Vad ?r ett Security Operations Center (SOC)?
?versikt
Vad ?r en SOC? Ett Security Operations Center, eller SOC, ?r ett team av IT-s?kerhetsexperter som skyddar organisationen genom att ?vervaka, uppt?cka, analysera och utreda cyberhot. N?tverk, servrar, datorer, endpoint-enheter, operativsystem, applikationer och databaser unders?ks kontinuerligt f?r tecken p? en cybers?kerhetsincident. SOC-teamet analyserar fl?den, fastst?ller regler, identifierar undantag, f?rb?ttrar svaren och h?ller utkik efter nya s?rbarheter.
Eftersom de tekniska systemen i moderna organisationer ?r ig?ng dygnet runt arbetar SOC:er vanligtvis dygnet runt i skift f?r att s?kerst?lla en snabb respons p? alla nya hot. SOC-team kan samarbeta med andra avdelningar och anst?llda eller arbeta med experter fr?n tredjepartsleverant?rer av IT-s?kerhet.
Innan en SOC inr?ttas m?ste organisationerna utveckla en ?vergripande strategi f?r cybers?kerhet som st?mmer ?verens med deras aff?rsm?l och utmaningar. M?nga stora organisationer har en egen SOC, men andra v?ljer att l?gga ut SOC p? en tredjepartsleverant?r av s?kerhetstj?nster.
Konsulttj?nster inom s?kerhetsunderr?ttelseverksamhet och operativ verksamhet omfattar en arsenal av s?kerhetsl?sningar f?r att ligga steget f?re s?kerhetshoten.
Centrum f?r s?kerhetsoperationer (SOC)
Hur fungerar en SOC?
SOC:s prim?ra uppdrag ?r s?kerhets?vervakning och varning. Detta inkluderar insamling och analys av data f?r att identifiera misst?nkt aktivitet och f?rb?ttra organisationens s?kerhet. Hotdata samlas in fr?n brandv?ggar, intr?ngsdetekteringssystem, intr?ngsskyddssystem, SIEM-system (Security Information and Event Management) och hotinformation. Varningar skickas ut till SOC-teamets medlemmar s? snart avvikelser, onormala trender eller andra indikatorer p? kompromettering uppt?cks.
Vad g?r en SOC?
Uppt?ckt av tillg?ngar
Genom att skaffa sig en djup kunskap om all maskinvara, programvara, verktyg och teknik som anv?nds i organisationen s?kerst?ller SOC att tillg?ngarna ?vervakas med avseende p? s?kerhetsincidenter.
Beteendem?ssig ?vervakning
SOC analyserar teknisk infrastruktur 24/7/365 f?r att uppt?cka avvikelser. SOC anv?nder b?de reaktiva och proaktiva ?tg?rder f?r att s?kerst?lla att oregelbunden aktivitet snabbt uppt?cks och ?tg?rdas. anv?nds f?r att minimera falska positiva resultat.
Uppr?tth?lla aktivitetsloggar
All aktivitet och kommunikation som sker i hela f?retaget m?ste loggas av SOC-teamet. Aktivitetsloggar g?r det m?jligt f?r SOC att sp?ra tillbaka och fastst?lla tidigare ?tg?rder som kan ha orsakat ett cybers?kerhetsintr?ng. hj?lper ocks? till att s?tta en baslinje f?r vad som ska anses vara normal aktivitet.
Rangordning av varningar
Alla s?kerhetsincidenter ?r inte lika. Vissa incidenter utg?r en st?rre risk f?r en organisation ?n andra. Att rangordna allvarlighetsgraden hj?lper SOC-teamen att prioritera de allvarligaste varningarna.
Svar p? incidenter
SOC-teamen hanterar incidenter n?r ett intr?ng uppt?cks.
Utredning av grundorsaker
Efter en incident kan SOC f? i uppdrag att utreda n?r, hur och varf?r en incident intr?ffade. Under utredningen f?rlitar sig SOC p? logginformation f?r att sp?ra grundproblemet och d?rmed f?rhindra upprepning.
Hantering av efterlevnad
SOC-teamets medlemmar m?ste agera i enlighet med organisationens policyer, branschstandarder och lagstadgade krav.
Vilka ?r f?rdelarna med en SOC?
N?r en SOC implementeras p? r?tt s?tt ger den m?nga f?rdelar, bland annat f?ljande:
- Kontinuerlig ?vervakning och analys av systemaktivitet.
- F?rb?ttrad incidenthantering.
- F?rkortad tidslinje mellan n?r ett intr?ng intr?ffar och n?r det uppt?cks.
- Minskad stillest?ndstid.
- Centralisering av h?rd- och mjukvarutillg?ngar som leder till en mer holistisk realtidsstrategi f?r infrastrukturs?kerhet.
- Effektivt samarbete och kommunikation.
- Minskning av direkta och indirekta kostnader i samband med hanteringen av cybers?kerhetsincidenter.
- Medarbetare och kunder litar p? organisationen och blir mer bekv?ma med att dela med sig av konfidentiell information.
- ?kad kontroll och insyn i s?kerhetsarbetet.
- Tydlig kontrollkedja f?r system och data, n?got som ?r avg?rande f?r att framg?ngsrikt kunna ?tala cyberbrottslingar.
Vilka ?r SOC:s utmaningar och hur l?ser man dem?
Talangklyfta
Utmaning: Det finns ett stort underskott p? yrkesverksamma inom cybers?kerhet som beh?vs f?r att fylla befintliga lediga jobb inom cybers?kerhet. Gapet uppgick till 4,07 miljoner yrkesverksamma 2019. Med en s?dan brist m?ste SOC:erna dagligen balansera p? en knivsegg med h?g risk f?r att teammedlemmarna blir ?verv?ldigade.
L?sning: Organisationer b?r titta in?t och ?verv?ga att h?ja kompetensen hos anst?llda f?r att fylla luckor i sitt SOC-team. Alla roller i SOC b?r ha en backup som har den expertis som kr?vs f?r att h?lla st?llningarna om positionen pl?tsligt blir vakant eller l?ra sig att betala vad kompetensen ?r v?rd ist?llet f?r att anv?nda den billigaste resursen de kan hitta.
Sofistikerade angripare
Utmaning: N?tverksf?rsvar ?r en nyckelkomponent i en organisations strategi f?r cybers?kerhet. Det kr?ver s?rskild uppm?rksamhet eftersom sofistikerade akt?rer har de verktyg och den kunskap som kr?vs f?r att kringg? traditionella f?rsvar som brandv?ggar och endpoint security.
L?sning: Anv?nd verktyg som har funktioner f?r anomalidetektering och/eller maskininl?rning och som kan identifiera nya hot.
Omfattande data- och n?tverkstrafik
Utmaning: M?ngden n?tverkstrafik och data som en genomsnittlig organisation hanterar ?r enorm. Med en s?dan astronomisk tillv?xt i datavolym och trafik f?ljer en ?kande sv?righet att analysera all denna information i realtid.
L?sning: SOC:er f?rlitar sig p? automatiserade verktyg f?r att filtrera, analysera, aggregera och korrelera information f?r att h?lla manuell analys till ett minimum.
Tr?tthet vid larm
Utmaning: I m?nga s?kerhetssystem intr?ffar avvikelser med viss regelbundenhet. Om SOC f?rlitar sig p? ofiltrerade anomalivarningar ?r det l?tt att den stora m?ngden varningar blir ?verv?ldigande. M?nga varningar kanske inte ger det sammanhang och den information som beh?vs f?r att unders?ka dem och distraherar d?rmed teamen fr?n verkliga problem.
L?sning: Konfigurera ?vervakningsinneh?ll och varningsrankning s? att det g?r att skilja mellan varningar med l?g och h?g tillf?rlitlighet. Anv?nd verktyg f?r beteendeanalys f?r att s?kerst?lla att SOC-teamet fokuserar p? att ta itu med de mest ovanliga varningarna f?rst.
Ok?nda hot
Utmaning: Konventionell signaturbaserad detektering, endpoint-detektering och brandv?ggar kan inte identifiera ett ok?nt hot.
L?sning: SOC:er kan f?rb?ttra sina signatur-, regel- och tr?skelbaserade l?sningar f?r hotdetektering genom att implementera beteendeanalys f?r att hitta ovanligt beteende.
?verbelastning av s?kerhetsverktyg
Utmaning: I sin str?van att f?nga upp alla t?nkbara hot k?per m?nga organisationer in flera olika s?kerhetsverktyg. Dessa verktyg ?r ofta frikopplade fr?n varandra, har en begr?nsad r?ckvidd och ?r inte tillr?ckligt sofistikerade f?r att identifiera komplexa hot.
L?sning: Fokusera p? effektiva mot?tg?rder med en centraliserad ?vervaknings- och varningsplattform.
S?kerhetsoperationscenter: In-house eller outsourcat?
En v?lfungerande SOC ?r navet i ett effektivt cybers?kerhetsprogram f?r f?retag. SOC utg?r ett f?nster mot ett komplext och omfattande hotlandskap. En SOC beh?ver inte n?dv?ndigtvis vara in-house f?r att vara effektiv. En helt eller delvis outsourcad SOC som drivs av en erfaren tredje part kan h?lla koll p? organisationens behov av cybers?kerhet. En SOC ?r central n?r det g?ller att hj?lpa organisationer att reagera snabbt p? intr?ng.
