SOC - alt du trenger å vite om Security Operations Center

Artikkel

Hva er en SOC, og hvordan kan et Security Operations Center beskytte organisasjoner mot cyberangrep? I denne artikkelen får du en innføring i hvordan et Security Operations Center fungerer - og hvilken rolle funksjonen spiller i en organisasjons overordnede cyberbeskyttelse.

Det finnes ingen 100 prosent cyberbeskyttelse. Derfor trenger organisasjoner en strategi for å oppdage og stoppe truslene som kommer forbi beskyttelsestiltakene deres. Det er her en SOC kommer inn i bildet. 

Hva er en SOC?

SOC står for Security Operations Center og er en slags sikkerhetsavdeling, eller overvåkingssenter, som består av IT-sikkerhetseksperter som jobber døgnet rundt med å overvåke og beskytte en organisasjon mot cybertrusler. Et Security Operations Center kan bygges opp internt i en organisasjon, eller kjøpes som en funksjon fra en tredjepartsleverandør. De fleste bedrifter velger å kjøpe det som en funksjon, ettersom det er både kostbart og tidkrevende å bygge opp sin egen SOC. 

SOC-teamet overvåker en organisasjons IT-infrastruktur døgnet rundt for å avdekke, analysere og reagere på sikkerhetshendelser i sanntid. Når en trussel eller et angrep oppdages, iverksetter teamet tiltak for å beskytte organisasjonen og forhindre ytterligere skade. I tillegg er SOCen ansvarlig for å kontinuerlig analysere trusseldata og holde seg oppdatert på nye angrepsmetoder - alt for å opprettholde den sterkest mulige cyberbeskyttelsen. 

En SOC består av flere roller med ulike ansvarsområder. Teamet består hovedsakelig av tre ulike roller:

  • Security Analysts: har ansvar for å korrelere, analysere og klassifisere hendelser.
  • Security Researcher: har ansvar for å kontinuerlig analysere det skiftende trusselbildet og bidra til utvikling av deteksjon og Threat Hunting.
  • Incident Responders: har ansvar for å løse komplekse hendelser.

En SOC kan også ha ansvar for å overvåke og klassifisere alle organisasjonens eiendeler og sårbarheter, samt utarbeide strategier og implementere ulike beskyttelsestiltak for å redusere risikoen for inntrengning. Dersom disse funksjonene ikke ligger hos SOCen, kreves det et tett samarbeid med de involverte avdelingene.

Arbeidet ledes av en SOC-leder, som i sin tur vanligvis rapporterer til en CISO (Chief Information Security Officer) eller en CIO (Chief Information Officer). 

 

Hva gjør et Security Operations Center?

Et Security Operations Centre jobber med cybersikkerhet ut fra et helhetlig perspektiv. Det innebærer både å håndtere hendelser når de oppstår, og å minimere risikoen for nye angrep og trusler. 

SOC-teamets ansvarsområder er mange og omfatter blant annet

Inventering av aktiva: SOC-teamet utfører, eller samarbeider tett med teamet som utfører, inventering av alle organisasjonens aktiva som må beskyttes. Dette omfatter f.eks. applikasjoner, databaser, servere, skytjenester, endepunkter osv. De kartlegger også alle verktøyene som brukes til å beskytte dem, f.eks. brannmurer, antivirus- og anti-malware-verktøy, overvåkingsprogramvare osv.

Planlegging av hendelsesrespons: SOCen er ansvarlig for å utvikle organisasjonens plan for hendelsesrespons, som definerer aktiviteter, roller og ansvarsområder i tilfelle en trussel eller et sikkerhetsbrudd oppstår, samt hvilke parametere som skal brukes for å måle hvor vellykket hendelsesresponsen er.

Regelmessig testing: SOC-teamet utfører sårbarhetsvurderinger av potensielle trusler, hvilken innvirkning de vil ha på organisasjonen, og hvilke kostnader som er forbundet med dem. I noen tilfeller utfører SOCen også penetrasjonstester for å simulere spesifikke angrep på ett eller flere systemer. Teamet fikser eller finjusterer deretter applikasjoner, sikkerhetspolicyer og hendelsesresponsplaner basert på resultatene av disse testene.

Kontinuerlig sikkerhetsovervåking døgnet rundt, året rundt: SOCen overvåker hele organisasjonens IT-infrastruktur - applikasjoner, servere, systemprogramvare, databehandlingsenheter, skybaserte tjenester og nettverk - døgnet rundt, året rundt. Dette for å oppdage uregelmessigheter, kjente utnyttelser og annen mistenkelig aktivitet. SOCen bruker sentraliserte overvåkings-, deteksjons- og responsteknologier som SIEM (Security Information and Event Management) og EDR. Disse teknologiene gjør det mulig for SOC-teamet å overvåke og samle inn varsler om avvik fra programvare og maskinvare i nettverket i sanntid. Dataene analyseres deretter for å identifisere potensielle trusler. 

 

 

 

Datainnsamling: SOCen samler inn informasjon i sanntid. Dette gjøres hovedsakelig på tre forskjellige måter; 

  • ved å overvåke aktiviteter på endepunkter (EDR)
  • ved å overvåke aktiviteter basert på logginformasjon (SIEM)
  • ved å overvåke nettverksaktivitet (NDR)

De fleste organisasjoner begynner med EDR, ettersom det er raskt å implementere og gir både god deteksjonsevne og god evne til å utføre responshandlinger. Når EDR er på plass, kan man gå videre til NDR og SIEM for å få en sterk beskyttelse.

Logghåndtering: SOCen samler inn loggdata rundt aktiviteter som skjer i nettverk eller applikasjoner, og analyserer dem. Denne analysen kan avgjøre hva som er normal aktivitet, og kan oppdage avvikende atferd som indikerer mistenkelig aktivitet. Siden de fleste bedrifter ikke er i stand til å overvåke loggdata selv, forventer hackere som regel at virus og skadelig programvare ikke blir oppdaget på flere uker eller måneder. Ved hjelp av effektiv logghåndtering kan et Security Operations Center oppdage unormal aktivitet i sanntid og iverksette tiltak for å hindre at angrepet utvikler seg. 

 

Oppdagelse av trusler: SOC-teamet sorterer varslene som genereres av SIEM-verktøyene for å skille faktiske cybertrusler fra positive falske alarmer, og rangerer deretter truslene etter alvorlighetsgrad. Ved hjelp av kunstig intelligens (AI) og maskinlæring (ML) kan SOC automatisere noen av disse prosessene ved å la verktøyene «lære» av dataene, slik at de bedre kan oppdage mistenkelig aktivitet over tid.

Hendelsesrespons: Når en hendelse i form av en cybertrussel eller et cyberangrep inntreffer, iverksetter SOC-teamet tiltak for å stoppe angrepet og begrense skaden. Tiltakene kan blant annet omfatte:

  • Undersøke årsaken til angrepet for å finne ut hvordan angriperen kom seg inn.
  • Slå av eller koble kompromitterte enheter fra nettverket.
  • Isolere deler av nettverket eller omdirigere nettverkstrafikk.
  • Sette berørte applikasjoner og prosesser på pause.
  • Slette ødelagte eller infiserte filer.

 

Evaluering og forbedring: For å forhindre at hendelser skjer igjen, bruker SOC-enheten innsikten fra hendelsen til å forbedre sikkerhetsarbeidet sitt. På et mer helhetlig nivå ser SOC-teamet også på om hendelsen er en del av en større trend, og om angripernes fremgangsmåter er i endring - for å sikre at de er forberedt og har de riktige verktøyene og prosessene på plass for å møte det skiftende trusselbildet.  

 

Når er det behov for et Security Operations Center? 

Uten en SOC som overvåker en organisasjons IT-infrastruktur, kan inntrengere bevege seg uforstyrret i flere uker, og til og med måneder, før de møter patruljer. I løpet av denne tiden kan virksomheten påføres stor skade. I analogien som beskriver IT-sikkerhetsarbeidet som organisasjoner selv utfører som vollgrav, gjerde og lås, kan et Security Operations Center sammenlignes med en patruljerende vaktstyrke som bruker overvåkningskameraer, bevegelsesdetektorer og adgangskontroll for å overvåke omgivelsene døgnet rundt. Et Security Operations Center bidrar med andre ord til å forbedre IT-sikkerheten i en organisasjon. 

De fleste organisasjoners viktigste verdier er digitale så det å få vite etter noen uker at et sikkerhetsbrudd eller angrep har skjedd, er ikke nok for de fleste organisasjoner. For å oppnå god cyberbeskyttelse trenger du noen som kan reagere på alarmen når noe skjer, oppdage potensielle brudd og koordinere sikkerheten slik at trusler og angrep kan avverges før de når de kritiske delene av organisasjonen. En SOC er med andre ord ikke lenger en luksus for store selskaper, men en nødvendighet for organisasjoner av alle størrelser. 

 

Vil du vite mer om SOC og hvordan vi i Iver hjelper kundene våre med denne typen overvåking? Se videoen nedenfor der Marcus Jonsson, Team Lead hos Iver SOC, forteller mer, eller kontakt oss via skjemaet nedenfor. 

 

Koder: Cyber Security
Image Alt Text

Let’s bring yellow to your business!

Uansett hva digital transformasjon betyr for deg, hjelper vi deg med å finne din beste vei til skyen. 

Ta kontakt, så starter vi din nye digitale reise i dag.