Hva er et sikkerhetsoperasjonssenter (SOC)?

SOC-teammedlemmer tar på seg følgende funksjoner for å forhindre, svare på og gjenopprette fra angrep.

For å eliminere blindsoner og hull i dekning, trenger SOC innsyn i ressursene det beskytter og innsikt i verktøyene det bruker til å forsvare organisasjonen. Dette betyr å ta høyde for alle databaser, skytjenester, identiteter, programmer og endepunkter lokalt og over flere skyer. Teamet holder også oversikt over alle sikkerhetsløsningene som brukes i organisasjonen, for eksempel brannmurer, beskyttelse mot skadelig programvare, beskyttelse mot løsepengevirus og overvåkingsprogramvare.

Et viktig ansvar for SOC er å redusere organisasjonens angrepsoverflate. SOC gjør dette ved å vedlikeholde en oversikt over alle arbeidsbelastninger og ressurser, implementere sikkerhetsoppdateringer på programvare og brannmurer, identifisere feilkonfigurasjoner og legge til nye ressurser etter hvert som de kobles til. Teammedlemmer er også ansvarlige for å undersøke nye trusler og analysere eksponering, noe som hjelper dem med å holde seg i forkant av de nyeste truslene.

Ved hjelp av sikkerhetsanalyseløsninger som en løsning for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM), en løsning for sikkerhetsorkestrering, automatisering og respons (SOAR), eller en løsning for utvidet oppdagelse og svar (XDR), overvåker SOC-team hele miljøet – lokalt, i skyer, programmer, nettverk og enheter – hele dagen, hver dag, for å avdekke avvik eller mistenkelig atferd. Disse verktøyene samler telemetri, aggregerer dataene, og i noen tilfeller automatiserer hendelsesrespons.

SOC bruker også dataanalyse, eksterne feeder og produkttrusselrapporter for å få innsikt i angriperatferd, infrastruktur og motiver. Denne informasjonen gir et helhetsbilde av hva som skjer på nettet, og hjelper teamene med å forstå hvordan grupper opererer. Med denne informasjonen kan SOC raskt avdekke trusler og styrke organisasjonen mot nye risikoer.

SOC-team bruker dataene som genereres av SIEM- og XDR-løsningene til å identifisere trusler. Dette begynner med å filtrere ut falske positiver fra de virkelige problemene. Deretter prioriterer de truslene etter alvorsgrad og potensiell innvirkning på bedriften.

SOC er også ansvarlig for å samle inn, vedlikeholde og analysere loggdata fra alle endepunkter, operativsystemer, virtuelle maskiner, lokale apper og nettverkshendelser. Analyse bidrar til å etablere en grunnlinje for normal aktivitet og viser avvik som kan indikere Informasjon om skadelig programvareskadelig programvare, løsepengevirus eller virus.

Når et cyberangrep er identifisert, iverksetter SOC raskt tiltak for å begrense skade på organisasjonen med så lite forstyrrelser i virksomheten som mulig. Fremgangsmåten kan omfatte å avslutte eller isolere berørte endepunkter og programmer, deaktivere kompromitterte kontoer, fjerne infiserte filer og kjøre programvare for å fjerne virus og skadelige programmer.

I etterkant av et angrep er SOC ansvarlig for å gjenopprette selskapets opprinnelige tilstand. Teamet sletter og kobler til disker, identiteter, e-post og endepunkter på nytt, starter programmer på nytt, går over til sikkerhetskopisystemer og gjenoppretter data.

For å forhindre at et lignende angrep skjer igjen, utfører SOC en grundig undersøkelse for å identifisere sårbarheter, dårlige sikkerhetsprosesser og andre forhold som bidro til hendelsen.

SOC bruker all intelligens som samles inn under en hendelse, til å håndtere sårbarheter, forbedre prosesser og policyer og oppdatere sikkerhetsveikartet.

En viktig del av SOCs ansvar er å sørge for at programmer, sikkerhetsverktøy og prosesser er i samsvar med personvernforskrifter, som EUs personvernforordning (GDPR), California Consumer Privacy Act (CCPA) og Health Insurance Portability and Accountability Act (HIPPA). Team overvåker regelmessig systemer for å sikre forskriftssamsvar og sørge for at tilsynsmyndigheter, politimyndigheter og kunder blir varslet etter et databrudd.