Izgradnja SOC-a (3/4): SOC po mjeri – open-source blueprint

Zašto open-source?

Za većinu organizacija u BiH - posebno u akademskom, civilnom i SME sektoru - najveća prepreka za uspostavu SOC-a nisu prijetnje, već troškovi i nedostatak ljudi. Licencirani komercijalni SIEM i SOAR sistemi dostižu desetine hiljada eura godišnje, što nije realno za lokalne budžete.

Rješenje? Open-source SOC, građen korak po korak, s fokusom na interoperabilnost i zajednicu.

Osnovni slojevi open-source SOC-a

1. Sakupljanje i obrada logova – Wazuh i ELK stack

Wazuh je open-source SIEM koji nudi agent-based prikupljanje logova, integrisanu detekciju prijetnji i korelaciju događaja.

Zasnovan je na ELK stacku (Elasticsearch, Logstash, Kibana), što znači da pruža skalabilnu analitiku i vizualizaciju bez potrebe za komercijalnim licencama.

Prednosti:

• Centralizovano prikupljanje logova (serveri, endpointi, mreža).

• IDS/IPS integracije (npr. Suricata).

• Prilagodljivi dashboardi.

• Ugrađeni mehanizmi za otkrivanje ranjivosti.

• 
  

Kako se uklapa u CSEC: Podaci iz ShadowServera i CVE Trackera mogu se direktno korelirati u Wazuh-u kako bi se otkrile ranjive mašine u BiH.

2. Incident management – TheHive i Cortex

TheHive je open-source platforma za upravljanje incidentima (Incident Response Platform).

Omogućava strukturisano otvaranje slučajeva, dodjelu zadataka, dokumentaciju i integraciju sa Cortexom, alatom koji automatizuje analizu uzoraka (hash, IP, URL).

Prednosti:

• Potpuno web-baziran i lagan za implementaciju.

• Kompatibilan s MISP-om i Wazuh-om.

• Omogućava standardizovan IR proces i kolaboraciju više analitičara.

Kako se uklapa u CSEC: TheHive bi mogao služiti kao centralna platforma za prijem i obradu incidenata koje CSEC zaprimio od akademskih institucija, CSO sektora ili partnera.

3. Threat intelligence – MISP (Malware Information Sharing Platform)

MISP je alat koji omogućava dijeljenje i korelaciju indikatora kompromitacije (IoC).

Povezuje lokalne i globalne izvore prijetnji i može se integrisati sa SIEM-om i IR sistemima.

Prednosti:

• Strukturalno i standardizirano dijeljenje prijetnji (STIX/TAXII format).

• Lakša saradnja sa međunarodnim CERT/CIRT timovima.

• Jačanje kolektivne otpornosti.

Kako se uklapa u CSEC: CSEC već raspolaže realnim podacima o napadima kroz DecoyNet honeypot mrežu — ti podaci bi se mogli automatski unositi u MISP i dijeliti s partnerima u regionu.

4. Mrežna i endpoint vidljivost – Zeek, Suricata i Velociraptor

Zeek (ranije Bro) i Suricata pružaju analizu mrežnog saobraćaja, dok Velociraptor nudi forenzičku vidljivost na endpointima (Windows, Linux, macOS).Ovi alati zajedno čine „senzorski sloj“ koji obezbjeđuje sirove podatke za SIEM.

Prednosti:

• Dubinska inspekcija paketa i analitika ponašanja.

• Detekcija napada i exfiltracije.

• Povezivanje sa Wazuh-om i TheHive-om.

Kako se uklapa u CSEC: CSEC bi mogao koristiti Zeek/Suricata senzore u okviru DecoyNet infrastrukture, čime bi honeypoti postali aktivni izvori mrežne telemetrije za analizu.

Minimalni open-source SOC model (MVP)

Operativni savjeti

• Počni s malim brojem integrisanih senzora.

• Mjeri sve: broj incidenata, vrijeme detekcije, vrijeme odgovora.

• Automatizuj rutinske zadatke (hash lookup, reputacija IP-a, izvještaji).

• Dokumentuj procese od početka – i čuvaj lekcije iz svakog incidenta.

Zaključak: SOC kao ekosistem znanja

Open-source SOC nije “besplatna verzija komercijalnog proizvoda” – to je drugačija filozofija. Zasniva se na zajednici, transparentnosti i dijeljenju znanja. Za Bosnu i Hercegovinu, to znači priliku da se razvije održiv i samostalan SOC model bez ovisnosti o skupim rješenjima, uz regionalnu saradnju i akademsku podršku.

U sljedećem, završnom tekstu – “SOC kao srce kibernetičke otpornosti” – govorit ćemo o tome kako iz laboratorijskog modela prijeći u operativni, 24/7 centar i kako mjeriti njegovu učinkovitost.