Vad är en SOC? Ett Security Operations Center, eller SOC, är ett team av IT-säkerhetsexperter som skyddar organisationen genom att övervaka, upptäcka, analysera och utreda cyberhot. Nätverk, servrar, datorer, endpoint-enheter, operativsystem, applikationer och databaser undersöks kontinuerligt för tecken på en cybersäkerhetsincident. SOC-teamet analyserar flöden, fastställer regler, identifierar undantag, förbättrar svaren och håller utkik efter nya sårbarheter.
Eftersom de tekniska systemen i moderna organisationer är igång dygnet runt arbetar SOC:er vanligtvis dygnet runt i skift för att säkerställa en snabb respons på alla nya hot. SOC-team kan samarbeta med andra avdelningar och anställda eller arbeta med experter från tredjepartsleverantörer av IT-säkerhet.
Innan en SOC inrättas måste organisationerna utveckla en övergripande strategi för cybersäkerhet som stämmer överens med deras affärsmål och utmaningar. Många stora organisationer har en egen SOC, men andra väljer att lägga ut SOC på en tredjepartsleverantör av säkerhetstjänster.
Konsulttjänster inom säkerhetsunderrättelseverksamhet och operativ verksamhet omfattar en arsenal av säkerhetslösningar för att ligga steget före säkerhetshoten.
SOC:s primära uppdrag är säkerhetsövervakning och varningar. Detta inkluderar insamling och analys av data för att identifiera misstänkt aktivitet och förbättra organisationens säkerhet. Threat data samlas in från brandväggar, intrångsdetekteringssystem, intrångsskyddssystem, SIEM-system (Security Information and Event Management) och hotinformation. Varningar skickas ut till SOC-teamets medlemmar så snart avvikelser, onormala trender eller andra indikatorer på kompromettering upptäcks.
Upptäckt av tillgångar
Genom att skaffa sig en djup kunskap om all maskinvara, programvara, verktyg och teknik som används i organisationen säkerställer SOC att tillgångarna övervakas med avseende på säkerhetsincidenter.
Beteendemässig övervakning
SOC analyserar teknisk infrastruktur 24/7/365 för att upptäcka avvikelser. SOC använder både reaktiva och proaktiva åtgärder för att säkerställa att oregelbunden aktivitet snabbt upptäcks och åtgärdas. Beteendemässig övervakning av misstänkt aktivitet används för att minimera falska positiva resultat.
Upprätthålla aktivitetsloggar
All aktivitet och kommunikation som sker i hela företaget måste loggas av SOC-teamet. Aktivitetsloggar gör det möjligt för SOC att spåra tillbaka och fastställa tidigare åtgärder som kan ha orsakat ett cybersäkerhetsintrång. Logghantering hjälper också till att sätta en baslinje för vad som ska anses vara normal aktivitet.
Rangordning av varningar
Alla säkerhetsincidenter är inte lika. Vissa incidenter utgör en större risk för en organisation än andra. Att rangordna allvarlighetsgraden hjälper SOC-teamen att prioritera de allvarligaste varningarna.
Svar på incidenter
SOC-teamen hanterar incidenter när ett intrång upptäcks.
Utredning av grundorsaker
Efter en incident kan SOC få i uppdrag att utreda när, hur och varför en incident inträffade. Under utredningen förlitar sig SOC på logginformation för att spåra grundproblemet och därmed förhindra upprepning.
Hantering av efterlevnad
SOC-teamets medlemmar måste agera i enlighet med organisationens policyer, branschstandarder och lagstadgade krav.
När en SOC implementeras på rätt sätt ger den många fördelar, bland annat följande:
Talangklyfta
Utmaning: Det finns ett stort underskott på yrkesverksamma inom cybersäkerhet som behövs för att fylla befintliga lediga jobb inom cybersäkerhet. Gapet uppgick till 4,07 miljoner yrkesverksamma 2019. Med en sådan brist måste SOC:erna dagligen balansera på en knivsegg med hög risk för att teammedlemmarna blir överväldigade.
Lösning: Organisationer bör titta inåt och överväga att höja kompetensen hos anställda för att fylla luckor i sitt SOC-team. Alla roller i SOC bör ha en backup som har den expertis som krävs för att hålla ställningarna om positionen plötsligt blir vakant eller lära sig att betala vad kompetensen är värd istället för att använda den billigaste resursen de kan hitta.
Sofistikerade angripare
Utmaning: Nätverksförsvar är en nyckelkomponent i en organisations strategi för cybersäkerhet. Det kräver särskild uppmärksamhet eftersom sofistikerade aktörer har de verktyg och den kunskap som krävs för att kringgå traditionella försvar som brandväggar och endpoint security.
Lösning: Använd verktyg som har funktioner för anomalidetektering och/eller maskininlärning och som kan identifiera nya hot.
Omfattande data- och nätverkstrafik
Utmaning: Mängden nätverkstrafik och data som en genomsnittlig organisation hanterar är enorm. Med en sådan astronomisk tillväxt i datavolym och trafik följer en ökande svårighet att analysera all denna information i realtid.
Lösning: SOC:er förlitar sig på automatiserade verktyg för att filtrera, analysera, aggregera och korrelera information för att hålla manuell analys till ett minimum.
Trötthet vid larm
Utmaning: I många säkerhetssystem inträffar avvikelser med viss regelbundenhet. Om SOC förlitar sig på ofiltrerade anomalivarningar är det lätt att den stora mängden varningar blir överväldigande. Många varningar kanske inte ger det sammanhang och den information som behövs för att undersöka dem och distraherar därmed teamen från verkliga problem.
Lösning: Konfigurera övervakningsinnehåll och varningsrankning så att det går att skilja mellan varningar med låg och hög tillförlitlighet. Använd verktyg för beteendeanalys för att säkerställa att SOC-teamet fokuserar på att ta itu med de mest ovanliga varningarna först.
Okända hot
Utmaning: Konventionell signaturbaserad detektering, endpoint-detektering och brandväggar kan inte identifiera ett okänt hot.
Lösning: SOC:er kan förbättra sina signatur-, regel- och tröskelbaserade lösningar för hotdetektering genom att implementera beteendeanalys för att hitta ovanligt beteende.
Överbelastning av säkerhetsverktyg
Utmaning: I sin strävan att fånga upp alla tänkbara hot köper många organisationer in flera olika säkerhetsverktyg. Dessa verktyg är ofta frikopplade från varandra, har en begränsad räckvidd och är inte tillräckligt sofistikerade för att identifiera komplexa hot.
Lösning: Fokusera på effektiva motåtgärder med en centraliserad övervaknings- och varningsplattform.
En välfungerande SOC är navet i ett effektivt cybersäkerhetsprogram för företag. SOC utgör ett fönster mot ett komplext och omfattande hotlandskap. En SOC behöver inte nödvändigtvis vara in-house för att vara effektiv. En helt eller delvis outsourcad SOC som drivs av en erfaren tredje part kan hålla koll på organisationens behov av cybersäkerhet. En SOC är central när det gäller att hjälpa organisationer att reagera snabbt på intrång.
Smartare, enklare skydd
Proaktivt upptäcka insiderrisker, nya attacker och avancerade ihållande hot
Snabbare upptäckt av hot och snabbare svar med realtidsdetektering och inbyggd SOAR
Implementera en SIEM-logghanteringslösning som skapats för säkerhetsanalys, utredning och efterlevnad.