SOC definition

Et Security Operations Center (SOC) er et kommandocenter for profesionelle indenfor cybersikkerhed, der er ansvarlige for overvågning, analyse og beskyttelse af en organisation mod cyberangreb. I SOC overvåges kontinuerligt internettrafik, intern netværksinfrastruktur, desktops, servere, slutpunktsenheder, databaser, applikationer, IoT-enheder og andre systemer for sikkerhedshændelser. SOC-medarbejderne kan arbejde med andre teams eller afdelinger, men er typisk selvstændige med medarbejdere, der har forskellige færdigheder indenfor cybersikkerhed. De fleste SOC’er opererer 24-7 med medarbejdere, der arbejder på skift for løbende at overvåge netværksaktivitet og afbøde trusler. En SOC kan bygges internt, alternativt helt eller delvist outsourcet til eksterne udbydere.

Hvordan et SOC fungerer?

SOC overvåger sikkerhedsdata, der genereres i hele organisationens IT infrastruktur, fra værtssystemer og applikationer til netværk og sikkerhedsenheder, såsom firewalls og antivirusløsninger.

Ved at kombinere en række avancerede værktøjer og færdigheder fra erfarne cybersikkerhedsfagfolk udfører Security Operations Center følgende vigtige funktioner:

  • Overvågning af sikkerhedshændelser, sporring, efterforskning og alarm triage
  • Håndtering af sikkerhedshændelses respons, herunder malware analyse og forensic efterforskning
  • Threat intelligence management (ingestion, produktion, kurering og formidling)
  • Risikobaseret styring af sårbarheder (især prioritering af patching)
  • Threat hunting
  • Administration og vedligeholdelse af sikkerhedsenheder
  • Udvikling af data og metrics til compliance rapportering/management

 

Moderne Security Operations Center komponeneter

Hvad er det inkluderede værktøj i et Security Operations Center?

SOC inkluderer et sæt værktøjer i en forskelligartet stak af teknologier, der hjælper cybersikkerhedsanalytikere med løbende at overvåge sikkerhedsaktiviteter i organisationens IT infrastruktur. Medlemmerne af sikkerhedsteamet, der er stationeret i Security Operations Center, bruger disse værktøjer til at identificere, kategorisere, analysere hændelser og begivenheder og i sidste ende beslutte, hvordan de skal reagere på disse begivenheder.

Væsentlige værktøjer i stakken af SOC teknologier er:

Security Information and Event Management Solution

Værktøjer til sikkerhedsinformation og hændelsesadministration (SIEM) giver SOC’s fundament i betragtning af dets evne til at korrelere regler mod massive mængder af forskellige data for at finde trusler. Integration af threat intelligence tilføjer værdi til SIEM aktiviteten ved at give kontekst til alarmerne og prioritere dem.

Behavioral monitoring

User and Entity Behavioral Analytics (UEBA), typisk tilføjet oven på SIEM platform, hjælper sikkerhedsteams med at oprette basislinjer ved at anvende adfærdsmodellering og machine learning til surface sikkerhedsrisici.

Asset discovery

Asset discovery eller et asset directory hjælper dig med bedre at forstå, hvilke systemer og værktøjer der kører i dit miljø. Det giver dig mulighed for at bestemme organisationens kritiske systemer, og hvordan du prioriterer sikkerhedskontrol.

Vulnerability assessment

Det er vigtigt at detektere de huller, som en hacker kan bruge til at infiltrere dine systemer, for at beskytte dit miljø. Sikkerhedsteams skal søge i systemerne efter sårbarheder for at få øje på disse revner og handle i overensstemmelse hermed. Nogle certificeringer og regler kræver også periodiske sårbarhedsvurderinger for at bevise compliance

Intrusion detection

Intrusion detection systems (IDS) er grundlæggende værktøjer til SOC’er til at opdage angreb på de indledende faser. De arbejder typisk ved at identificere kendte angrebsmønstre ved hjælp af indtrængningssignaturer.

Fordelene ved et Security Operations Center

Den primære fordel ved at have en SOC er forbedringen af ​​detektering af sikkerhedshændelser gennem kontinuerlig overvågning og analyse af netværksaktivitet og cyber intelligence resultater. Ved at analysere aktiviteter på tværs af organisationens netværk døgnet rundt kan SOC opdage og reagere på sikkerhedshændelser tidligt. Dette er afgørende, da tiden er et af de mest kritiske elementer i en effektiv respons mod cybersikkerheds hændelser.

SOC overvågningen døgnet rundt giver organisationer en betydelig fordel i kampen for at forsvare sig mod hændelser og indtrængen uanset kilde, tidspunkt på dagen eller type angreb. Kløften mellem angriberens tid til at gå på kompromis og tiden til at opdage nedsættes, hvilket hjælper organisationer med at holde sig på toppen af ​​trusler mod deres omgivelser og begrænse deres risiko.

The key benefits of a SOC include:

  • Uafbrudt overvågning og analyse af mistænkelig aktivitet
  • Forbedret hændelsestid og administration af denne
  • Reduceret kløft mellem tidspunktet for kompromis og tid til at opdage dette
  • Software- og hardwareaktiver er centraliseret for en mere holistisk tilgang til sikkerhed
  • Effektiv kommunikation og samarbejde for at opdage og klassificere kontradiktoriske taktikker og teknikker, f.eks. ved at bruge MITER ATT&CK frameworket
  • Reduktion af omkostninger forbundet med sikkerhedshændelser
  • Øget gennemsigtighed og kontrol over sikkerhedsoperationer
  • Etableret kæde af myndighed for data, der bruges i cybersecurity forensics

Udfordringerne ved et Security Operations Center

SOC har en stadig mere kompleks rolle og styrer alle aspekter af organisationens digitale sikkerhed. For mange organisationer kan det være en udfordring at oprette og vedligeholde en kompetent SOC.

Almindelige udfordringer inkluderer:

Volume

Den mest almindelige udfordring for organisationer er omfanget af sikkerhedsadvarsler, hvoraf mange kræver både avancerede systemer og menneskelige ressourcer for at kategorisere, prioritere og reagere korrekt på trusler. Med et stort antal alarmer kan nogle trusler fejlkategoriseres eller savnes helt. Dette understreger behovet for avancerede overvågningsværktøjer og automatiseringsfunktioner og behovet for et team af dygtige cybersikkerhedsprofessionelle.

Complexity

Virksomhedens natur, fleksibiliteten på arbejdspladsen, et øget brug af cloud teknologi og andre problemer har øget kompleksiteten for at forsvare organisationen og reagere på trusler. I dag er relativt enkle løsninger som firewalls utilstrækkelige som en enkeltstående foranstaltning til at beskytte virksomheden mod digitale modstandere. Tilstrækkelig sikkerhed kræver en løsning, der kombinerer teknologi, mennesker og processer, som kan være udfordrende at planlægge, opbygge og betjene.

Cost

Opbygning af en SOC kræver betydelig tid og ressourcer. Vedligeholdelse af det kan være endnu mere krævende, da trussellandskabet konstant ændres og kræver hyppige opdateringer, opgraderinger og løbende uddannelse af cybersikkerhedspersonalet. Ligeledes har få organisationer i dag det interne tekniske talent, der er nødvendigt for at forstå det aktuelle trussellandskab i en tilstrækkelig grad. Mange organisationer interagerer med tredjeparts sikkerhedstjenesteudbydere (såsom MSSP’er ) for at sikre pålidelige resultater uden signifikant intern investeringer i teknologi eller arbejdsstyrke.

Skills shortage

Opbygning af en intern sikkerhedsløsning gøres endnu hårdere af den begrænsede tilgængelighed af dygtige cybersikkerhedsprofessionelle. Professionelle inden for cybersikkerhed er meget efterspurgte hele verden over, hvilket gør det udfordrende at rekruttere og fastholde disse personer. Dette betyder, at medarbejderomsætning inden for en cybersikkerhedsorganisation potentielt kan påvirke sikkerhedsoperationer.

Security Operation Center Deployment Model

Der er flere forskellige måder for en organisation at erhverve SOC-kapaciteter på. De mest almindelige implementeringsmodeller inkluderer:

Intern SOC

Det anbefales at opbygge et dedikeret internt Security Operations Center til virksomheder der er modne indenfor cybersikkerhed. Organisationer, der har tendens til at udvikle interne SOC’er, har budgettet til at understøtte en investering, der inkluderer support 24×7 -døgnet rundt – og håndterer mange bevægelige dele i og omkring deres infrastruktur. En af de væsentligste fordele ved at opbygge en intern SOC er maksimal synlighed og lydhørhed med hele netværket. Et dedikeret internt team har kapacitet til at overvåge miljøet og dets applikationer og give et komplet billede fra et perspektiv indenfor trusselslandskabet. Nogle ulemper inkluderer kampen for at rekruttere og fastholde talent og høje investeringsomkostninger på forhånd. Denne model tager typisk lang tid at bygge og vedligeholde på et passende niveau.

Administreret SOC, MSSP og MDR

Valg af en administreret SOC anbefales til organisationer, der søger hjælp fra et eksternt firma til at udføre højt kvalificerede overvågnings- og detektionsopgaver. Nogle organisationer kan være modne ud fra et it- og cybersikkerhedsperspektiv. Budgetbegrænsninger og begrænset ekspertise kan dog forhindre muligheden for at opbygge en fuldt funktionel, intern 24×7 SOC. Omvendt kan nogle organisationer i umodne faser være med at beskytte organisationen og kræve bedre ekspertise til hurtigt at håndtere overvågning, detektion og respons (MDR).

Fordelene ved denne model inkluderer: hurtigste, mest enkle, høj mulighed for at skalere og omkostningseffektivt at implementere. Da der er en bred vifte af kunder og brancher, som MSSP’er (Managed Security Services Providers) typisk understøtter, kan ekspertisen og et væld af yderligere intelligens være uvurderlig.

Den største forskel mellem en traditionel SOC og én inklusiv MDR-tjenester er, at disse udbydere ikke kun opdager og analyserer trusler, men også reagerer på dem. Når en trussel opdages, verificerer de kritikken, mens de reagerer og informerer dig om hændelsen.

Hybrid – Small Internal & Managed SOC

En hybridmodel viser det bedste fra begge verdener; internt personale suppleret med tredjepartseksperter, der tilbyder en sikker tilgang til detektion og respons. De fleste organisationer på dette niveau er store nok til at opbygge et lille internt team. De kan dog ikke opbygge en fuldt funktionel intern 24×7 SOC. Denne løsning er effektiv på grund af dens hurtige detektion og responstid. Der er også en lavere efterslæb på grund af de yderligere analytikere (internt og eksternt), der arbejder sammen gennem fund med høj prioritet. Derudover tilbyder denne model den bedste læringskombination for en organisation og et cybersikkerhedsteam. Modellen kan også indebære vidensdeling fra eksperterne i en MSSP.

Væsentlige ulemper inkluderer det faktum, at nogle data håndteres gennem en tredjepart, og at denne model kan være dyr at opretholde på lang sigt.

Opbygning af et Security Operations Center Capabilities

Det tager tid og ressourcer at planlægge, opbygge og drive et sikkerheds operationscenter. Det er en væsentlig opgave for cybersikkerheds effektivitet i virksomheden. Afhængig af organisationens størrelse og tilgængeligheden af ​​ekspert ressourcer er det stadig værd at overveje hjælp fra eksterne rådgivere. Du bliver nødt til at overveje, hvordan du planlægger, bygger og betjener SOC, og hvordan du for eksempel får inkluderet ERP-sikkerhed og SAP Security i virksomhedens SOC. Fremadrettet vil det første skridt være at lave en business case, der giver dig mulighed for at søge ledelsesstøtte til projektet og den krævede finansiering.

Husk, at en effektiv SOC forretningssag fokuserer på investeringens resultat snarere end på de specifikke tekniske muligheder eller værktøjer, som en SOC tilføjer. Senior management værdsætter forretningssager, der giver håndgribelige, metriske forbedringer eller fordele.

Spørgsmål du bør overveje inden du opbygger et SOC

Planlæg Byg Udfør
Begrundelse Level Ressourcer Sourcing Evner Workflows Metrics
Har jeg brug for et SOC? Hvilke kapaciteter bør et SOC have? Hvor meget skal jeg investere i et SOC? Bør jeg selv opbygge mit SOC eller outsource dette? Hvilke funktioner har jeg brug for nu, og hvilke kan jeg tilføje senere? Hvilke SOC funktioner kan blive automatiseret? Hvilke SOC metrics bør jeg tracke?
Hvad er de konkrete metriske fordele ved SOC? Hvem styrer SOC, og hvad er organisationsstrukturen? Hvor meget personale kræves for at drive SOC? Hvilke SOC services anvender mine peers? Hvordan tilføjer jeg hændelsesrespons funktioner? Hvem arbejder SOC med internt/eksternt? Hvordan skal jeg administrere SOC?
At gøre SOC business case til lederskab Hvilket serviceniveau har jeg brug for fra min SOC? Hvad er personalets roller og ansvar i SOC? Kan/skal jeg være i stand til at ændre beslutninger om SOC sourcing over tid? Hvordan forbedrer jeg kapaciteten til detektion af trusler? Hvordan tilføjer eller forbedrer jeg SOC-kapaciteter over tid? Hvilke rapporter skal jeg oprette for senior management om SOC præstationer?

Har jeg brug for et SOC?

Planlæg

Level: Hvilke funktioner skal et SOC have?

Ressourcer: Hvor meget skal/kan jeg bruge på SOC?

Byg

Sourcing: Skal jeg bygge SOC selv eller outsource det?

Kapaciteter: Hvilke funktioner har jeg brug for nu, og hvilke kan jeg tilføje senere?

Udfør

Workflows: Hvilke SOC-funktioner kan automatiseres?

Metrics: Hvilke SOC-metrics skal jeg spore?

Hvad er de konkrete metriske fordele ved en SOC?

Planlæg

Niveau: Hvem administrerer SOC, og hvad er organisationsstrukturen?

Ressourcer: Hvor meget personale kræves for at drive SOC?

Byg

Sourcing: Hvilke SOC-tjenester bruger mine peers?

Kapaciteter: Hvordan tilføjer jeg kapaciteter indenfor hændelsesrespons?

Udfør

Arbejdsgange: Hvem arbejder SOC med internt/eksternt?

Metrics: Hvordan skal jeg administrere SOC?

At gøre SOC business casen til lederskab

Planlæg

Niveau: Hvilket serviceniveau har jeg brug for fra min SOC?

Ressourcer: Hvad er personalets roller og ansvar i SOC?

Byg

Sourcing: Kan/skal jeg være i stand til at ændre SOC sourcing beslutninger med tiden?

Kapaciteter: Hvordan forbedrer jeg kapaciteten til detektion af trusler?

Udfør

Workflows: Hvordan tilføjer eller forbedrer jeg SOC-kapaciteter med tid?

Metrics: Hvilke rapporter skal jeg oprette for senior management om SOC-præstation?

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser