SOC operacyjne — analityk przy biurku z trzema monitorami pełnymi alertów SIEM, mapy świata z punktami ataków, dashboard MTTR/MTTD i panel MITRE ATT&CK
TL;DR — przed startem

Blue team = defensywny zespół. SOC = jego strukturalna realizacja (24/7 dyżury).

3 modele referencyjne: Pyramid of Pain (Bianco) · MITRE ATT&CK (14 taktyk × 200+ technik) · NIST IR / SANS PICERL (cykle reakcji).

SOC tiers: T1 triażuje alerty (7-12k PLN) · T2 prowadzi IR (12-18k) · T3 / Threat Hunter (18-30k).

Główne KPI: MTTD (czas wykrycia) i MTTR (czas reakcji). Globalna średnia 2024: 194 + 64 dni.

Kategoryzacja alertów: True Positive · False Positive · True Negative · False Negative.

Spis treści

Blue team vs red vs purple vs SOC

W cybersecurity istnieje konwencja kolorów drużyn (zaczerpnięta z ćwiczeń wojskowych — niebiescy bronią, czerwoni atakują):

Drużyny w cybersecurity

ENPLRola
Blue teamdrużyna niebieskaDefensywa: detekcja, reakcja, prewencja, hardening, monitoring 24/7
Red teamdrużyna czerwonaOfensywa: pentesty, red team engagements, symulowanie realnych APT
Purple teamdrużyna fioletowaKolaboracja red + blue. Wspólne ćwiczenia, wymiana wiedzy, doskonalenie detekcji
Yellow teamdrużyna żółtaDeweloperzy aplikacji — odpowiedzialni za bezpieczne kodowanie (mniej popularny termin)
Green teamdrużyna zielonaOperations / DevOps — bezpieczna infrastruktura (mniej popularny)
SOC (Security Operations Center)centrum operacji bezpieczeństwaStrukturalna realizacja blue teamu — fizyczne / wirtualne centrum z dyżurami
CSIRT (Computer Security Incident Response Team)zespół reagowaniaWyspecjalizowany zespół IR, często w sektorze publicznym (np. CSIRT NASK)
CERT (Computer Emergency Response Team)zespół reagowaniaSynonim CSIRT, oryginalna nazwa CERT/CC z Carnegie Mellon (1988)

6 typów threat actors

Threat actor (aktor zagrożenia) to każda osoba lub grupa, która stoi za atakiem. Klasyfikacja według motywacji i zasobów (CompTIA Security+ SY0-701, MITRE):

Pyramid of Pain — piramida 6 poziomów wskaźników: Hash values (banalne), IP, Domain names, Network/Host artifacts, Tools, TTPs (najbardziej bolesne dla atakującego)
Nation-state actor / APT (Advanced Persistent Threat)
aktor państwowy / zaawansowane trwałe zagrożenie

Sponsorowany przez państwo (wywiad, wojsko). Najwyższe zasoby i wyrafinowanie. Cele: szpiegostwo gospodarcze, polityczne, sabotaż infrastruktury krytycznej.

Przykłady: APT28 / Fancy Bear (GRU, Rosja), APT29 / Cozy Bear (SVR, Rosja), APT41 (Chiny), Lazarus Group (Korea Płn), Equation Group (NSA, USA).

Organized crime / cybercriminal group
zorganizowana grupa cyberprzestępcza

Motywacja FINANSOWA. Operują jak biznes — affiliate programs, helpdesk dla ofiar, „media relations". Średnio-wysokie zasoby.

Przykłady: grupy ransomware: LockBit, BlackCat (ALPHV), Clop, Royal, Akira. Grupy bankowe: FIN7, Carbanak.

Hacktivist
haktywista

Motywacja IDEOLOGICZNA / POLITYCZNA. Średnie zasoby. Cele: defacement stron, leak danych, DDoS na firmy „nieetyczne".

Przykłady: Anonymous (kolektyw), LulzSec (rozwiązany), GhostSec, IT Army of Ukraine (wsparcie Ukrainy w wojnie z Rosją).

Insider threat
zagrożenie wewnętrzne

Pracownik / kontraktor z LEGALNYM dostępem. Najtrudniejszy do wykrycia. Trzy podtypy: malicious (intencjonalny), negligent (niedbały, np. klika phishing), compromised (przejęty przez zewnętrznego atakującego).

Przykład: Edward Snowden (NSA, 2013), Joshua Schulte (CIA Vault 7, 2017).

Script kiddie
script kiddie (amator)

Niedoświadczony, używa GOTOWYCH narzędzi (Metasploit, Kali Linux) bez głębszego zrozumienia. Niskie zasoby, duża hałaśliwość. Często niskoryzykowny, ale nieprzewidywalny.

Cel: uznanie wśród rówieśników, wandalizm, „dla zabawy". Często łapani szybko.

Competitor / industrial espionage
konkurent / szpieg przemysłowy

Konkurencyjna firma zlecająca wywiad gospodarczy. Cel: kradzież IP, danych klientów, planów strategicznych. Często działa przez pośredników (mercenary hackers — najemników).

Przykład: oskarżenia o szpiegostwo przemysłowe między firmami tech (Intel vs AMD historyczne), case Anthony Levandowski (Waymo vs Uber, 2017).

Vulnerability vs Threat vs Risk vs Exploit

4 fundamentalne pojęcia, które polscy analitycy często mylą. Poprawne rozróżnienie jest WYMAGANE w egzaminach Security+, CISSP i każdej rozmowie kwalifikacyjnej:

Tetrada bezpieczeństwa

ENPLDefinicja
Vulnerabilitypodatność / lukaSŁABOŚĆ w systemie / procesie / kodzie. Sama w sobie nie szkodzi — to potencjalny punkt wejścia.
ThreatzagrożeniePOTENCJALNE niebezpieczeństwo, które wykorzystałoby podatność. Threat = atakujący + motywacja + zdolność.
Exploiteksploit / narzędzie atakuKONKRETNY KOD / TECHNIKA wykorzystująca podatność. To „zmaterializowane" narzędzie do wykonania ataku.
RiskryzykoPRAWDOPODOBIEŃSTWO × WPŁYW. Risk = zagrożenie wykorzystuje podatność i powoduje szkodę. Wzór: Risk = Threat × Vulnerability × Impact.
AssetaktywoTo, co chronisz: dane, system, urządzenie, reputacja, ludzie. Bez aktywa nie ma ryzyka.
Controlkontrola / zabezpieczenieŚrodek redukujący ryzyko: techniczny (firewall), administracyjny (polityka), fizyczny (zamek).
Mitigationmitigacja / złagodzenieCzynność redukująca ryzyko: patch, konfiguracja, dodatkowa kontrola, akceptacja.

Konkretny przykład: serwer ma niezałatany Apache Log4j (vulnerability). Grupa APT41 (threat) wykorzystuje exploit Log4Shell (CVE-2021-44228) i osiąga RCE. Skutek: wyciek danych klientów (impact). Prawdopodobieństwo wysokie + wpływ wysoki = high risk. Mitigacja: zaktualizuj Log4j (control techniczny) + zaakceptuj resztkowe ryzyko (residual risk).

CVE / CVSS / CWE — system identyfikacji podatności

Trzy powiązane systemy do katalogowania podatności:

System CVE / CVSS / CWE

ENPLCo to jest
CVE (Common Vulnerabilities and Exposures)jednolity identyfikator podatnościFormat: CVE-YYYY-NNNN. Każda znana podatność ma unikalny ID. Baza: cve.mitre.org. Przykład: CVE-2021-44228 (Log4Shell).
CVSS (Common Vulnerability Scoring System)system oceny krytycznościSkala 0–10 oceniająca krytyczność. Niska 0,1–3,9 · Średnia 4,0–6,9 · Wysoka 7,0–8,9 · Krytyczna 9,0–10,0. Aktualna wersja: CVSS v4.0 (2023).
CWE (Common Weakness Enumeration)katalog typów słabościKlasyfikacja TYPÓW podatności (np. CWE-89 = SQL Injection, CWE-79 = XSS). CVE odnosi się do konkretnego produktu, CWE — do typu błędu.
CPE (Common Platform Enumeration)jednolite oznaczenie platformIdentyfikator produktu / wersji oprogramowania. Format: cpe:2.3:a:apache:log4j:2.14.1. Pozwala precyzyjnie wskazać, który CVE dotyczy którego produktu.
NVD (National Vulnerability Database)krajowa baza podatności USAnvd.nist.gov. Wzbogaca CVE o CVSS i metadane. Najpopularniejsze źródło dla SOC.
KEV (Known Exploited Vulnerabilities)katalog aktywnie wykorzystywanych podatnościLista CISA z podatnościami JUŻ WYKORZYSTYWANYMI w atakach. Priorytet 1 dla patch managementu w sektorze publicznym USA.
EPSS (Exploit Prediction Scoring System)predykcyjny score wykorzystaniaProbabilistyczny score (0–1) prawdopodobieństwa, że CVE BĘDZIE wykorzystane w 30 dni. Lepsze priorytetowanie niż samo CVSS.
Zero day / 0-daypodatność dnia zerowegoPodatność, o której producent NIE WIE — czyli ma „zero dni" na patch.
N-daypodatność znanaPodatność po publikacji patcha. Atakujący wykorzystują niezałatane systemy w ciągu 30–90 dni.

IOC vs IOA — detekcja

Wskaźniki bezpieczeństwa

ENPLCharakter
IOC (Indicator of Compromise)wskaźnik kompromitacjiARTEFAKT po ataku: hash malware, IP C2, nazwa złośliwej domeny, mutex, klucz rejestru. Reaktywne — szukasz po fakcie.
IOA (Indicator of Attack)wskaźnik atakuWZORZEC ZACHOWANIA wskazujący na atak w trakcie. Niezależny od konkretnych narzędzi. Proaktywne — łapiesz w trakcie.
TTP (Tactics, Techniques, Procedures)taktyki, techniki, proceduryNajwyższy poziom abstrakcji. Sposób, w jaki atakujący operuje. MITRE ATT&CK kataloguje TTP.
SignaturesygnaturaKonkretny wzorzec używany przez antywirus / IDS do detekcji znanego malware'a. Atakujący łatwo omija przez minimalne modyfikacje.
HeuristicheurystykaAlgorytm wykrywający na podstawie cech (np. „program szyfruje dużo plików w krótkim czasie") — bardziej elastyczne niż sygnatury.
Anomaly detectiondetekcja anomaliiWykrywanie odchyleń od BASELINE'u (normalnego zachowania). Bazuje na statystyce / ML.
Behavioral analytics / UEBAanalityka behawioralnaUEBA = User and Entity Behavior Analytics. Profile użytkowników i wykrywanie odchyleń.

Pyramid of Pain (David Bianco)

Model David Bianco (2013) opisuje, jak BARDZO BOLI atakującego, gdy bronisz konkretnym typem wskaźnika. Im wyżej w piramidzie, tym trudniej atakującemu przezwyciężyć obronę:

TTPs
Tactics, Techniques, Procedures — sposób, w jaki atakujący operuje. Zmiana zachowania = totalna przebudowa.
⛰️ TOUGH!
Tools
Narzędzia — Cobalt Strike, Mimikatz, custom malware. Zmiana wymaga opracowania nowego narzędzia.
📛 Challenging
Network/Host
Network artifacts (User-Agent, JA3 fingerprint) i host artifacts (klucze rejestru, mutex). Średnio bolesne.
😣 Annoying
Domains
Nazwy domen (malicious-c2.example.com). Trochę pracy, ale tanie. Atakujący kupują nowe.
😐 Simple
IPs
Adresy IP. Łatwo wykupić nowe IP w cloudzie. Blokowanie efektywne tylko krótko.
😏 Easy
Hash
Hash files (MD5, SHA-256). Atakujący zmienia 1 bajt i hash inny. Banalne dla niego, dla nas — bezużyteczne na dłuższą metę.
🥱 Trivial

Wniosek strategiczny: blokowanie hashy daje krótkotrwały efekt. Detekcja TTP zmusza atakującego do całkowitego przemodelowania operacji. Nowoczesny SOC dąży do detekcji w górnej części piramidy — to wymaga MITRE ATT&CK + threat intelligence.

Angielski SOC operacyjny — z VOCAbite

CYBERSPEAK for CompTIA pokrywa pełen słownik analityka SOC: 1200+ terminów (alert triage, threat hunting, IR, MITRE ATT&CK), listening z native speakerami w realnych scenariuszach SOC, ćwiczenia z formuły Security+ / CySA+. Polski junior z B1+ angielskim staje się gotowy językowo do roli SOC Tier 1 w 8–12 tygodni.

Zobacz CYBERSPEAK

SOC tier model + KPI (MTTD, MTTR)

SOC organizuje pracę w warstwy (tiers) zgodnie z poziomem doświadczenia i rodzajem zadań:

Role w SOC

Rola ENRola PLGłówne zadania
SOC Analyst Tier 1 (Alert Triage)analityk pierwszej liniiTriage alertów z SIEM, klasyfikacja TP/FP, eskalacja. Dyżur 24/7. PL: 7-12k.
SOC Analyst Tier 2 (Incident Responder)analityk drugiej liniiPogłębiona analiza, korelacja danych, prowadzenie pierwszych etapów IR. PL: 12-18k.
SOC Analyst Tier 3 / Threat Hunterstarszy analityk / threat hunterProaktywny hunting, opracowywanie nowych detekcji, badanie zaawansowanych zagrożeń. PL: 18-30k.
SOC Manager / SOC Leadmanager SOCZarządzanie zespołem, KPI, raportowanie do CISO. PL: 25-40k.
Detection Engineerinżynier detekcjiPisanie / utrzymanie reguł SIEM, Sigma, YARA. Specjalizacja techniczna.
DFIR Specialistspecjalista DFIRDigital Forensics & Incident Response — analiza po-incydentowa, dowody, atrybucja.
CTI Analystanalityk threat intelCyber Threat Intelligence — śledzenie APT, OSINT, dostarczanie kontekstu dla SOC.

Główne KPI SOC

194 dni
MTTD globalna 2024
64 dni
MTTR globalna 2024
< 24 h
MTTD top SOC
1–7 dni
MTTR top SOC

KPI SOC

ENPLDefinicja
MTTD (Mean Time To Detect)średni czas wykryciaŚrednia liczba czasu od pojawienia się ataku do jego wykrycia.
MTTR (Mean Time To Respond)średni czas reakcjiOd wykrycia do containment / eradication.
Dwell timeczas obecności atakującegoSynonim MTTD, używany częściej w kontekście threat intel. Czas, w którym atakujący był „w domu" niewykryty.
SLA (Service Level Agreement)umowa o poziomie usługKontraktowe zobowiązanie czasu odpowiedzi (np. „TP eskalowane w 15 min").
SLO (Service Level Objective)cel poziomu usługWewnętrzny cel SOC, niżej niż SLA.
Alert volumewolumen alertówLiczba alertów / dzień (mierzone w SIEM).
Alert fatiguezmęczenie alertamiStan, w którym analityk ignoruje alerty z powodu zbyt dużego volume'u (przeciętnie 70% to FP — Sumo Logic 2024).
Coveragepokrycie% MITRE ATT&CK techniques, które SOC potrafi wykryć. Mierzone w „ATT&CK heatmapie".

Cykl alertu — TP / FP / FN / TN

Każdy alert kończy klasyfikacją w macierzy 2×2 (zaczerpnięta ze statystyki medycznej):

True Positive (TP)
Alert się włączył + było zagrożenie. Jackpot — system działa, eskalacja do IR.
False Positive (FP)
Alert się włączył, ale NIE było zagrożenia. „Krzyk wilka" — strata czasu, ale bezpieczna sytuacja. 70% wszystkich alertów.
False Negative (FN)
Atak się zdarzył, ale alert się NIE włączył. NAJGORSZY przypadek — niewykryta kompromitacja. „Brakująca detekcja".
True Negative (TN)
Brak ataku + brak alertu. Stan normalny, niemierzony bezpośrednio (statystyka).

Tuning detekcji = kompromis między czułością (mniej FN) a precyzją (mniej FP). Idealny SOC dąży do FP rate < 30% i FN rate dążącego do zera. W praktyce: tradeoff niemożliwy do uniknięcia.

Pojęcia związane z alertami

ENPLDefinicja
EventzdarzenieSurowy log z systemu (login, plik utworzony, request HTTP). Bez kontekstu.
Alert / Alarmalert / alarmEvent spełniający regułę detekcji. Wymaga oceny człowieka.
IncidentincydentPotwierdzone zagrożenie wymagające reakcji. Z alertu po triażu.
BreachnaruszenieIncydent, który spowodował ujawnienie / kradzież danych. Wymóg notyfikacji (RODO 72h).
Triagetriaż / segregacja alertówPierwsza ocena alertu: prawdziwy czy fałszywy, pilny czy nie, czy eskalować.
EscalationeskalacjaPrzekazanie alertu wyżej (T1 → T2, T2 → T3, T3 → manager).
Playbook / runbookscenariusz reakcjiProcedura krok-po-kroku dla danego typu incydentu. Zwykle w SOAR.
Baselinebaseline / wartość referencyjnaNormalne zachowanie systemu / użytkownika. Podstawa anomaly detection.

SIEM / SOAR / EDR / XDR / NDR

Stack narzędzi nowoczesnego SOC. Pozwala zrozumieć, co robi każdy element:

Narzędzia SOC

ENPLFunkcja
SIEM (Security Information and Event Management)platforma agregacji i analizy zdarzeńCentralne zbieranie logów ze wszystkich źródeł, korelacja, alerty. Liderzy: Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security.
SOAR (Security Orchestration, Automation and Response)orkiestracja, automatyzacja, reagowanieWarstwa AUTOMATYZACJI nad SIEM. Playbooki, integracje z innymi narzędziami. Liderzy: Palo Alto Cortex XSOAR, Splunk SOAR, Tines.
EDR (Endpoint Detection and Response)detekcja i reakcja na endpointachMonitoring i reakcja na laptopach / serwerach. Liderzy: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint.
XDR (Extended Detection and Response)rozszerzona detekcja i reakcjaEDR + email + cloud + sieć w jednym. Unifikacja wielu źródeł. Liderzy: Palo Alto Cortex XDR, CrowdStrike Falcon Insight XDR.
NDR (Network Detection and Response)detekcja i reakcja sieciowaMonitoring ruchu sieciowego. Liderzy: Darktrace, Vectra, ExtraHop.
UEBA (User and Entity Behavior Analytics)analityka behawioralnaProfile użytkowników, detekcja anomalii. Część współczesnego SIEM-u.
DLP (Data Loss Prevention)zapobieganie wyciekom danychKontrola exfiltracji — co opuszcza firmę (USB, mail, chmura).
CASB (Cloud Access Security Broker)broker bezpieczeństwa chmuryPośrednik między użytkownikami a usługami SaaS. Polityki bezpieczeństwa, DLP, monitoring.
SASE (Secure Access Service Edge)bezpieczny dostęp na krawędziPołączenie SD-WAN + SWG + CASB + ZTNA. Konwergencja sieci i bezpieczeństwa.
TIP (Threat Intelligence Platform)platforma threat intelligenceZarządzanie feedami TI (STIX/TAXII), korelacja z alertami. Liderzy: Anomali, ThreatConnect, OpenCTI.

Threat hunting — proaktywna obrona

Threat hunting (polowanie na zagrożenia) to PROAKTYWNE szukanie ataków, których SIEM jeszcze nie wykrył. Założenie: jeśli czekasz na alert, jesteś już krok za atakującym. Hipotezy huntingowe są budowane w oparciu o threat intel, MITRE ATT&CK, raporty branżowe.

Threat hunting

ENPLDefinicja
Hypothesis-driven hunthunt oparty na hipotezieNajczęstsza forma. Hipoteza („APT29 używa technique T1059.001 — może też u nas?") → query SIEM → analiza wyników.
Threat-informed hunthunt informowany przez TIHunt oparty na konkretnym raporcie threat intelligence (np. CrowdStrike Global Threat Report).
Anomaly-driven hunthunt anomaliiBez hipotezy — szukasz odchyleń od baseline'u. Mniej efektywny, ale czasem łapie nieznane zagrożenia.
Threat hunting model PEAK / SQRRLmodel huntinguSQRRL Hunting Maturity Model (Sqrrl, kupiona przez AWS). 5 poziomów dojrzałości.
IOC pivotingpivotowanie po IOCOd jednego IOC szukasz powiązanych: jeśli widzę ten hash, jakie IP, jakie domeny, jakie hosty go widziały.
Living off the land (LOTL / LotL)życie z zasobów lokalnychAtakujący używa LEGALNYCH narzędzi systemowych (PowerShell, WMI, certutil) zamiast malware'a. Trudne do wykrycia.

MITRE ATT&CK + Cyber Kill Chain + Diamond Model

Trzy główne frameworki używane w SOC do strukturyzowania myślenia o atakach:

Frameworki strukturyzujące ataki

ENPLCharakterystyka
Cyber Kill Chain (Lockheed Martin, 2011)łańcuch zabicia ataku7 etapów: Reconnaissance → Weaponization → Delivery → Exploitation → Installation → C2 → Actions on Objectives. Pierwsza generacja, wysokiego poziomu.
MITRE ATT&CK (2013)framework taktyk i technik14 taktyk × 200+ technik × 600+ sub-technik. Bardzo szczegółowy. Dziś standard branży. Każda technika ma ID (T1059), opis, mitigacje, detekcje.
Diamond Model of Intrusion Analysis (Caltagirone et al., 2013)diamentowy model analizy4 wierzchołki: Adversary, Capability, Infrastructure, Victim. Pomaga w atrybucji i pivotowaniu.
Pyramid of Pain (David Bianco, 2013)piramida bólu6 poziomów wskaźników: hash → IP → domain → artifacts → tools → TTP. Strategia detekcji.
Unified Kill Chain (Pols, 2017)zunifikowany kill chainKombinacja Lockheed Kill Chain + MITRE ATT&CK. 18 faz.

14 taktyk MITRE ATT&CK w kolejności

  1. Reconnaissance — rekonesans
  2. Resource Development — przygotowanie infrastruktury
  3. Initial Access — pierwsze wejście
  4. Execution — wykonanie kodu
  5. Persistence — utrzymanie obecności
  6. Privilege Escalation — eskalacja uprawnień
  7. Defense Evasion — omijanie detekcji
  8. Credential Access — kradzież credentials
  9. Discovery — rozpoznanie środowiska
  10. Lateral Movement — ruch boczny
  11. Collection — zbieranie danych
  12. Command and Control (C2) — komunikacja z atakującym
  13. Exfiltration — wyciek danych
  14. Impact — skutek (ransomware, sabotaż, wipe)

Incident Response — NIST vs SANS PICERL

Dwa najpopularniejsze modele cyklu reagowania na incydenty:

Cykle Incident Response — porównanie NIST 4 fazy (Preparation, Detection & Analysis, Containment-Eradication-Recovery, Post-Incident) i SANS PICERL 6 faz (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned)

Modele Incident Response

NIST SP 800-61 (4 fazy)SANS PICERL (6 faz)
1. Preparation1. Preparation
2. Detection & Analysis2. Identification
3. Containment, Eradication & Recovery3. Containment
4. Eradication
5. Recovery
4. Post-Incident Activity6. Lessons Learned

NIST — bardziej skondensowany. Używany w certyfikatach CompTIA Security+ i compliance (HIPAA, PCI DSS).

SANS PICERL — bardziej szczegółowy. Używany w certyfikatach SANS GIAC (GCIH, GCFA, GCFE).

Pojęcia IR

ENPLDefinicja
Containmentizolacja / powstrzymanieOdcięcie zainfekowanych systemów od sieci. „Krótka" (natychmiast) lub „długa" (przygotowanie środowiska).
EradicationeliminacjaUsunięcie malware'a, zamknięcie luk, reset credentials.
RecoveryodzyskiwaniePrzywrócenie systemów do normalnej pracy z czystych backupów.
Lessons Learnedwnioski po incydencieSpotkanie post-mortem, dokumentacja, aktualizacja runbooków, treningi.
Tabletop exercisećwiczenie przy stolikuSymulacja IR „na sucho" — przegląd procedur w sali, bez prawdziwego ataku.
Red team / purple team exercisećwiczenie z atakującymiRealna symulacja, gdzie red team próbuje, blue team wykrywa.
RTO (Recovery Time Objective)cel czasu odzyskaniaMaks. czas, w którym system może być nieoperacyjny.
RPO (Recovery Point Objective)cel punktu odzyskaniaMaks. wiek danych, jakie tracimy (jak często backup).

DFIR — narzędzia i terminologia

DFIR (Digital Forensics & Incident Response) to specjalistyczny obszar — analiza po-incydentowa, dowodowa, rekonstrukcja ataku:

DFIR — narzędzia i pojęcia

ENPLCo to
Forensic imageobraz forensicznyBit-by-bit kopia dysku zachowująca dowody. Format: dd, E01, AFF.
Memory dump / RAM dumpzrzut pamięciSnapshot RAM-u (Volatility framework do analizy). Łapie fileless malware, klucze szyfrujące.
PCAP (Packet Capture)zrzut pakietówFormat pliku z ruchem sieciowym (Wireshark, tcpdump).
Chain of custodyłańcuch dowodowyDokumentacja, kto i kiedy miał dostęp do dowodów. Wymóg sądowy.
Hashing for integrityhaszowanie dla integralnościSHA-256 zrzutów, żeby udowodnić niezmienność dowodu.
Sandboxsandbox / piaskownicaIzolowane środowisko do bezpiecznego uruchomienia podejrzanego pliku. Liderzy: Cuckoo, ANY.RUN, Hybrid Analysis.
Static analysisanaliza statycznaAnaliza pliku BEZ uruchomienia (strings, hex editor, IDA Pro, Ghidra).
Dynamic analysisanaliza dynamicznaUruchomienie pliku w sandboxie i obserwacja zachowania.
YARA rulesreguły YARAJęzyk opisu wzorców do wykrywania malware'a (signature-based, ale potężniejszy niż prosta sygnatura).
Sigma rulesreguły SigmaGeneryczny format reguł SIEM (vendor-neutral). Tłumaczone do Splunk SPL, Elastic, Sentinel KQL.
Snort rulesreguły SnortReguły IDS / IPS dla sieciowych sygnatur (Snort, Suricata).
Volatility frameworkframework VolatilityOpen source narzędzie do analizy memory dumpów (procesy, sieciowe połączenia, malware w RAM).
Autopsy / FTK / EnCasenarzędzia forensyczneKomercyjne / open source narzędzia do analizy obrazów dysków.

Threat intelligence — STIX, TAXII, OSINT

Threat intelligence (TI) to dane o atakujących i ich operacjach — kontekst, który pomaga SOC reagować mądrzej. Dzieli się na 4 poziomy:

4 poziomy threat intelligence

ENPLOdbiorca
Strategic TIstrategiczne TIC-level (CEO, CISO). Wysokopoziomowe trendy, motywacje grup, geopolityka.
Tactical TItaktyczne TISOC manager, threat hunters. TTP konkretnych APT, kampanie.
Operational TIoperacyjne TISOC analyst T2/T3. Konkretne kampanie, cele, czasy operacyjne.
Technical TItechniczne TISOC analyst T1/T2. Konkretne IOC: hashe, IP, domeny.

Standardy i pojęcia TI

ENPLCo to
STIX (Structured Threat Information eXpression)format opisu TIJSON-based, OASIS standard. Obiekty: Indicator, Threat Actor, Malware, Campaign.
TAXII (Trusted Automated eXchange of Intelligence Information)protokół wymiany TIREST API, autoryzacja, kanały subskrypcji. Para z STIX.
OSINT (Open Source Intelligence)wywiad ze źródeł otwartychPublicznie dostępne informacje (LinkedIn, social media, GitHub, fora).
HUMINT (Human Intelligence)wywiad osobowyInformacje od ludzi (informatorów, undercover).
SIGINT (Signals Intelligence)wywiad radiowy / sygnałowyPrzechwytywanie komunikacji elektronicznej.
CTI (Cyber Threat Intelligence)cyber threat intelligenceTI specyficzne dla cyber, łączące OSINT + komercyjne feedy + analizę.
TIP (Threat Intelligence Platform)platforma TILiderzy: Anomali, ThreatConnect, OpenCTI, MISP.
MISP (Malware Information Sharing Platform)platforma dzielenia info o malwareOpen source TIP, popularny w sektorze publicznym i akademii.
ISAC (Information Sharing and Analysis Center)centrum dzielenia się informacjamiSektorowe społeczności wymiany TI: FS-ISAC (finanse), H-ISAC (zdrowie), MS-ISAC (samorządy).

Linki do pogłębienia

FAQ — najczęstsze pytania

Czym jest blue team i czym różni się od SOC?

Blue team — ogólne pojęcie defensywnego zespołu cybersecurity. SOC — strukturalna realizacja blue teamu (24/7 dyżury, eskalacje, SLA). Każdy SOC jest blue teamem, ale nie każdy blue team to SOC.

Jaka jest różnica między IOC a IOA?

IOC — artefakt po ataku (hash, IP, domena). Reaktywne. IOA — wzorzec zachowania w trakcie ataku, niezależny od narzędzi. Proaktywne. CrowdStrike spopularyzował to rozróżnienie po 2014.

Co to jest Pyramid of Pain?

Model Bianco (2013): hash (banalne) → IP → domain → artifacts → tools → TTP (najbardziej bolesne dla atakującego). Strategia: detekcja TTP zmusza atakującego do całkowitego przemodelowania.

Jaki jest model SOC tier (T1/T2/T3)?

T1 — alert triage (7-12k PLN). T2 — incident responder (12-18k). T3 / Threat Hunter (18-30k). SOC Manager (25-40k). Detection Engineer i DFIR Specialist — osobne specjalizacje.

Co to są MTTD i MTTR?

MTTD — czas wykrycia (globalna średnia 2024: 194 dni). MTTR — czas reakcji (64 dni). Top SOC: MTTD < 24h, MTTR 1-7 dni. Niższy MTTD + MTTR = mniejsze straty per breach.

Czym różni się NIST IR od SANS PICERL?

NIST SP 800-61 — 4 fazy (Preparation / Detection & Analysis / Containment-Eradication-Recovery / Post-Incident). SANS PICERL — 6 faz. Praktycznie te same etapy w różnej granulacji. Security+ pyta o NIST, SANS GIAC — o PICERL.

Co to jest MITRE ATT&CK?

Framework MITRE z 2013 r. (v15 z 2024). 14 taktyk × 200+ technik × 600+ sub-technik. Każda technika ma ID, opis, mitigacje, detekcje. Standard branży — wymóg w każdej roli SOC od T1 wzwyż.

Co to są STIX i TAXII?

STIX — JSON-based format opisu threat intel (Indicator, Threat Actor, Malware). TAXII — protokół transportu STIX. Razem — fundament współdzielenia TI w sektorze.

Polski junior na pierwszej zmianie SOC: „Mam alert TP od EDR, eskalować do T2, czy wstępnie skorelować z IOC z TIP, sprawdzić mapowanie do MITRE ATT&CK technique, zaktualizować playbook w SOAR i zalogować w ticket system?". Senior: „Tak. I pamiętaj o RPO i RTO przy escalacji do DFIR." Junior: „... Czy mogę z powrotem do działu marketingu?". SOC English to nie tylko cyber — to swój własny dialekt akronimów.