Kāpēc uzņēmumi bieži pārvērtē savu IT gatavību?

Šis nav tikai teorija, bet gan tas ko mēs redzam un kāda ir pieeja Baltijas tirgus spēlētājiem, protams ar izņēmumiem. Un tas nozīmē vienu: sistēmas “strādā”, bet uzņēmums nav aizsargāts.

Skatoties nesenajā IBM 2025. gada pētījumā, kas aptver vairāk nekā 600 organizācijām, apstiprina šo ainu ar skaitļiem vidēji uzņēmums atklāj drošības pārkāpumu pēc 158 dienām. Teju piecos mēnešos uzbrucējs var brīvi pārvietoties sistēmās, vākt datus un sagatavoties nākamajam solim kamēr IT komanda uzskata, ka viss ir kārtībā.

Worry free IT uzturēšana: drošības pamats, ko bieži aizmirst

Runājot par kiberdrošību, uzmanība parasti uzreiz pievēršas tehnoloģijām EDR, SIEM, XDR, ugunsmūriem. Taču pastāv fundamentāls princips, ko bieži ignorē ir pareizi uzturēta un konfigurēta IT vide ir mazāk ievainojama.

Šeit ienāk ITSM IT pakalpojumu pārvaldība ne kā birokrātisks process, bet kā drošības pirmā aizsardzības līnija.

Tas nozīmē sistēmas, kurām ir aktuāli atjauninājumi, pareizi konfigurētas piekļuves tiesības un dokumentēta infrastruktūra, sākotnēji rada mazāk uzbrukuma virsmas.

Uzbrucējs meklē vieglākos ceļus neaizlāpītas ievainojamības, aizmirstus lietotāju kontus ar pārāk plašām tiesībām, sistēmas, kuras IT komanda ir “aizmirsuši”.

ENISA 2025. gada Eiropas draudu ainas ziņojums to apliecina, uzbrucēji jaunu ievainojamību sāk aktīvi izmantot dažu dienu laikā pēc tās publisku atklāšanu, bieži vien ātrāk nekā ražotājs ir sagatavojis labojumu. Organizācijā, kur programatūras atjauninājumi nav strukturēts process, šis logs paliek atvērts nedēļām.

Worry free pakalpojuma ietvaros drošībai nozīmīgākās komponentes ir:

• Izmaiņu pārvaldība
  Katra infrastruktūras izmaiņa tiek dokumentēta, novērtēta un apstiprināta. Neautorizētas izmaiņas ir viens no agrīnākajiem uzbrukuma indikatoriem.
• Aktīvu pārvaldība
  Jūs nevarat aizsargāt to, ko nezināt, ka jums pieder. Neuzskaitītas ierīces un sistēmas ir “aklie punkti”.
• Piekļuves pārvaldība
  Atstāti konti bijušajiem darbiniekiem, pārāk plašas administratora tiesības, koplietoti paroles šie nav tehniski jautājumi, tie ir procesuāli.
• Incidentu pārvaldība
  Strukturēts process nodrošina, ka incidenti tiek fiksēti, analizēti un izmantoti, lai uzlabotu aizsardzību, nevis aizmirsti pēc problēmas risināšanas.

SOC un ITSM nav konkurējoši risinājumi, tie ir savstarpēji atkarīgi.

SOC redz, kas notiek reāllaikā. Worry free nodrošina, ka bāzes vide, kuru SOC uzrauga, ir kārtīgi pārvaldīta un dokumentēta. Bez šādas sasaistes pakalpojumos SOC analītiķis nevar ātri saprast, vai konkrētā izmaiņa sistēmā ir autorizēta vai uzbrukuma pazīme.

Ir arī jāsaprot ka SOC nav produkts, bet gan tas ir process un tehnoloģiju kopa!

Tirgū dominē vienkāršota izpratne: “uzstādīsim SIEM” vai “iegādes EDR/XDR” un SOC ir gatavs. Šī ir varbūt bīstamākā maldīgā pārliecība, ko redzam potenciālo klientu vidū.

SIEM un XDR ir redzamība. Tas nav SOC.

SIEM apkopo un korelē notikumus. XDR aizsargā gala punktus un atklāj draudus. Tie ir nepieciešami, bet ne pietiekami.

Pats par sevi SIEM ir tikai žurnāls ar meklēšanas iespēju. XDR bez konteksta ģenerē trauksmes, kuras neviens neapstrādā.

Īsts SOC ir process, cilvēki un tehnoloģiju kopa, kas darbojas kopā un atbilst uz jautājumu: vai mēs šobrīd saprotam, kas notiek mūsu vidē, un vai mēs spējam reaģēt, šonakt, šajā brīdī?

Mūsdienu uzbrukumi to arī pārbauda.

Vairāk nekā 80% pikšķerēšanas kampaņu Eiropā tagad izmanto AI ģenerētu saturu tās ir precīzākas, personalizētākas un grūtāk atšķiramas nekā jebkad agrāk.

Piegāžu ķēžu uzbrukumi vidēji paliek nepamanīti 267 dienas.

Ransomware operatori mērķtiecīgi aktivizē uzbrukumus naktīs un svētku priekšvakaros, zinot, ka lielākajai daļai organizāciju šajos brīžos nav aktīvas uzraudzības.

Pret šādiem kiberdraudiem nepalīdz tikai tehnoloģija, kuru uzstādīja pirms diviem gadiem un kopš tā laika neviens tai nav pieskāries un pilnveidojis to. Vajag aktīvu procesu.

Datakom SOC ir veidots ap astoņiem funkcionālajiem pīlāriem, kuri kopā sedz pilnu uzbrukuma dzīves ciklu no Initial Access līdz Exfiltration pēc MITRE ATT&CK ietvara. Katra pīlāra iztrūkums rada “aklo zonu”, ko uzbrucēji mērķtiecīgi izmanto.

1. EDR / XDR Gala punktu un paplašinātā atklāšana
   Pamats, uz kura viss balstās. Palo Alto Cortex XDR nodrošina gala punktu, tīkla un identitātes telemetrijas apvienošanu vienā analīzes platformā.
   Šis ir Datakom esošais, darbojošais pamats pārējo 7 pīlāru uzdevums ir to paplašināt un padziļināt.
2. SIEM Vienotā datu ievākšana un korelācija
   Microsoft Sentinel vai Elastic SIEM apkopo notikumus no visiem avotiem endpoint, mākoņa, identitātes, tīkla, OT.
   Korelācija atklāj uzbrukumu parakstus, kurus atsevišķi elementi neredzētu. Bez SIEM XDR redz tikai daļu no ainas.
3. SOAR Automatizētā reaģēšana
   Playbook bāzēta automatizācija nodrošina, ka kritiskas darbības ierīces izolēšana, konta bloķēšana, incidenta eskalācija notiek sekundēs, nevis minūtēs vai stundās.
   SOAR ir atšķirība starp “pamanījām” un “saturējām”.
4. IAM Identitātes un piekļuves pārvaldība
   Lielākā daļa uzbrukumu izmanto kompromitētas identitātes, nevis tehniskas ievainojamības.
   IAM pīlārs nodrošina, ka SOC redz katru autentifikācijas mēģinājumu, privilēģiju eskalāciju un neparastu piekļuves modeli un var reaģēt pirms kaitējums ir nodarīts.
5. DLP Datu noplūdes novēršana
   Uzbrukuma beigu fāze ir datu izfiltrācija.
   DLP uzrauga sensitīvu datu kustību uz ārpusi, uz mākoņa pakalpojumiem, uz noņemamiem datu nesējiem.
   Bez DLP SOC var atklāt uzbrukumu, bet nesaprast, ko uzbrucējs ir jau paņēmis.
6. WAF Tīmekļa aplikāciju aizsardzība
   Publiskās aplikācijas ir viens no biežākajiem sākotnējiem piekļuves vektoriem.
   WAF pīlārs aizsargā web aplikācijas un API reāllaikā, bloķē OWASP Top 10 uzbrukumus un nodrošina redzamību par to, kas piekļūst publiskajiem servisiem.
7. Ievainojamību pārvaldība - proaktīvā risku mazināšana
   SOC reaģē uz notikušo. Ievainojamību pārvaldība novērš, lai tas notiktu.
   Regulāra skenēšana, CVSS bāzēta prioritizācija un patch management ieteikumi samazina uzbrukuma virsmu pirms uzbrucējs to atrod.
   Atcerieties: ENISA dati rāda, ka ievainojamības tiek ekspluatētas dienu laikā pēc publiskošanas.
8. Threat Intelligence , kas padara visu pārējo efektīvāku
   Draudu inteliģence (Unit 42, MISP, CERT.LV plūsmas) nodrošina, ka SOC zina, kas šobrīd notiek Baltijā un pasaulē.
   Kuri uzbrucēji ir aktīvi, kādus paņēmienus izmanto, kādas nozares tiek mērķētas.
   Bez konteksta trauksme ir tikai troksnis. Ar kontekstu tā kļūst par rīcības signālu.

Šie astoņi pīlāri kopā veido to, ko Datakom sauc par pilnvērtīgu SOC nevis tehnoloģiju instalāciju, bet dzīvu aizsardzības procesu, kas darbojas nepārtraukti un attīstās līdz ar draudu ainavu.