Od dwóch lat słyszymy to samo: „Nie masz SOC-a? Będziesz mieć problem.” W tym czasie usłyszałem wiele definicji Security Operations Center (SOC).
Kiedyś sprawa była prostsza: miałeś zespół ludzi pracujących 24/7, wspólnie wyznaczaliście infrastrukturę krytyczną, ustalaliście sposób komunikacji, analizowaliście zdarzenia i… monitorowaliście.
Dziś trudno się w tym połapać. XDR, EDR i inne „-ery”. SIEM-y, licencje, modele subskrypcyjne. Ceny takie, że można by sprzedać porcelanę po babci i nadal byłoby mało. Przeciętnie reklamujące się SOC-i zaczynają się od około 120 tys. zł rocznie – a to często dopiero koszt samych licencji oprogramowania, które ma rozwiązywać problemy wykreowane przez rynek.
Niektóre firmy publikują na swoich stronach efektowne porównania uzasadniające te ceny. Tyle że dane bywają oderwane od realiów. Widać od razu, w jaki segment celują. Dla korporacji 120 tys. zł rocznie to błąd statystyczny. Dla średniej firmy – poważne obciążenie. Ale przecież „jest ustawa”.
Niespodzianka: ustawa KSC nie wymaga, abyś posiadał SOC.
Masz obowiązek zapewnić struktury – wewnętrzne lub zewnętrzne – realizujące zadania określone w art. 8 oraz art. 9–13 ustawy KSC. Spośród tego, co rynek dziś sprzedaje pod nazwą „SOC”, ustawa wprost dotyka głównie kwestii monitorowania.
Obsługa incydentu – w kontekście ustawowych terminów i odpowiedzialności – to już zupełnie inna historia. A tu chętnych do realnego przejęcia odpowiedzialności jest znacznie mniej.
I tu zaczynają się schody.
Rynek sprzedaje dziś „SOC”, ale w praktyce często mówimy wyłącznie o monitorowaniu. Tymczasem obsługa incydentu, z odpowiedzialnością i reakcją w wymaganych interwałach czasowych, to zupełnie inna historia. Tu chętnych do brania odpowiedzialności jest znacznie mniej.
Po pierwsze – zanim kupisz jakiekolwiek oprogramowanie – musisz wiedzieć, czego potrzebujesz.
W pierwszej kolejności powinieneś przeprowadzić rzetelny audyt, przeanalizować ryzyka, wykonać inwentaryzację i wyznaczyć infrastrukturę krytyczną. Pisałem o osiągnięciu takiego efektu w poprzednim artykule.
Kiedy znasz już odpowiedzi na powyższe kwestie, możesz odpowiedzieć sobie na pytanie: o jakich zachowaniach chcesz być informowany?
Monitorowanie wszystkiego prowadzi do zalewu alertów. A zalew alertów prowadzi do ich ignorowania. Wtedy monitoring przestaje mieć sens.
To ważne, ponieważ monitorowanie wszystkiego i zapełnianie alertami przestrzeni życiowej Twoich pracowników prowadzi do włączenia funkcji ignorowania tych alertów. Wówczas monitoring traci sens.
Scenariusze analizy ryzyka pomagają określić, jakie anomalie są rzeczywiście istotne.
Dopiero uzbrojony w taką wiedzę wychodzisz na rynek. I trzymasz się wyników własnej analizy – nawet jeśli sztaby handlowców będą próbowały przekonać Cię, że „to też jest potrzebne”.
Systemy typu EDR/XDR/MDR oferują Active Response – czyli automatyczne reakcje. Brzmi dobrze. Ale to automatyka. Jeśli nie masz bardzo dobrej wiedzy o swojej infrastrukturze, wcześniej czy później taki system wyłączy coś, czego wyłączać nie powinien.
Na polskim rynku nie brakuje przykładów, gdzie niezweryfikowane wdrożenia „marketingowych” rozwiązań bezpieczeństwa kończyły się wielomilionowymi roszczeniami. To powinna być przestroga.
Dlatego zacznij od monitorowania (systemy klasy SIEM). Po pierwsze będzie taniej, po drugie bezpieczniej.
Koszty cyberbezpieczeństwa wzrosły nawet kilkukrotnie. Co jeśli nie stać Cię na komercyjny SOC?
Wiele narzędzi istnieje od lat i jest dostępnych bezpłatnie. Ich wdrożenie kosztuje czas i szkolenia pracowników – ale nawet wtedy trudno dojść do 120 tys. zł rocznie. Dobrze radzi sobie Wazuh, a w połączeniu z Zabbixem tworzy już bardzo mocne narzędzie. Tzw. ELK to również rozwiązanie, które można zastosować. Jak w każdym narzędziu trzeba je skonfigurować tak, by spełniało nasze oczekiwania – ale przynajmniej robi to człowiek, który zna infrastrukturę.
Nie masz takiej osoby? Masz dwa wyjścia: zatrudnić lub wynająć.
Jeśli chcesz zatrudnić – oszczędzasz na szkoleniach, ale jeden człowiek to za mało. Potrzebujesz minimum 2–3 osoby. W takim przypadku koszt pracodawcy to około 60 tys. zł miesięcznie. Dla wielu organizacji – nieosiągalne.
Dlatego wiele podmiotów decyduje się na outsourcing. Warto jednak pamiętać o jednym – odpowiedzialność powinna być po stronie dostawcy. Podobnie jak w przypadku firmy ochroniarskiej. Jeśli kupujesz usługę ochrony, to firma montuje system alarmowy, utrzymuje go i reaguje na zdarzenia. W cyberbezpieczeństwie powinno być podobnie. Samo wysłanie powiadomienia o incydencie nie jest jeszcze obsługą incydentu.
Możesz mieć własny system monitoringu i zewnętrzny zespół do jego obsługi. Możesz też wpiąć się w infrastrukturę dostawcy. Opcji jest kilka – ważne, by odpowiadały Twojej analizie ryzyka.
Ale z wdrażaniem wszystkich „-erów” na start warto się wstrzymać. Na to przyjdzie czas.
Kolejnym popularnym elementem rynku są tzw. testy penetracyjne. Niestety bardzo często pod tą nazwą sprzedawane są zwykłe skany podatności. Wystarczy uruchomić automatyczne narzędzie, takie jak Nessus, które w kilka minut generuje raport zawierający setki lub tysiące potencjalnych podatności. Raport wygląda groźnie – ma kolorowe wykresy i długą listę problemów. Kosztuje to kilka lub kilkanaście tysięcy złotych i często bywa przedstawiane jako test penetracyjny.
Niektórzy już wyprzedzają falę, która płynie z pojęciem „false positive”. Wykonują dodatkowe skany podatności innym narzędziem – np. nmapem. To nic, że Nessus to też nmap, tylko taki na sterydach. Skoro dwa skanery potwierdziły lukę, to znaczy, że musi to być prawdą.
Menedżer widzi raport i jest przerażony. Problem w tym, że to nadal tylko etap pierwszy.
Cały 2025 rok obserwowałem, jak za publiczne pieniądze z programu Cyberbezpieczny Samorząd podobne praktyki niszczą cyberodporność.
Tymczasem prawdziwy test penetracyjny to coś zupełnie innego. Powinien symulować realny proces włamania, przechodząc przez kolejne etapy znane z modelu Cyber Kill Chain. Obejmuje to rozpoznanie, przygotowanie narzędzi, dostarczenie ładunku, wykorzystanie podatności, utrwalenie dostępu i eskalację uprawnień. Dopiero na końcu następują działania na przejętych systemach.
W praktyce oznacza to długotrwałą pracę specjalistów, którzy muszą każdą podatność zweryfikować i sprawdzić, czy rzeczywiście można ją wykorzystać.
Dlatego w rzeczywistym teście z kilku tysięcy wykrytych podatności zostaje często kilka realnych problemów. Reszta okazuje się nieistotna, wymaga specjalnych uprawnień lub dotyczy nieistniejących już elementów oprogramowania. Właśnie dlatego profesjonalne testy penetracyjne są drogie – wymagają czasu i wiedzy.
Mamy też aplikacje: do samosprawdzenia – OWASP ASVS; do sprawdzenia przez pentesterów – OWASP Top Ten. W przypadku infrastruktury, usług, systemów operacyjnych i sieci najpopularniejszy dziś jest chyba PTES, ale nie jedyny – jest też CISS.
Są tacy, którzy chcą bezpośrednio przy pomocy technik MITRE sprawdzać.
W każdym razie nie dajcie sobie wmówić, że skan jest testem penetracyjnym. A dziś to standard rynkowy wykorzystywany w zamówieniach.
W pierwszej kolejności ściągnij sobie OWASP ASVS z sieci i daj swoim ludziom do sprawdzenia. Niech krok po kroku sprawdzą Twoje aplikacje i wypełnią checklistę. To już będzie jakiś postęp.
Później zastanów się, co chcesz wytestować na podstawie najpopularniejszych ataków i zamów profesjonalny test penetracyjny zamiast skanowania, które możesz zrobić sam i za darmo. Nmap nic nie kosztuje, ZAP też nie – a działa tak samo, bo to są skanery. Jest ich cała masa za – uwaga – 0 złotych.
Dlaczego testerzy muszą być z zewnątrz? Bo prawdziwi włamywacze też u Ciebie nie pracują i nie posiadają tej wiedzy, która bywa pomocna przy włamaniach od środka.
Podobnie wygląda sytuacja z kampaniami phishingowymi. Rynek oferuje je jako zaawansowane usługi, podczas gdy w wielu przypadkach można je przeprowadzić samodzielnie. Wystarczy dobrze przygotowane szkolenie wyjaśniające, czym jest phishing, smishing, vishing i inne „-ingi”, oraz proste narzędzia, aby sprawdzić czujność pracowników.
Jest sporo narzędzi dostępnych online, natomiast sami również jesteście w stanie przygotować taki test, używając zwyczajnych narzędzi marketingowych, aby sprawdzić, czy pracownicy zachowują czujność i postępują zgodnie z procedurami.
Patrząc na to wszystko, widać jedno. Najdroższy w cyberbezpieczeństwie nie jest sprzęt ani oprogramowanie. Najdroższy jest brak świadomości.
Jeśli organizacje nie zrozumieją, czego naprawdę potrzebują, będą wydawać ogromne pieniądze na rozwiązania, które niewiele zmieniają w poziomie ich bezpieczeństwa.
Dlatego zanim kupisz kolejne narzędzie, zatrzymaj się i zrozum własne środowisko. W wielu przypadkach okaże się, że dużą część działań można wykonać samodzielnie, a prawdziwe inwestycje warto planować dopiero wtedy, gdy wiesz dokładnie, czego potrzebujesz.