Hvad er SOC (Security Operations Center)?
Få mere at vide om, hvordan Security Operations Center-teams hurtigt registrerer, prioriterer og reagerer på potentielle cyberangreb.
Hvad er SOC?
En SOC er en centraliseret funktion eller et team, der er ansvarlig for at forbedre en organisations cybersikkerhed sstilling og forebygge, registrere og reagere på trusler. SOC-teamet, der kan være internet eller udliciteret, overvåger identiteter, slutpunkter, servere, databaser, netværksprogrammer, websteder og andre systemer for at afdække potentielle cyberangreb i realtid. Det arbejder også proaktivt med sikkerhed ved at bruge de nyeste oplysninger om trusler til at holde sig ajour med trusselsgrupper og infrastruktur og identificere og håndtere sikkerhedsrisici i systemet eller behandle sårbarheder, før personer med ondsindede hensigter udnytter dem. De fleste SOC'er fungerer døgnet rundt syv dage om ugen, og store organisationer, der strækker sig over flere lande, kan også bruge et globalt sikkerhedsdriftscenter (GSOC) for at holde styr på globale sikkerhedstrusler og koordinere registrering og svar blandt flere lokale SOC'er.
Funktioner i en SOC
SOC-teammedlemmer benytter sig af følgende funktioner for at forhindre, reagere på og genoprette efter angreb.
Aktiv- og værktøjslager
For at fjerne blinde vinkler og huller i dækningen har SOC'en brug for synlighed i de aktiver, den beskytter, og indsigt i de værktøjer, den bruger til at beskytte organisationen. Det betyder, at du skal tage højde for alle databaser, cloudtjenester, identiteter, programmer og slutpunkter på tværs af det lokale miljø og flere cloudmiljøer. Teamet holder også styr på alle de sikkerhedsløsninger, der bruges i organisationen, f.eks. firewalls, antimalware, antiransomware og overvågningssoftware.
Reducer angrebsfladen
Et vigtigt ansvar for SOC'en er at reducere organisationens angrebsflade. SOC'en gør dette ved at vedligeholde en oversigt over alle arbejdsbelastninger og aktiver, anvende sikkerhedsrettelser på software og firewalls, identificere fejlkonfigurationer og tilføje nye aktiver, efterhånden som de kommer online. Teammedlemmer er også ansvarlige for at undersøge nye trusler og analysere eksponering, hvilket hjælper dem med at være på forkant med de nyeste trusler.
Løbende overvågning
Ved hjælp af sikkerhedsanalyseløsninger som f.eks. en SIEM-løsning (Security Information Enterprise Management), en sikkerhedsorkestrerings-, automatiserings- og svarløsning (SOAR) eller en løsning til udvidet registrering og svar (XDR) overvåger SOC-teams hele miljøet – det lokale miljø, cloudmiljøer, programmer, netværk og enheder – hele dagen, hver dag, for at afdække uregelmæssigheder eller mistænkelig adfærd. Disse værktøjer indsamler telemetri, samler dataene og automatiserer i nogle tilfælde svar på hændelser.
Oplysninger om trusler
SOC'en bruger også dataanalyser, eksterne feeds og rapporter om produkttrusler til at få indsigt i hackeradfærd, infrastruktur og hensigter. Denne intelligens giver et overblik over, hvad der sker på tværs af internettet, og hjælper teams med at forstå, hvordan grupper opererer. Med disse oplysninger kan SOC'en hurtigt afdække trusler og styrke organisationen mod nye risici.
Trusselsregistrering
SOC-teams bruger de data, der genereres af SIEM- og XDR-løsningerne, til at identificere trusler. Dette starter med at bortfiltrere falske positiver fra de reelle problemer. Derefter prioriterer de truslerne efter alvorsgrad og potentiel indvirkning på virksomheden.
Administration af logge
SOC'en er også ansvarlig for at indsamle, vedligeholde og analysere de logdata, der produceres af de enkelte slutpunkter, operativsystemer, virtuelle maskiner, apps i det lokale miljø og netværkshændelser. Analyse hjælper med at fastlægge en oprindelig plan for normal aktivitet og afslører uregelmæssigheder, der kan være tegn på malware, ransomware eller virus.
Svar på hændelse
Når et cyberangreb er blevet identificeret, handler SOC hurtigt for at begrænse skaderne i organisationen med så lidt afbrydelse af virksomheden som muligt. Trinnene kan omfatte lukning eller isolering af berørte slutpunkter og programmer, afbrydelse af kompromitterede konti, fjernelse af inficerede filer og kørsel af antivirus- og antimalwaresoftware.
Genoprettelse og afhjælpning
Efter et angreb er SOC ansvarlig for at gendanne virksomheden til sin oprindelige tilstand. Teamet sletter og genopretter forbindelsen til diske, identiteter, mails og slutpunkter, genstarter programmer, skifter til sikkerhedskopieringssystemer og genopretter data.
Undersøgelse af rodårsag
For at forhindre, at et lignende angreb sker igen, udfører SOC en grundig undersøgelse for at identificere sikkerhedsrisici, dårlige sikkerhedsprocesser og andre erfaringer, der har bidraget til hændelsen.
Forbedring af sikkerhed
SOC bruger enhver intelligens, der indsamles under en hændelse, til at håndtere sårbarheder, forbedre processer og politikker samt opdatere sikkerhedsoversigten.
Administration af overholdelse
En vigtig del af SOC'ens ansvar er at sikre, at programmer, sikkerhedsværktøjer og processer overholder bestemmelser om beskyttelse af personlige oplysninger, f.eks. den generelle forordning om databeskyttelse (GDPR), California Consumer Privacy Act (CCPA) og Health Insurance Portability and Accountability Act (HIPPA). Teams reviderer jævnligt systemer for at sikre overholdelse af angivne standarder og sikre, at regulatorer, retshåndhævende myndigheder og kunder får besked efter et databrud.
Nøgleroller i en SOC
Afhængigt af organisationens størrelse omfatter en typisk SOC følgende roller:
Direktør for svar på hændelser
Denne rolle, som typisk kun ses i meget store organisationer, er ansvarlig for at koordinere registrering, analyse, opbevaring og genoprettelse under en sikkerhedshændelse. De administrerer også kommunikation med de relevante interessenter.
SOC-administrator
Den, der overvåger SOC'en, er den leder, der typisk rapporterer til Chief Information Security Officer (CISO). Opgaver omfatter overvågning af medarbejdere, kørsel af drift, oplæring af nye medarbejdere og økonomistyring.
Sikkerhedsteknikere
Sikkerhedsteknikere holder organisationens sikkerhedssystemer kørende. Dette omfatter design af sikkerhedsarkitekturen og research, implementering og vedligeholdelse af sikkerhedsløsninger.
Sikkerhedsanalytikere
De første svarere i en sikkerhedshændelse, sikkerhedsanalytikere, identificerer trusler, prioriterer dem og udfører derefter handlinger for at begrænse skaderne. Under et cyberangreb kan de være nødt til at isolere værten, slutpunktet eller brugeren, der er blevet inficeret. I nogle organisationer er sikkerhedsanalytikere lagdelt baseret på alvorsgraden af de trusler, de er ansvarlige for at håndtere.
Trusselsjægere
I nogle organisationer kaldes de mest erfarne sikkerhedsanalytikere for trusselsjægere. Disse personer identificerer og reagerer på avancerede trusler, der ikke opfanges af automatiserede værktøjer. Dette er en proaktiv rolle, der er udviklet til at udvide organisationens forståelse af kendte trusler og afdække ukendte trusler, før et angreb har fundet sted.
Retstekniske analytikere
Større organisationer kan også ansætte retstekniske analytikere, der indsamler efterretninger efter et sikkerhedsbrud for at fastslå de underliggende årsager. De er på udkig efter systemsårbarheder, overtrædelser af sikkerhedspolitikker og cyberangrebsmønstre, der kan være nyttige for at forhindre en lignende kompromittering i fremtiden.
Typer af SOC'er
Organisationer kan konfigurere deres SOC'er på et par forskellige måder. Nogle vælger at bygge en dedikeret SOC med fuldtidsansatte. Denne type SOC kan være intern med en fysisk placering i det lokale miljø, eller den kan være virtuel med personale, der koordinerer fra en ekstern placering ved hjælp af digitale værktøjer. Mange virtuelle SOC'er bruger en kombination af kontraktansatte og fuldtidsansatte. En udliciteret SOC, som også kan kaldes en administreret SOC eller et sikkerhedsdriftscenter som en tjeneste, køres af en udbyder af administrerede sikkerhedstjenester, som påtager sig ansvaret for at forhindre, registrere, undersøge og reagere på trusler. Det er også muligt at bruge en kombination af internt personale og en udbyder af administrerede sikkerhedstjenester. Denne version kaldes en fællesadministreret eller hybrid SOC. Organisationer bruger denne tilgang til at styrke deres eget personale. Hvis de f.eks. ikke har medarbejdere, der undersøger trusler, kan det være nemmere at ansætte en tredjepart i stedet for at forsøge at bemande dem internt.
Vigtigheden af SOC-teams
En stærk SOC hjælper virksomheder, myndigheder og andre organisationer med at være på forkant med et cybertrusdelslandskab i udvikling. Dette er ikke en nem opgave. Både personer med ondsindede hensigter og forsvarscommunity'et udvikler ofte nye teknologier og strategier, og det tager tid og fokus at administrere alle ændringerne. Ved hjælp af viden om det bredere cybersikkerhedsmiljø samt forståelsen af interne svagheder og forretningsprioriteter hjælper en SOC en organisation med at udvikle en sikkerhedsoversigt, der passer til virksomhedens langsigtede behov. SOC'er kan også begrænse den forretningsmæssige påvirkning, når der sker et angreb. Da de løbende overvåger netværket og analyserer advarselsdata, er det mere sandsynligt, at de fanger trusler tidligere end et team, der er spredt ud over flere andre prioriteter. Med almindelig træning og veldokumenterede processer kan SOC'en håndtere en aktuel hændelse hurtigt – selv under ekstremt pres. Det kan være svært for teams, der ikke fokuserer på sikkerhedsoperationer hele dagen, hver dag.
Fordele ved en SOC
Ved at samle de personer, værktøjer og processer, der bruges til at beskytte en organisation mod trusler, hjælper en SOC en organisation med at beskytte sig mere effektivt mod angreb og brud.
Stærkt sikkerhedsniveau
Forbedring af en organisations sikkerhed er en opgave, der aldrig får ende. Det kræver løbende overvågning, analyse og planlægning at afdække sikkerhedsrisici og være på forkant med skiftende teknologi. Når folk har konkurrerende prioriteter, er det nemt at overse dette arbejde til fordel for opgaver, der haster mere.
En centraliseret SOC hjælper med at sikre, at processer og teknologier løbende forbedres, hvilket reducerer risikoen for et vellykket angreb.
Overholdelse med bestemmelser om beskyttelse af personlige oplysninger
Brancher, stater, lande og områder har forskellige bestemmelser, der styrer indsamling, lagring og brug af data. Mange kræver, at organisationer rapporterer brud på datasikkerheden og sletter personlige data på en forbrugers anmodning. Det er lige så vigtigt at have de rette processer og procedurer på plads som at have den rette teknologi. Medlemmer af en SOC hjælper organisationer med at overholde reglerne ved at overtage ansvaret for at holde teknologi- og dataprocesser opdateret.
Hurtigt svar på hændelser
Det gør en stor forskel, hvor hurtigt et cyberangreb opdages og lukkes. Med de rette værktøjer, personer og oplysninger kan mange brud stoppes, før de gør skade. Men ondsindede aktører er også gode til at holde sig skjulte, så de kan stjæle enorme mængder data og eskalere deres rettigheder, før nogen bemærker det. En sikkerhedshændelse er også en meget stressende hændelse – især for personer, der ikke har erfaring med svar på hændelser.
Ved hjælp af samlede oplysninger om trusler og veldokumenterede procedurer kan SOC-teams hurtigt registrere, reagere på og genoprette efter angreb.
Reducerede omkostninger ved brud
Et vellykket brud kan være meget dyrt for organisationer. Genoprettelse fører ofte til betydelig nedetid, og mange virksomheder mister kunder eller har svært ved at vinde nye kunder kort efter en hændelse. Ved at overhale personer med ondsindede hensigter og reagere hurtigt hjælper en SOC organisationer med at spare tid og penge, når de kommer tilbage til normal drift.
Bedste praksis for SOC-teams
Med så mange ansvarsområder skal en SOC organiseres og administreres effektivt for at opnå resultater. Organisationer med stærke SOC'er implementerer følgende bedste praksis:
Strategi justeret i forhold til virksomheden
Selv de mest velfunderede SOC'er skal træffe beslutninger om, hvor de skal fokusere deres tid og penge. Organisationer starter typisk med en risikovurdering for at identificere de største risikoområder og de største muligheder for virksomheden. Dette hjælper med at identificere, hvad der skal beskyttes. En SOC skal også forstå det miljø, hvor aktiverne er placeret. Mange virksomheder har komplekse miljøer med nogle, hvor nogle data og programmer er i det lokale miljø, og nogle er på tværs af flere cloudmiljøer. En strategi hjælper med at bestemme, om sikkerhedsmedarbejdere skal være tilgængelige døgnet rundt, og om det er bedre at have SOC'en internt eller bruge en professionel tjeneste.
Dygtige, godt oplærte medarbejdere
Nøglen til en effektiv SOC er et højt kvalificeret personale, der hele tiden forbedres. Det starter med at finde de bedste talenter, men det kan være svært, da der er stor konkurrence på markedet for sikkerhedsmedarbejdere. For at undgå en færdighedskløft forsøger mange organisationer at finde personer med forskellig ekspertise, f.eks. overvågning af systemer og intelligens, administration af underretninger, registrering og analyse af hændelser, trusselsjagt, etisk hacking, cybervidenskab og reverse engineering. De udruller også teknologi, der automatiserer opgaver for at gøre det muligt for mindre teams at være mere effektive og få bedre output fra junior-analytikere. Investering i almindelig uddannelse hjælper organisationer med at bevare vigtige medarbejdere, udfylde en færdighedskløft og fremme medarbejderes karriere.
End-to-end-synlighed
Da et angreb kan starte med et enkelt slutpunkt, er det vigtigt, at SOC'en har synlighed på tværs af hele organisationens miljø, herunder alt, hvad der administreres af en tredjepart.
De rette værktøjer
Der er så mange sikkerhedshændelser, at teams nemt kan blive overvældet. Effektive SOC'er investerer i gode sikkerhedsværktøjer, der fungerer godt sammen, og bruger kunstig intelligens og automatisering til at øge indsatsen mod væsentlige risici. Interoperabilitet er afgørende for at undgå huller i dækningen.
SOC-værktøjer og -teknologier
SIEM (Security Information and Event Management)
Et af de vigtigste værktøjer i en SOC er en cloudbaseret SIEM-løsning, der samler data fra flere sikkerhedsløsninger og logfiler. Ved hjælp af oplysninger om trusler og kunstig intelligens hjælper disse værktøjer SOC'er med at registrere nye trusler, fremskynde svar på hændelser og holde sig på forkant med personer med ondsindede hensigter.
Sikkerhedsorkestrering, automatisering og respons (SOAR)
En SOAR automatiserer tilbagevendende og forudsigelige forbedrings-, svar- og afhjælpningsopgaver og frigør tid og ressourcer til mere dybdegående undersøgelse og jagt.
Udvidet registrering og svar (XDR)
XDR er et SaaS-værktøj, der tilbyder holistisk, optimeret sikkerhed ved at integrere sikkerhedsprodukter og data i forenklede løsninger. Organisationer bruger disse løsninger til proaktivt og effektivt at håndtere et voksende trusselslandskab og komplekse sikkerhedsudfordringer på tværs af et hybridt multicloudmiljø. I modsætning til systemer som slutpunktsregistrering og -svar (EDR) udvider XDR rækkevidden for sikkerheden ved at integrere beskyttelse på tværs af en bred vifte af produkter, herunder en organisations slutpunkter, servere, cloudprogrammer, mails og meget mere. Derfra kombinerer XDR forebyggelse, registrering, undersøgelse og respons for at give synlighed, analyser, korrelerede hændelsesunderretninger og automatiske svar for at forbedre datasikkerhed og bekæmpe trusler.
Firewall
En firewall overvåger trafik til og fra netværket og tillader eller blokerer trafik baseret på sikkerhedsregler, der er defineret af SOC.
Administration af logge
En logadministrationsløsning, der ofte er inkluderet som en del af en SIEM, logfører alle beskeder, der kommer fra alle software-, hardware- og slutpunktssystemer, der kører i organisationen. Disse logfiler indeholder oplysninger om netværksaktivitet.
Disse værktøjer scanner netværket for at identificere eventuelle svagheder, der kan udnyttes af en person med ondsindede hensigter.
Analyse af bruger- og enhedsadfærd
Analyse af bruger- og enhedsadfærd, der er indbygget i mange moderne sikkerhedsværktøjer, bruger kunstig intelligens til at analysere data, der indsamles fra forskellige enheder, for at etablere en oprindelig plan for normal aktivitet for de enkelte brugere og enheder. Når en hændelse afviger fra den oprindelige plan, markeres den med flag til yderligere analyse.
SOC og SIEM
Uden en SIEM ville det være ekstremt svært for en SOC at nå sin mission. En moderne SIEM tilbyder:
- Logsammenlægning: En SIEM indsamler logdataene og korrelerer underretninger, som analytikere bruger til trusselsregistrering og jagt.
- Kontekst: Da en SIEM indsamler data på tværs af al teknologi i organisationen, hjælper det med at trække de streger, der forbinder individuelle hændelser, for at identificere avancerede angreb.
- Færre underretninger: Ved at bruge analyser og kunstig intelligens til at korrelere underretninger og identificere de mest alvorlige hændelser reducerer en SIEM antallet af hændelser, som personer skal gennemse og analysere.
- Automatisk svar: Indbyggede regler gør det muligt for SIEM'er at identificere sandsynlige trusler og blokere dem uden interaktion mellem personer.
Det er også vigtigt at bemærke, at en SIEM alene ikke er nok til at beskytte en organisation. Der er brug for personer til at integrere SIEM med andre systemer, definere parametrene for regelbaseret registrering og evaluere underretninger. Det er derfor afgørende at definere en SOC-strategi og ansætte de rette medarbejdere.
SOC-løsninger
Der findes en lang række løsninger, som kan hjælpe en SOC med at forsvare organisationen. De bedste arbejder sammen om at levere komplet dækning på tværs af det lokale miljø og flere cloudmiljøer. Microsoft Security indeholder omfattende løsninger, der kan hjælpe SOC'er med at fjerne huller i dækningen og få en 360 graders visning af miljøet. Microsoft Sentinel er en cloudbaseret SIEM, der er integreret med Microsoft Defenders udvidede registrerings- og svarløsninger for at give analytikere og trusselsjægere de data, de skal bruge for at finde og stoppe cyberangreb.
Få mere at vide om Microsoft Security
Microsoft SIEM og XDR
Få integreret trusselsbeskyttelse på tværs af enheder, identiteter, apps, mails, data og arbejdsbelastninger i skyen.
Microsoft Defender XDR
Stop angreb med trusselsbeskyttelse på tværs af domæner drevet af Microsoft XDR.
Microsoft Sentinel
Afdæk sofistikerede trusler, og reager beslutsomt med en nem og effektiv SIEM-løsning, der er drevet af skyen og kunstig intelligens.
Microsoft Defender Threat Intelligence
Hjælp med at identificere og eliminere personer med ondsindede hensigter og deres værktøjer med et unikt indblik i et trusselslandskab under udvikling.
Ekstern angrebsoverfladeadministration til Microsoft Defender
Få løbende synlighed ud over din firewall for at få hjælp til at finde ikke-administrerede ressourcer og opdage svagheder på tværs af dit multicloudmiljø.
Ofte stillede spørgsmål
-
Et NOC (Network Operation Center) fokuserer på netværkets ydeevne og hastighed. Den reagerer ikke kun på afbrydelser, men overvåger også proaktivt netværket for at identificere problemer, der kan gøre trafikken langsommere. En SOC overvåger også netværket og andre miljøer, men den leder efter bevis på et cyberangreb. Da en sikkerhedshændelse kan forstyrre netværkets ydeevne, skal NOC'er og SOC'er koordinere aktivitet. Nogle organisationer har deres SOC i deres NOC for at fremme samarbejde.
-
SOC-teams overvåger servere, enheder, databaser, netværksprogrammer, websteder og andre systemer for at afdække potentielle trusler i realtid. De udfører også proaktivt sikkerhedsarbejde ved at holde sig opdateret om de nyeste trusler og identificere og håndtere system- eller processårbarheder, før en person med ondsindede hensigter udnytter dem. Hvis organisationen bliver udsat for et vellykket angreb, er SOC-teamet ansvarlig for at fjerne truslen og gendanne systemer og sikkerhedskopier efter behov.
-
En SOC består af personer, værktøjer og processer, der hjælper med at beskytte en organisation mod cyberangreb. For at nå sine mål udfører det følgende funktioner: opgørelse over alle aktiver og teknologier, rutinemæssig vedligeholdelse og beredskab, løbende overvågning, trusselsregistrering, oplysninger om trusler, administration af log, hændelsesrespons, gendannelse og svar på hændelse, undersøgelser af de grundlæggende årsager, sikkerhedsforbedring og administration af overholdelse.
-
En stærk SOC hjælper en organisation med at administrere sikkerheden mere effektivt ved at samle defenders, værktøjer til trusselsregistrering og sikkerhedsprocesser. Organisationer med en SOC kan forbedre deres sikkerhedsprocesser, reagere hurtigere på trusler og bedre administrere overholdelse af angivne standarder end virksomheder uden en SOC.
-
SOC er de personer, processer og værktøjer, der er ansvarlige for at forsvare en organisation mod cyberangreb. SIEM er et af mange værktøjer, som SOC bruger til at opretholde synlighed og reagere på angreb. SIEM samler logfiler og bruger analyse og automatisering til at finde troværdige trusler mod medlemmer af SOC, som beslutter, hvordan der skal reageres.
Følg Microsoft