko xyz, to Cię zabezpieczy”. To nie rozwiązuje tematu. Ważnym elementem jest skupienie się na rekomendacjach, żeby nie tylko przeciwdziałać danemu działaniu, ale też w przyszłości wykryć podobne lub tego samego typu techniki, jakie zastosowali atakujący przy danej ścieżce, którą się dostali i penetrowali infrastrukturę. Skupiam się bardzo na detekcji. Ważnym elementem dla mnie jest to, żeby klient nie tylko mógł zapobiegać, ale żeby był także w stanie w przyszłości wykryć. To nie jest łatwy temat, bo jak wiele jest różnych typów ataków, tak wiele jest też metod detekcji. Chodzi więc tutaj o to, żeby wybrać te najbardziej uniwersalne, które pozwolą pokryć największą przestrzeń, jeśli chodzi o usługi klienta, bądź też podatności, które posiada.

Sylwia: Wspominasz o działaniach związanych z detekcją. Czy twoją pracę da się zautomatyzować? Czy stosujesz już automatyzację w swojej pracy?

Rafał: Tak, automatyzacja jest kolejnym elementem, który w pracy analityka jest ważny. To jest przetwarzanie dużej ilości danych. Powierzmy sobie szczerze: nie wyobrażam sobie, że ktoś usiądzie teraz przykładowo do systemu Windows i zacznie skrolować, przeglądać te wszystkie zdarzenia, które tam lecą. Trzeba potrafić to zautomatyzować, pozyskać od klienta, bo od klienta pozyskujemy w różnych formatach. Są klienci, którzy mają już rozwiązanie SIEM. Są klienci, którzy wdrażają jakieś rozwiązanie SIEM i mają już jakieś wyniki, ale nie mają np. poprawnie skonfigurowanych odpowiednich audytów, więc nie wszystkie informacje mają. Są tez tacy klienci, którzy mają już fajnie wdrożone rozwiązania, które pozwalają monitorować. Otrzymujemy więc te informacje i trzeba je przede wszystkim przetworzyć, wzbogacić. Mamy przykładowo informacje o komunikacji z adresami IP. Trzeba je wzbogacić, zobaczyć czym jest dany adres IP, czy był on widziany wcześniej zarówno na tzw. listach reputacyjnych, albo u innych klientów, czyli czy jest to atak masowy, czy też konkretnie wycelowany. Na tej podstawie jesteśmy w stanie odsiać tzw. false positive’y od tych rzeczywistych ataków, które doprowadziły do kompromitacji klienta.

Sylwia: Generalnie atak ransomware jest jakby jedną z usług trafiających do SOC. Dobrze rozumiem?

Rafał: Usług atakujących oczywiście, bo pamiętajmy, że atakujący też mają swoje usługi.

Sylwia: Obok np. ataku DDoS.  Powiedz dlaczego SOC jest tak ważnym elementem w dzisiejszym świecie cyber?

Rafał: Dlaczego SOC jest taki ważny? Z mojej perspektywy można znaleźć kilka punktów. Po pierwsze i chyba najważniejsze: masz zawsze możliwość zgłoszenia się do kogoś, kto ci pomoże w trudnej sytuacji. Nie oszukujmy się, incydent nie jest łatwą sytuacją i dla większości film, które np. nie ćwiczą jak sobie radzić z konkretnymi przypadkami, nie będą wiedziały dokładnie co mają zrobić, gdzie mają spojrzeć, jak mają działać.  Więc to jest pierwszy ważny element: masz się do kogo zgłosić. Tego nie można deprecjonować, nie ważne jak dużą jesteś organizacją. Niezależnie czy masz swój zespół, który potrafi coś zrobić, przeanalizować, wyszukać, ważne by mieć zawsze jakieś wsparcie, bo ktoś sprawdzi z drugiej strony albo rozwinie to, co klientowi już się udało znaleźć, albo pogłębi te wątki, których nie zdążył przeanalizować. To pierwszy element – masz zawsze dostęp do ekspertów. W tej branży potrzebni są eksperci z różnych dziedzin i SOC to zapewnia. Nie musisz utrzymywać tych ekspertów, bo w SOC są już eksperci od sieci. Masz też monitoring 24/7. Mamy obecnie wiele urządzeń w naszej sieci i otrzymujemy z nich różnego rodzaju zdarzenia bezpieczeństwa, ale tak naprawdę nie jesteśmy w stanie ich środku nocy przeanalizować. Nikt się nad tym nie pochyli. Następnego dnia ktoś może na to spojrzy, może nie, usiądzie sobie, przejrzy konsolę, „dobra, ja tu nie widzę nic ciekawego”. W SOC ktoś na bieżąco przejrzy po pierwsze te zdarzenia, które miały miejsce, ale z drugiej strony pomoże ci też stuningować te rozwiązania bezpieczeństwa. Bardzo często jest tak, że włączy się coś na domyślnych ustawieniach i pyk, leci sobie. A tak otrzymujesz zawsze informację zwrotną, że „hej, tutaj warto to wykluczyć, dodać do wyjątków, bo to jest normalne działanie; systemy, które masz u siebie tak działają i widzimy to w taki sposób. Ewentualnie „potwierdź to z administratorem danego rozwiązania, że tak to ma działać”.  Jeżeli potwierdzi, to faktycznie już oczyścimy, wyciszymy trochę to środowisko, dzięki czemu klient też będzie łatwiej mógł się zorientować w swoich różnych alarmach, które posiada w systemie.

Sylwia: Wspominasz akurat o sytuacji kiedy klienci mają ten komfort, że mają usługę SOC. Jaka jest właśnie przewaga firm, które posiadają usługę Security Operations Center? Co w przypadku firm, które nie mają usługi SOC i nie wiedzą czy ją chcą mieć? Czy mogą ją „wypróbować”, skorzystać z takiej usługi „last minute”?

Rafał: Przytoczę tu jeden przypadek, który miał miejsce w sumie niedawno. Zwróciła się do nas pewna organizacja, która miała właśnie incydent i chciała żeby go podjąć, przeanalizować. Wydawało się, że to faktycznie groźny incydent. My w przeciągu godziny się zabraliśmy, bo klient wymagał tego, żeby do niego przyjechać i byliśmy w stanie pomóc i rozwiązać problem.

Sylwia: To był nasz klient?

Rafał: Wtedy nie był klient, ale stał się naszym klientem i zobaczymy jak nasza dalsza współpraca się potoczy.

Sylwia: Czyli pokazujemy ten kontekst naszej elastyczności.

Rafał: Tak, faktycznie elastyczność to jest takie zgłoś incydent ad hoc. Potrzebujesz pomocy, to faktycznie przyjedziemy i ci pomożemy. Jeśli chodzi o posiadanie SOC i takie zgłaszanie incydentów ad hoc, to jeśli masz podpisaną umowę z nami, to my będziemy gotowi, żeby do ciebie pojechać. Możemy to faktycznie z jednej strony załatwić zdalnie, ale kosztowo zawsze to wygląda lepiej, jeśli masz coś, co się dzieje cyklicznie. Zapłacisz wtedy mniej za tę usługę, niż gdy wyrywasz w środku nocy: „halo, pomóżcie nam tutaj”.

Sylwia: Wiadomo, taka usługa, last minute jest z automatu droższa. Ale czasami trzeba z niej skorzystać. Rafał, jako ekspert rozwijasz się i czuć też, że jest to Twoja pasja. Powiedz, w oparciu o ten raport bądź inne materiały z których czerpiesz wiedzę: czy jesteś w stanie podzielić się swoimi przemyśleniami dotyczącymi, czy to trendów, czy szeroko rozumianego cyber?

Rafał: Tak, to jest branża w której trzeba się rozwijać. Nie wyobrażam sobie, że raz się czegoś nauczyłem i mogę spocząć na laurach. Trzeba się rozwijać chociażby dlatego, że ten rynek się zmienia. Czy mam jakieś przemyślenia? Tak, mam przemyślenia ogólne dotyczące może trochę naszej branży, że cierpimy na jeden syndrom, a mianowicie lubimy mówić bardzo technicznie, używać skrótów, które nie są zrozumiałe dla większości. To jest moim zdaniem błąd. Bezpośrednim odbiorcą bezpieczeństwa są zarządy organizacji, szeroko rozumiany management. Oni mają mase innych problemów. Ważne jest z mojej perspektywy, żeby mówić w jasny, klarowny sposób i mam nadzieję, że w tym podcaście udało mi się parę rzeczy zawrzeć, nie używać skrótów. Bo mamy tendencję do używania skrótów, nazw i typów rozwiązań. A te nazwy co chwilę producenci zmieniają. Mieliśmy Firewalle, Next Generation Firewalle, UTM-y itd. Teraz np. nie widać żeby ktoś produkował SIEM – wszyscy produkują XDR. Mamy taką tendencje do utrudniania sobie, nie opowiadamy w prosty sposób, tylko komplikujemy. Jeśli miałbym wybrać to, co bym polecił każdemu, to by skupił się żeby mógł w jakikolwiek sposób analizować zdarzenia u siebie w organizacji. Gdybym mógł wybrać tylko jedną rzecz, to wybrałbym przede wszystkim dobrze skonfigurowane logi, które posiadamy w systemie, na rozwiązaniach sieciowych. Trzeba je owszem zmagazynować, ale dzięki temu ja jak przyjdę jako analityk do takiej organizacji, to jestem w stanie coś z tych logów wyciągnąć. Bo rozwiązania bezpieczeństwa mają to do siebie, że trzeba je potrafić wpiąć i odpowiednio skonfigurować. A nie wszystkim to wychodzi. Logi są bardzo dobrze opisane, są bardzo dobrze wytłumaczone co należy logować, gdzie, jak je przechowywać. Jest to też wytłumaczone. Dzięki temu jak coś się wydarzy, to jesteśmy w stanie w lepszy i szybszy sposób pomóc.

Sylwia: Pewnie mogłabym z Tobą jeszcze rozmawiać o roli i przyszłości SOC, czy też analizie architektury, bo wiem, że masz w tym zakresie wiedzę i kompetencje. Ten wątek zostawmy sobie na kolejne odcinki. Już dziś Cię do kolejnego zapraszam. Bardzo dziękuję za tę rozmowę i poświęcony czas. Szczegóły naszej oferty SOC czy innych usług z zakresu cyberbezpieczeństwa, można oczywiście znaleźć na naszej stronie internetowej w sekcji usługi. Dziękuję Rafał.

Rafał: Dziękuję serdecznie i mam nadzieję, że do usłyszenia.