Security Operations Center definition

En Security Operations Center (SOC) är en kommandocentral för yrkesverksamma inom cybersäkerhet som ansvarar för övervakning, analys och skydda av en viss organisation från diverse cyberattacker. I SOC övervakas internettrafik, intern nätverksinfrastruktur, stationära datorer, server, slutpunktsenheter, databaser, applikationer, IoT-enheter och andra system som ett led att identifiera potentiella säkerhetsincidenter.

SOC-ansvariga kan samarbeta med andra team eller avdelningar men är verkar vanligtvis separerade från resten och utgörs av medarbetare vilka besitter framstående färdigheter inom cybersäkerhet. De flesta SOC:er opererar på en 24 – 7 basis där själva arbetet sker i form av olika drift med målet att övervaka nätverksaktiviteter på ett kontinuerligt sätt samtidigt som man minskar de olika hoten avsevärt. En SOC kan byggas internt helt och hållet men även delvis samt helt outsourcas till externa leverantörer.

Följande blogginlägg tar upp följande aspekter:

  • Hur fungerar en SOC?
  • Vilka är verktygen som ingår i ett Security Operations Center?
  • Fördelar med ett Security Operations Center
  • Security Operations Center utmaningar
  • Distributionsmodell för säkerhetsåtgärdscenter
  • Bygga Kapabiliteter för Security Operations Center
  • Frågor att tänka på när man bygger en SOC

Hur fungerar en SOC?

SOC övervakar säkerhetsdata som genereras över hela organisationens IT-infrastruktur, från värdsystem och program till nätverk och säkerhetsenheter vidare till brandväggar och antivirus lösningar, för att nämna några.

Genom att kombinera en rad avancerade verktyg och kompetensen hos erfarna cybersäkerhetsproffs, så kan Security Operations Center utföra följande vitala funktioner:

  • Övervakning, upptäckt, utredning och varningar
  • Hantering av säkerhetshändelser, inklusive skadlig analys och rättsmedicinska utredningar
  • Hantering av hotinformation (intag, produktion, datasäkring och spridning)
  • Riskbaserad sårbarhetshantering (särskilt prioritering av patchnigar)
  • Threat hunting
  • Hantering och underhåll av säkerhetsenheter
  • Utveckling av data och mätvärden för efterlevnadsrapportering / hantering

 

Moderna Security Operations Center-komponenter

Vilka är de olika verktygen som ingår i ett Security Operations Center?

SOC innehåller en uppsättning av olika verktyg i en mångsidig teknikstack för att göra det möjligt för cybersäkerhetsanalytiker att kontinuerligt övervaka säkerhetsaktiviteter i organisationens IT-infrastruktur. De medarbetare som ingår i Security Operations Center använder dessa verktyg för att identifiera, kategorisera, analysera incidenter och händelser samt för att slutligen bestämma hur de ska svara på dessa situationer.

Väsentliga verktyg i SOC-teknikstacken är:

Security Information and Event Management Solution

Siem-verktyg (Security Information and Event Management) utgör SOC’s grund, med tanke på dess förmåga att korrelera regler mot enorma mängder olika data för att identifiera hot. Integrerad hot-intelligens erbjuder mervärde till SIEM-aktiviteten genom att sätta varningar i kontext och prioritera dessa.

Behavioral monitoring

User and Entity Behavioral Analytics (UEBA), som vanligtvis läggs till ovanpå SIEM-plattformen, hjälper säkerhetsteam att skapa baslinjer genom att tillämpa beteendemodellering och maskininlärning för att identifiera potentiella säkerhetsrisker.

Asset discovery

Tillgångsidentifiering eller en tillgångskatalog hjälper dig att bättre förstå vilka system och verktyg som körs i din miljö. Det gör det möjligt för dig att specifikt definiera organisationens kritiska system samt hur du prioriterar tillhörande säkerhetskontroller.

Vulnerability assessment

Möjligheten att upptäcka de luckor och sårbarheter som en angripare kan använda sig av för att infiltrera dina system är avgörande för att skydda din miljö på ett adekvat sätt. Säkerhetsteam måste således söka i systemen efter sårbarheter för att upptäcka dessa och agera därefter. Vissa certifieringar och föreskrifter kräver också periodiska sårbarhetsbedömningar för att påvisa att dessa efterlevs.

Intrusion detection

System för intrångsdetektering (IDS) är grundläggande verktyg för SOC ansvariga att upptäcka attacker i inledningsskedet. De fungerar vanligtvis genom att identifiera kända angreppsmönster med hjälp av intrångssignaturer.

Fördelar med ett Security Operations Center

Den främsta fördelen med att SOC är den förbättrade möjligheter att upptäcka säkerhetsincident genom kontinuerlig övervakning och analys av nätverksaktivitet. Genom att analysera de olika aktiviteter som sker över organisationens nätverk dygnet runt så kan SOC-team upptäcka och reagera på säkerhetsincidenter i ett tidigt skede. Detta är avgörande eftersom tiden utgör ett av de mest kritiska elementen när det kommer till att besvara olika former av incidenter.

SOC erbjuder en 24/7 övervakning organisationer en betydande fördel i kampen för att försvara sig mot incidenter och intrång oavsett källa, tid på dygnet, eller typ av attack. Klyftan mellan angriparens tid att kompromissa och tiden för att upptäcka minskar, vilket hjälper organisationer att hålla koll på hot mot sina miljöer och begränsa risken för dessa.

The key benefits of a SOC include:

  • Oavbruten övervakning och analys gällande misstänkt aktivitet
  • Förbättrade incidenthanteringstider och incidenthanteringspraxis
  • Minskat mellanrum mellan tidpunkten för kompromiss och tiden för upptäckt
  • Programvaru- och hårdvarutillgångar är centraliserade för ett mer holistiskt synsätt på säkerhet
  • Effektiv kommunikation och samarbete för att upptäcka och klassificera kontradiktoriska taktiker och tekniker, t.ex.
  • Minskning av kostnader i samband med säkerhetsincidenter
  • Mer transparens och kontroll över säkerhetsverksamheten
  • Etablerad kedja för data som används inom kriminalteknik för cybersäkerhet

Security Operations Center utmaningar

SOC har en allt mer komplex roll när det kommer till hantering av alla de olika aspekter av organisationens digitala säkerhet. För många organisationer så kan både skapandet och upprätthållandet av en kapabel SOC vara extremt utmanande.

Vanliga utmaningar är:

Volume

Den vanligaste utmaningen som organisationer står inför utgörs av volymen hos säkerhetsaviseringar, av vilka många kräver både avancerade system och mänskliga resurser för att kategorisera, prioritera och svara på hot på rätt sätt. Med ett stort antal varningar så kan vissa hot fel kategoriseras eller missas helt och hållet. Detta betonar behovet av avancerade övervakningsverktyg och automatiseringsfunktioner samt behovet av ett team av skickliga cybersäkerhetspersonal.

Complexity

Verksamhetens natur, flexibiliteten på arbetsplatsen, en ökad användning av molnteknik och andra frågor har ökat komplexiteten när det kommer till att försvara organisationen och svara på hot. Idag så är enkla lösningar i form av brandväggar och dylikt och otillräckliga som en fristående åtgärd för att skydda företaget från angripare. En tillräckligt hög nivå av säkerhet kräver en lösning som kombinerar teknik, människor och processer, vilket i sig kan vara extremt utmanande att planera, bygga och driva.

Cost

Att bygga en SOC kräver en betydande mängd av tid och resurser. Att underhålla det kan vara ännu mer krävande, eftersom hotbilden ständigt förändras och kräver frekventa uppdateringar och uppgraderingar samt kontinuerlig utbildning av cybersäkerhetspersonalen. Dessutom är det få organisationer som har den interna expertis som krävs för att förstå det nuvarande hotbilden tillräckligt. Många organisationer samarbetar med tredjepartsleverantörer av säkerhetstjänster (till exempel MSSP:er) för att säkerställa tillförlitliga resultat utan betydande interna strategier eller investeringar i personal.

Skills shortage

Att bygga en intern säkerhetslösning blir ännu svårare på grund av den begränsade tillgången på kompetenta medarbetare. Yrkesverksamma upplever en hög efterfrågan över hela världen, vilket gör det utmanande att rekrytera och behålla dessa individer. Det innebär att personalomsättningen inom en cybersäkerhetsorganisation potentiellt kan påverka säkerhetsverksamheten.

 

Distributionsmodell för säkerhetsåtgärdscenter

Det finns flera olika sätt för en organisation att förvärva SOC-funktioner. De vanligaste distributionsmodellerna inkluderar:

Intern SOC

Att bygga en särskild in-house Security Operations Center rekommenderas för mogna cybersäkerhetsföretag. Organisationer som tenderar att utveckla interna SOCs har budgeten för att stödja en investering som omfattar 24×7 dygnet runt insatser och möjligheten att ta itu med massor av rörliga delar i och runt deras infrastruktur. En av de väsentliga fördelarna med att bygga en intern SOC utgörs av maximal synlighet och lyhördhet över nätverket. En särskild intern grupp kommer att ha möjlighet att övervaka miljön och dess tillämpningar, vilket ger en fullständig bild ur ett hotlandskapsperspektiv. Vissa nackdelar inkluderar rekrytering och möjligheten att behålla talangfulla medarbetare inklusive höga initiala investeringskostnader. Den här modellen tar normalt en avsevärd tid att bygga och underhålla på en adekvat nivå.

Hantering av SOC, MSSP och MDR

Att välja en hanterad SOC rekommenderas för de organisationer vilka är ute efter att konsultera externa aktörer för att utföra exceptionellt skicklig övervakning och upptäck av potentiella hotbilder. Vissa organisationer kan vara mogna ur ett IT- och cybersäkerhetsperspektiv. Dock så sätter dess budgetbegränsningar och avsaknad av relevant expertis möjligheten att bygga en fullt fungerande, intern 24×7 SOC. Omvänt kan vissa organisationer befinna sig i alltför omogna stadier när det gäller skydd av organisationen mot olika cyberhot och kräver således namnkunnig expertis för att hantera insatser vid Övervakning, Upptäckt och Svar (MDR) per omgående.

Fördelarna med denna modell inkluderar tillgång till den snabbaste, enklaste, mest skalbara och kostnadseffektiva implementeringslösningen. Eftersom det förekommer en stor mängd olika kunder och branscher som MSP:er (Managed Security Services Providers) vanligtvis stödjer, kan expertisen och kunskapen av ytterligare intelligens vara ovärderlig.

Den största skillnaden mellan en traditionell SOC och MDR-tjänster är att dessa leverantörer inte bara kommer att upptäcka och analysera hot utan också svara på dessa med adekvata medel. När ett hot upptäcks kommer de att verifiera den kritiska delen samtidigt som de besvarar och informerar dig om händelsen i fråga.

Hybrid – Small Internal & Managed SOC

En hybridmodell tar fram det bästa av två världar; in-house-medarbetare kompletteras med utomstående experter, som erbjuder en säker strategi för både upptäckt och svar av potentiella hot. De flesta organisationer på denna nivå är tillräckligt stora för att kunna bygga ett litet eget team. De kan dock inte bygga en fullt fungerande intern 24×7 SOC. Den här lösningen är effektiv på grund av dess snabba identifierings- och svarstidsförmåga. Det förekommer även en lägre eftersläpning på grund av de tillkommande analytiker (internt och externt). Dessutom erbjuder den här modellen den bästa inlärningskombinationen för en organisation och dess tillhörande cybersäkerhetsteam. Det kan också göra det möjligt att överföra nödvändig expertis från ledande MSSP aktörer.

Betydande nackdelar är bland annat att vissa uppgifter kommer att hanteras via en tredje part och att denna modell kan vara kostsam att upprätthålla långsiktiga.

Bygga Kapabiliteter för Security Operations Center

Att planera, bygga och driva ett Security Operations Center kräver både tid och resurser. Det är en viktig uppgift att uppfylla när det kommer till den allmänna cybersäkerheten i organisationen. Fortfarande, beroende på organisationens storlek och tillgången på expertresurser så är det värt att överväga hjälp från externa aktörer. Du måste tänka igenom hur du ska planera, bygga och driva en SOC. Inledningsvis så kommer det första steget vara att skapa ett affärsfall som gör att du kan söka ledarskapsstöd för projektet inklusive den finansiering som krävs för att realisera det hela.

Tänk på att ett effektivt SOC användarfall fokuserar på investeringens utfall snarare än de specifika tekniska möjligheter eller de verktyg som en SOC erbjuder. Ledande befattningshavare uppskattar affärsfall vilka påvisar påtagliga metriska förbättringar eller fördelar.

Frågor att tänka på när man bygger en SOC

Plan Build Operate
Justification Level Resources Sourcing Capabilities Workflows Metrics
Do I need a SOC? What capabilities should the SOC have? How much should/can I spend on the SOC? Should I build the SOC myself or outsource it? What capabilities do I need now and which can I add later? What SOC functions can be automated? What SOC metrics should I track?
What are the tangible metric advantages of SOC? Who is managing the SOC and what is the organizational structure? How much staff is required to run the SOC? What SOC services are my peers using? How do I add incident response capabilities? Whom does the SOC work with internally/externally? How should I manage the SOC?
Making the SOC business case to leadership What service level do I require from my SOC? What are the staff roles and responsibilities in the SOC? Could/should I be able to change SOC sourcing decisions over time? How do I improve threat detection capabilities? How do I add or improve SOC capabilities over time? What reports should I create for senior leadership on SOC performance?

Behöver jag SOC?

Plan

Nivå: Vilka funktioner ska SOC ha?

Resurser: Hur mycket ska/kan jag spendera på SOC?

Bygga

Sourcing: Ska jag bygga SOC själv eller lägga ut det?

Kapacitet: Vilka funktioner behöver jag nu och vilka kan jag lägga till senare?

Operativ

Arbetsflöden: Vilka SOC-funktioner kan automatiseras?

Mätvärden: Vilka SOC-mätvärden ska jag spåra?

Vilka är de konkreta metriska fördelarna med en SOC?

Plan

Nivå: Vem hanterar SOC och vad är organisationsstrukturen?

Resurser: Hur mycket personal krävs för att driva SOC?

Bygga

Sourcing: Vilka SOC-tjänster använder mina kollegor?

Kapacitet: Hur lägger jag till incidentresponsfunktioner?

Operativ

Arbetsflöden: Vem arbetar SOC med internt / externt?

Mätvärden: Hur ska jag hantera SOC?

Att göra SOC business case till ledarskap

Plan

Nivå: Vilken servicenivå behöver jag från min SOC?

Resurser: Vilka är personalrollerna och ansvarsområdena i SOC?

Bygga

Sourcing: Kan/ska jag kunna ändra SOC-sourcingbeslut över tid?

Kapacitet: Hur förbättrar jag hot- detekteringsfunktionerna?

Operativ

Arbetsflöden: Hur lägger jag till eller förbättrar SOC-funktioner över tid?

Mätvärden: Vilka rapporter ska jag skapa för ledande befattningshavare om SOC-resultat?

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner