Kaj je središče za varnostne postopke (SOC)?

Člani skupine SOC prevzamejo te funkcije za preprečevanje napadov, odzivanje nanje in obnovitev po napadih.

Če želite odstraniti slepe točke in vrzeli v pokritosti, mora imeti SOC vpogled v sredstva, ki jih ščiti, in vpogled v orodja, ki jih uporablja za zaščito organizacije. To pomeni, da je treba upoštevati vse zbirke podatkov, storitve v oblaku, identitete, aplikacije in končne točke v lokalnem okolju in več oblakih. Skupina tudi spremlja vse varnostne rešitve, ki se uporabljajo v organizaciji, kot so požarni zidovi, zaščita pred zlonamerno programsko opremo, protivirusna programska oprema in programska oprema za nadzor.

Ključna odgovornost središča SOC je zmanjšati površino za napade. SOC to naredi tako, da vzdržuje zalogo vseh delovnih obremenitev in sredstev, uporabi varnostne popravke za programsko opremo in požarne zidov, prepozna napačne konfiguracije in doda nova sredstva, ko so dosegljivi. Člani skupine so odgovorni tudi za raziskovanje novih groženj in analiziranje izpostavljenosti, kar jim pomaga biti na tekočem z najnovejšimi grožnjami.

S pomočjo rešitev za varnostno analitiko, kot so rešitev za upravljanje varnostnih informacij v podjetju (SIEM), rešitev za varnostno orkestracijo, avtomatizacijo in odzivanje (SOAR) ali rešitev za razširjeno odkrivanje in odzivanje (XDR), ekipe SOC ves dan spremljajo celotno okolje — lokalno, oblake, aplikacije, omrežja in naprave — ter odkrivajo nepravilnosti ali sumljivo vedenje. Ta orodja zbirajo telemetrijo, združijo podatke in v nekaterih primerih avtomatizirajo odziv na dogodek.

SOC uporablja tudi analitiko podatkov, zunanje vire in poročila o grožnjah izdelkov za pridobivanje vpogleda v vedenje napadalca, infrastrukturo in zbirke podatkov. Ta inteligenca zagotavlja velik pregled dogajanja v internetu in ekipam pomaga razumeti delovanje skupin. S temi informacijami lahko SOC hitro odkrije grožnje in okrepi organizacijo pred novimi tveganji.

Skupine SOC uporabljajo podatke, ki jih ustvarijo rešitve SIEM in XDR, za prepoznavanje groženj. To se začne s filtriranjem napačnih pozitivnih prepoznav iz resničnih težav. Nato grožnje razvrstijo po pomembnosti in morebitnem vplivu na podjetje.

Središče SOC je odgovorno tudi za zbiranje, vzdrževanje in analiziranje dnevniških podatkov, ki jih je ustvarila vsaka končna točka, operacijski sistem, navidezni računalnik, aplikacija na mestu uporabe in omrežni dogodek. Analiza pomaga vzpostaviti osnovni načrt za normalno dejavnost in razkrije anomalije, ki lahko kažejo na zlonamerno programsko opremo, izsiljevalsko programsko opremo ali viruse.

Ko je kibernetski napad identificiran, SOC hitro ukrepa, da omeji škodo na organizacijo s čim manj motnjami poslovanja. Ukrepi lahko vključujejo zaustavitev ali izolacijo prizadetih končnih točk in aplikacij, začasno izključitev ogroženih računov, odstranitev okuženih datotek ter zagon protivirusne in protivohunske programske opreme.

Središče SOC je po napadu odgovorno za obnovitev podjetja v prvotno stanje. Ekipa bo izbrisala in ponovno povezala diske, identitete, e-pošto in končne točke, ponovno zagnala aplikacije, preklopila na varnostne sisteme in obnovila podatke.

Da bi preprečili ponovitev podobnega napada, SOC opravi temeljito preiskavo in ugotovi ranljivosti, slabe varnostne procese in druga spoznanja, ki so pripomogla k incidentu.

SOC uporablja vse podatke, zbrane med dogodkom, za zaščito ranljivosti, izboljšanje procesov in pravilnikov ter posodobitev načrta varnosti.

Ključni del odgovornosti SOC je zagotoviti, da aplikacije, varnostna orodja in procesi izpolnjujejo predpise o zasebnosti, kot so Splošna uredba o varstvu podatkov (GDPR), Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in Zakon o zdravstvenem zavarovanju prenosljivosti in odgovornosti (HIPPA). Skupine redno pregledujejo sisteme za zagotavljanje skladnosti s predpisi in zagotavljajo, da so nadzorniki, organi kazenskega pregona in stranke obveščeni po kršitvi varstva podatkov.