SOC definisjon

Et Security Operations Center (SOC) er et kommandosenter for cybersikkerhet-fagpersoner som er ansvarlige for å overvåke, analysere og beskytte en organisasjon mot cyberangrep. I SOC overvåkes kontinuerlig internettrafikk, intern nettverksinfrastruktur, skrivebord, servere, sluttpunktsenheter, databaser, applikasjoner, IoT-enheter og andre systemer for sikkerhetshendelser. SOC-ansatte kan samarbeide med andre team eller avdelinger, men er vanligvis selvstendige med ansatte som har utmerkede ferdigheter innen cybersikkerhet. De fleste SOC opererer 24-7 med ansatte som jobber på skift for kontinuerlig å overvåke nettverksaktivitet og redusere trusler. En SOC kan bygges internt, alternativt helt eller delvis outsourcet til eksterne leverandører.

Hvordan fungerer en SOC?

SOC overvåker sikkerhetsdata generert gjennom organisasjonens IT-infrastruktur, fra vertssystemer og applikasjoner til nettverks- og sikkerhetsenheter, som brannmurer og antivirusløsninger.

Security Operations Center kombinerer en rekke avanserte verktøy og ferdighetene til erfarne cybersecurity-fagpersoner, og utfører følgende viktige funksjoner:

  • Security event monitoring, oppdagelse, etterforskning og varsling
  • Security incident response management, inkludert malware analyse and forensic etterforskning 
  • Trusseletterretning ledelse (inntak, produksjon, kurering og formidling)
  • Risikobasert styring av sårbarhet (spesielt prioritering av lapping)
  • Threat hunting
  • Sikkerhetsadministrasjon og vedlikehold
  • Utvikling av data og beregninger for compliance rapportering / styring

Moderne Security Operations Center deler

Hva er verktøyene som inngår i et Security Operations Center?

SOC inkluderer et sett med verktøy i en mangfoldig teknologibunke som hjelper cybersikkerhetsanalytikere å kontinuerlig overvåke sikkerhetsaktiviteter i organisasjonens IT-infrastruktur. Medlemmene av sikkerhetsteamet som er stasjonert i Security Operations Center bruker disse verktøyene til å identifisere, kategorisere, analysere hendelser og hendelser, og til slutt bestemme hvordan de skal svare på disse hendelsene.

Viktige verktøy i SOC-teknologien er:

Security Information and Event Management Solution

Security Information and Event Management (SIEM) tools provide the SOC’s foundation, given its ability to correlate rules against massive amounts of disparate data to find threats. Integrating threat intelligence adds value to the SIEM activity by providing context to the alerts and prioritizing them. 

Behavioral monitoring

User and Entity Behavioral Analytics (UEBA), typically added on top of the SIEM platform, helps security teams create baselines by applying behavior modeling and machine learning to surface security risks.

Asset discovery

Asset discovery eller en aktivakatalog hjelper deg å bedre forstå hvilke systemer og verktøy som kjører i ditt miljø. Den lar deg bestemme hva organisasjonens kritiske systemer er, og hvordan du kan prioritere sikkerhetskontroller.

Vulnerability assessment

Det er viktig å oppdage hullene en angriper kan bruke for å infiltrere systemene dine, for å beskytte miljøet ditt. Sikkerhetsteam må søke i systemene etter sårbarheter for å oppdage disse sprekkene og handle deretter. Noen sertifiseringer og forskrifter krever også periodiske sårbarhetsvurderinger for å bevise compliance.

Intrusion detection

Inntrengingsdeteksjonssystemer (IDS) er grunnleggende verktøy for SOC for å oppdage angrep på de innledende stadiene. De fungerer vanligvis ved å identifisere kjente angrepsmønstre ved bruk av inntrengningssignaturer.

Fordeler med et Security Operations Center

Den primære fordelen med å ha en SOC er forbedring av deteksjon av sikkerhetshendelser gjennom kontinuerlig overvåking og analyse av nettverksaktivitet og funn fra cyberintelligens. Ved å analysere aktiviteter på tvers av organisasjonens nettverk døgnet rundt, kan SOC-team oppdage og svare på sikkerhetshendelser tidlig. Dette er avgjørende, ettersom tiden er et av de mest kritiske elementene i et effektivt svar på cybersikkerhetshendelser.

SOC-overvåking 24/7 gir organisasjoner en betydelig fordel i kampen for å forsvare seg mot hendelser og innbrudd uavhengig av kilde, tidspunkt på dagen eller type angrep. Gapet mellom angriperens tid til å gå på kompromiss og tiden til å oppdage avtar, noe som hjelper organisasjoner å holde seg på toppen av trusler som deres miljø står overfor og begrense risikoen.

The key benefits of a SOC include:

  • Uavbrutt overvåking og analyse for mistenkelig aktivitet
  • Forbedrede responstider for hendelser og praksis for hendelsesadministrasjon
  • Redusert gap mellom kompromisstid og tid til å oppdage
  • Programvare og maskinvare er sentralisert for en mer helhetlig tilnærming til sikkerhet
  • Effektiv kommunikasjon og samarbeid for å oppdage og klassifisere motstridende taktikker og teknikker, for eksempel ved å bruke MITRE ATT&CK rammeverk
  • Reduksjon av kostnader knyttet til sikkerhetshendelser
  • Mer åpenhet og kontroll over sikkerhetsoperasjoner
  • Etablert varetektskjede for data som brukes i kriminalteknikk

Utfordringer med et Security Operations Center

SOC har en stadig mer kompleks rolle, og styrer alle aspekter av organisasjonens digitale sikkerhet. For mange organisasjoner kan det være utfordrende å opprette og vedlikeholde en dyktig SOC.

Vanlige utfordringer inkluderer:

Volume

Den vanligste utfordringen for organisasjoner er volumet av sikkerhetsvarsler, hvorav mange krever både avanserte systemer og menneskelige ressurser for å kategorisere, prioritere og svare på trusler riktig. Med et stort antall varsler kan noen trusler feilkategoriseres eller savnes helt. Dette understreker behovet for avanserte overvåkingsverktøy og automatiseringsfunksjoner og behovet for et team av dyktige cybersikkerhetsfagfolk.

Complexity

Virksomhetens art, arbeidsplassens fleksibilitet, økt bruk av skyteknologi og andre problemer har økt kompleksiteten i å forsvare organisasjonen og svare på trusler. I dag er relativt enkle løsninger som brannmurer ikke tilstrekkelig som et frittstående tiltak for å beskytte bedriften mot digitale motstandere. Tilstrekkelig sikkerhet krever en løsning som kombinerer teknologi, mennesker og prosesser, som kan være utfordrende å planlegge, bygge og operere.

Cost

Å bygge en SOC krever betydelig tid og ressurser. Å opprettholde det kan være enda mer krevende, ettersom trussellandskapet stadig endres og krever hyppige oppdateringer og oppgraderinger og kontinuerlig utdannelse av cybersikkerhetspersonalet. Også få organisasjoner har det interne talentet som trengs for å forstå det nåværende trussellandskapet tilstrekkelig. Mange organisasjoner samarbeider med tredjeparts leverandører av sikkerhetstjenester (for eksempel MSSPs ) for å sikre pålitelige resultater uten vesentlig intern teknologi eller arbeidsstyrke investeringer.

Skills shortage

Å bygge en egen sikkerhetsløsning blir enda vanskeligere av den begrensede tilgjengeligheten av dyktige cybersikkerhetsfagfolk. Cybersikkerhet-fagpersoner er i høy etterspørsel over hele verden, noe som gjør det utfordrende å rekruttere og beholde disse personene. Dette betyr at ansattes omsetning innen en cybersecurity-organisasjon potensielt kan påvirke sikkerhetsdriften.

Security Operation Center distribusjonsmodell

Det er flere forskjellige måter for en organisasjon å tilegne seg SOC-muligheter. De vanligste distribusjonsmodellene inkluderer:

Intern SOC

Det anbefales å bygge et dedikert internt ecurity Operations Center for modne cybersikkerhetsbedrifter. Organisasjoner som har en tendens til å utvikle interne SOC-er, har budsjett til å støtte en investering som inkluderer 24 × 7 døgninnsats og håndtere mange bevegelige deler i og rundt deres infrastruktur. En av de viktigste fordelene ved å bygge en intern SOC er maksimal synlighet og respons over hele nettverket. Et dedikert internt team vil ha muligheten til å overvåke miljøet og dets applikasjoner, og gi et komplett bilde fra et trussellandskapsperspektiv. Noen ulemper inkluderer kampen for å rekruttere og beholde talent og høye investeringskostnader på forhånd. Denne modellen tar vanligvis lang tid å bygge og vedlikeholde på et tilstrekkelig nivå.

Administrert SOC, MSSP og MDR

Det anbefales å velge en administrert SOC for organisasjoner som søker hjelp fra et eksternt firma for å utføre dyktige overvåkings- og oppdagingsoppgaver. Noen organisasjoner kan være modne fra et IT- og cybersikkerhetsperspektiv. Budsjettbegrensninger og begrenset kompetanse kan imidlertid hindre muligheten til å bygge et fullt funksjonelt, internt 24×7 SOC. Omvendt kan noen organisasjoner være i umodne stadier med å beskytte organisasjonen og krever bedre ekspertise for å håndtere Monitoring, Detection og Response (MDR) raskt.

Fordelene med denne modellen inkluderer: raskeste, enkleste, mest skalerbare og kostnadseffektive å implementere. Siden det er et bredt utvalg av klienter og bransjer som MSSPs (Managed Security Services Providers) vanligvis støtter, kan ekspertisen og rikdom av tilleggsinformasjon være uvurderlig.

Den største forskjellen mellom en tradisjonell SOC og en inkludert MDR-tjenester er at disse leverandørene ikke bare vil oppdage og analysere trusler, men også svare på dem. Når en trussel blir oppdaget, vil de verifisere kritikken mens de svarer og informerer deg om hendelsen.

Hybrid – liten intern og administrert SOC

En hybridmodell får frem det beste fra begge verdener; internt personale supplert med tredjepartseksperter, og tilbyr en sikker tilnærming til deteksjon og respons. De fleste organisasjoner på dette nivået er store nok til å bygge et lite team. Imidlertid kan de ikke bygge en fullt funksjonell intern 24×7 SOC. Denne løsningen er effektiv på grunn av rask oppdagelse og responstid. Dessuten er det et lavere etterslep på grunn av tilleggsanalytikerne (internt og eksternt) som jobber med funn med høy prioritet. I tillegg tilbyr denne modellen den beste læringskombinasjonen for en organisasjon og et cybersikkerhetsteam. Det kan også gi kunnskapsoverføring fra eksperter fra en MSSP.

Vesentlige ulemper inkluderer det faktum at noen data vil bli håndtert gjennom en tredjepart, og at denne modellen kan være kostbar å opprettholde langsiktig.

Bygge Security Operations Center evner

Det tar tid og ressurser å planlegge, bygge og drive et Security Operations Center. Det er en viktig oppgave for cybersikkerhet effektiviten i bedriften. Avhengig av organisasjonens størrelse og tilgjengeligheten av ekspertressurser, er det likevel verdt å vurdere hjelp fra eksterne rådgivere. Du må tenke gjennom hvordan du planlegger, bygger og driver SOC. Fremover vil det første trinnet være å lage en business case som lar deg søke lederledelse for prosjektet og den nødvendige finansieringen.

Husk at en effektiv SOC business case fokuserer på investeringens utfall snarere enn de spesifikke tekniske evnene eller verktøyene en SOC legger til. Seniorledelse setter pris på forretningssaker som gir håndgripelige, metriske forbedringer eller fordeler.

Spørsmål å vurdere når man bygger et SOC

Plan Bygge Operere
Berettigelse Nivå Ressurser Kilde Evner Arbeidsflyt Beregninger
Trenger jeg en SOC? Hvilke evner burde SOC ha? Hvor mye skal / kan jeg bruke på SOC? Skal jeg bygge SOC selv eller outsource det? Hvilke funksjoner trenger jeg nå, og hvilke kan jeg legge til senere? Hvilke SOC-funksjoner kan automatiseres? Hvilke SOC-beregninger skal jeg spore?
Hva er de konkrete metriske fordelene med SOC? Hvem administrerer SOC og hva er organisasjonsstrukturen? Hvor mye personale kreves for å drive SOC? Hvilke SOC tjenester bruker peer-gruppen min? Hvordan legger jeg til hendelsesrespon funksjoner? Hvem jobber SOC med internt / eksternt? Hvordan skal jeg administrere SOC?
Gjør SOC business case til ledelse Hvilket servicenivå krever jeg av SOC? Hva er personalrollene og ansvaret i SOC? Kan / burde jeg være i stand til å endre SOC sourcing beslutninger over tid? Hvordan forbedrer jeg trusseloppdagelse funksjonene? Hvordan legger jeg til eller forbedrer SOC-funksjonene over tid? Hvilke rapporter skal jeg lage for seniorledelse om SOC-ytelse?

Trenger jeg en SOC?

Plan

Nivå: Hvilke funksjoner bør SOC ha?

Ressurser: Hvor mye skal / kan jeg bruke på SOC?

Bygge

Sourcing: Skal jeg bygge SOC selv eller outsource det?

Funksjoner: Hvilke funksjoner trenger jeg nå, og hvilke kan jeg legge til senere?

Operere

Arbeidsflyter: Hvilke SOC-funksjoner kan automatiseres?

Beregninger: Hvilke SOC-beregninger skal jeg spore?

Hva er de konkrete fordelene ved en SOC?

Plan

Nivå: Hvem administrerer SOC og hva er organisasjonsstrukturen?

Ressurser: Hvor mye personale kreves for å drive SOC?

Bygge

Sourcing: Hvilke SOC-tjenester bruker peer-gruppen min?

Funksjoner: Hvordan legger jeg til muligheter for hendelserespons evner?

Operere

Arbeidsflyter: Hvem jobber SOC med internt / eksternt?

Beregninger: Hvordan skal jeg administrere SOC?

Gjør SOC business case til ledelse

Plan

Nivå: Hvilket servicenivå krever jeg fra SOC?

Ressurser: Hva er personalrollene og ansvaret i SOC?

Bygge

Sourcing: Kan / burde jeg kunne endre SOC-sourcingbeslutninger over tid?

Evner: Hvordan forbedrer jeg evnen til å oppdage trusler?

Operere

Arbeidsflyter: Hvordan legger jeg til eller forbedrer SOC-funksjonene over tid?

Beregninger: Hvilke rapporter skal jeg lage for seniorledelse om SOC-ytelse?

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser