Vad är ett säkerhetscenter (SOC)?
Läs om hur SOC-team (säkerhetscenter) snabbt identifierar, prioriterar och sorterar potentiella cyberattacker.
Vad är ett SOC?
Ett säkerhetscenter (SOC) är ett centraliserat team (eller funktion) som ansvarar för att förbättra en organisations cybersäkerhetsstatus och förhindra, identifiera och besvara hot. SOC-teamet, som kan finnas på plats eller vara outsourcat, övervakar identiteter, slutpunkter, servrar, databaser, nätverksprogram, webbplatser och andra system för att upptäcka potentiella cyberattacker i realtid. Teamet arbetar också proaktivt genom att använda den senaste hotinformationen för att hålla sig uppdaterad om hotgrupper och infrastruktur och identifiera och åtgärda sårbarheter i system eller processer innan angripare hinner utnyttja dem. De flesta SOC-teamen är verksamma dygnet runt alla dagar i veckan, och stora organisationer med verksamhet i flera länder kan också ha ett globalt säkerhetscenter (GSOC) som håller koll på globala säkerhetshot och samordnar identifiering och åtgärder mellan flera lokala SOC-team.
Funktioner i ett SOC
SOC-teammedlemmarna har följande ansvarsområden för att förhindra, hantera och återställa efter attacker.
Inventering av tillgångar och verktyg
För att det inte ska finnas några sårbara punkter och luckor i säkerheten behöver SOC ha insyn i de tillgångar som behöver skyddas och de verktyg som används för att skydda organisationen. Det innebär att teamet ansvarar för alla databaser, molntjänster, identiteter, program och slutpunkter både lokalt och i flera moln. Teamet håller också reda på alla säkerhetslösningar som används i organisationen, till exempel brandväggar, skydd mot skadlig kod, skydd mot utpressningstrojaner och övervakningsprogramvara.
Minska attackytan
Ett viktigt ansvarsområde för SOC-teamet är att minska organisationens attackyta. SOC-teamet gör detta genom att upprätthålla en förteckning över alla arbetsbelastningar och tillgångar, tillämpa säkerhetskorrigeringar på programvara och brandväggar, identifiera felkonfigurationer och lägga till nya tillgångar när de tas online. Teammedlemmar ansvarar också för att undersöka nya hot och analysera exponering, vilket hjälper dem att ligga steget före de senaste hoten.
Kontinuerlig övervakning
Med hjälp av säkerhetsanalyslösningar som en SIEM-lösning (Security Information Enterprise Management), SOAR-lösning (säkerhetsorkestrering, automatisering och hantering) eller XDR-lösning (utökad identifiering och åtgärd) övervakar SOC-teamen hela miljön – lokalt, moln, program, nätverk, och enheter – dygnet runt alla dagar för att upptäcka avvikelser eller misstänkt beteende. Dessa verktyg samlar in telemetri, sammanställer data och har i vissa fall automatiserad incidenthantering.
Hotinformation
SOC-team använder också dataanalys, externa flöden och produkthotrapporter för att få insikt i angriparnas beteende, infrastruktur och motiv. Den här kunskapen ger en helhetsbild av vad som händer på Internet och hjälper teamen att förstå hur grupper arbetar. Med den här informationen kan SOC snabbt upptäcka hot och stärka organisationens skydd mot nya risker.
Identifiering av hot
SOC-team använder data som genereras av SIEM- och XDR-lösningarna för att identifiera hot. De börjar med att filtrera bort falska positiva identifieringar från de verkliga problemen. Sedan prioriteras hoten efter allvarlighetsgrad och potentiell påverkan på verksamheten.
Logghantering
SOC ansvarar också för att samla in, underhålla och analysera loggdata som produceras av varje slutpunkt, operativsystem, virtuell dator, lokal app och nätverkshändelse. Analysen hjälper till att upprätta en baslinje för normal aktivitet och avslöjar avvikelser som kan tyda på skadlig kod, utpressningstrojaner eller virus.
Svar på incident
När en cyberattack har identifierats vidtar SOC snabbt åtgärder för att begränsa skadan för organisationen med så lite avbrott i verksamheten som möjligt. Stegen kan omfatta att stänga av eller isolera berörda slutpunkter och program, pausa komprometterade konton, ta bort infekterade filer och köra antivirusprogram och program mot skadlig kod.
Återställning och åtgärder
Efter en attack ansvarar SOC för att återställa företaget till dess ursprungliga tillstånd. Teamet rensar och återansluter diskar, identiteter, e-post och slutpunkter, startar om program, övergår till backupsystem och återställer data.
Undersökning av rotorsak
För att förhindra att en liknande attack inträffar igen gör SOC en grundlig undersökning för att identifiera sårbarheter, dåliga säkerhetsprocesser och annat som har bidragit till incidenten.
Säkerhetsförbättring
SOC använder all information som samlas in under en incident för att åtgärda sårbarheter, förbättra processer och principer och uppdatera säkerhetsöversikten.
Efterlevnadshantering
Ett viktigt ansvarsområde för SOC-teamet är att se till att program, säkerhetsverktyg och processer följer sekretessreglerna, till exempel den allmänna dataskyddsförordningen (GDPR), California Consumer Privacy Act (CCPA) och Health Insurance Portability and Accountability Act (HIPPA). Teamen granska regelbundet systemen för att säkerställa efterlevnad och se till att tillsynsmyndigheter, polismyndigheter och kunder informeras efter ett dataintrång.
Viktiga roller i ett SOC
Följande roller ingår normalt i ett SOC-team, beroende på organisationens storlek:
Director of Incidence Response
Den här rollen, som vanligtvis bara finns i stora organisationer, ansvarar för att samordna identifiering, analys, inneslutning och återställning under en säkerhetsincident. De hanterar även kommunikation med lämpliga intressenter.
SOC-ansvarig
Den SOC-ansvarige övervakar SOC-teamet och rapporterar vanligtvis till Chief Information Security Officer (CISO). Bland uppgifterna ingår att övervaka personal, driva verksamheten, utbilda nyanställda och hantera ekonomin.
Säkerhetstekniker
Säkerhetstekniker ser till att organisationens säkerhetssystem fungerar. I arbetet ingår att utforma säkerhetsarkitekturen och forska kring, implementera och underhålla säkerhetslösningar.
Säkerhetsanalytiker
Säkerhetsanalytikerna är först på plats när det uppstår en säkerhetsincident. De identifierar hot, prioriterar dem och vidtar åtgärder för att begränsa skadorna. Under en cyberattack kan de behöva isolera värden, slutpunkten eller användaren som har infekterats. I vissa organisationer är säkerhetsanalytikerna indelade i olika nivåer baserat på allvarlighetsgraden för de hot som de ansvarar för att åtgärda.
Hotjägare
I vissa organisationer kallas de mest erfarna säkerhetsanalytikerna hotjägare. Dessa personer identifierar och hanterar avancerade hot som inte upptäcks av automatiserade verktyg. Detta är en proaktiv roll som är avsedd att fördjupa organisationens förståelse av kända hot och upptäcka okända hot innan en attack har genomförts.
Kriminaltekniska analytiker
Stora organisationer kan också hyra in kriminaltekniska analytiker som samlar in information efter ett intrång för att ta reda på rotorsakerna. De letar efter sårbarheter i system, brott mot säkerhetsprinciper och cyberattackmönster som kan användas för att förhindra en liknande kompromettering i framtiden.
Typer av säkerhetscenter
Organisationer kan strukturera sina säkerhetscenter på olika sätt. Vissa väljer att skapa ett dedikerat säkerhetscenter med en heltidspersonal. Den här typen av SOC kan vara ett internt SOC på en fysisk lokal plats, eller så kan det vara ett virtuellt SOC där personalen samordnar arbetet på distans med hjälp av digitala verktyg. Många virtuella säkerhetscenter använder en kombination av kontraktsanställda och heltidsanställda. Ett outsourcat SOC, som även kan kallas ett hanterat SOC eller SOC som en tjänst, drivs av en tjänstleverantör av hanterad säkerhet som ansvarar för att förhindra, identifiera, undersöka och besvara hot. Det går också att ha en kombination av en intern personal och en tjänstleverantör av hanterad säkerhet. Det kallas för ett hybrid-SOC. Organisationer använder den här metoden för att utöka sin egen personal. Om en organisation till exempel inte har några hotutredare kan det vara enklare att hyra dem från tredje part än att anställa dem.
Vikten av SOC-team
Ett starkt SOC hjälper företag, myndigheter och andra organisationer att ligga steget före nya cyberhot. Det är ingen enkel uppgift. Både angripare och försvarscommunityn utvecklar hela tiden nya tekniker och strategier, och det tar tid och fokus att hantera alla förändringar. Med hjälp av sina kunskaper om cybersäkerhetsmiljön, interna svagheter och affärsprioriteringar kan ett SOC hjälpa en organisation att utveckla en säkerhetsöversikt som överensstämmer med verksamhetens långsiktiga behov. SOC kan också begränsa inverkan på verksamheten när en attack inträffar. Eftersom de kontinuerligt övervakar nätverket och analyserar varningsdata kan de med större sannolikhet fånga upp hot tidigare än ett team som även har andra arbetsuppgifter och prioriteringar. Ett SOC har regelbunden utbildning och väldokumenterade processer som gör att de kan hantera en aktuell incident snabbt – även under extrem stress. Det kan vara svårt för team som inte fokuserar på säkerhetsåtgärder dygnet runt alla dagar i veckan.
Fördelar med ett SOC
SOC förenar de personer, verktyg och processer som används för att skydda en organisation mot hot, vilket ger organisationen ett mer effektivt skydd mot attacker och intrång.
Stark säkerhetsstatus
Att förbättra en organisations säkerhet är ett jobb som aldrig tar slut. Det krävs kontinuerlig övervakning, analys och planering för att upptäcka sårbarheter och hålla koll på teknik som ständigt förändras. När personalen har konkurrerande prioriteringar kan det här arbetet lätt försummas till förmån för uppgifter som känns mer brådskande.
Ett centraliserat säkerhetscenter hjälper till att säkerställa att processer och tekniker förbättras kontinuerligt, vilket minskar risken för en lyckad attack.
Efterlevnad av sekretessregler
Branscher, länder och regioner har olika regler som styr insamling, lagring och användning av data. Många kräver att organisationer rapporterar dataintrång och tar bort personuppgifter på konsumenters begäran. Att ha rätt processer och rutiner på plats är lika viktigt som att ha rätt teknik. Medlemmar i ett säkerhetscenter hjälper organisationer att följa kraven genom att de tar ansvar för att hålla teknik- och dataprocesserna uppdaterade.
Snabb hantering av incidenter
Det gör stor skillnad om en cyberattack upptäcks och åtgärdas snabbt. Med rätt verktyg, personer och kunskap kan många överträdelser stoppas innan de hinner göra någon skada. Men illvilliga aktörer är också bra på att undvika att bli upptäckta, stjäla enorma mängder data och eskalera sina privilegier innan någon märker det. En säkerhetsincident är också en händelse som skapar mycket stress – särskilt för personer som inte har erfarenhet av incidenthantering.
Med hjälp av enhetlig hotinformation och väldokumenterade procedurer kan SOC-team snabbt identifiera, besvara och återställa från attacker.
Minskade kostnader för intrång
Ett lyckat intrång kan vara mycket dyrt för organisationer. En återställning leder ofta till betydande stilleståndstid och många företag förlorar kunder eller har svårt att skaffa nya kunder kort efter en incident. Genom att ligga steget före angriparna och snabbt vidta åtgärder hjälper SOC-team organisationer att spara tid och pengar när återgår till normal verksamhet.
Metodtips för SOC-team
Eftersom ett säkerhetscenter har många ansvarsområden måste de organiseras och hanteras på ett effektivt sätt för att uppnå resultat. Organisationer med starka SOC-team implementerar följande metodtips:
Affärsanpassad strategi
Även SOC-team med stora resurser måste bestämma var de ska fokusera sin tid och sina pengar. Organisationer börjar vanligtvis med en riskbedömning för att identifiera de största riskområdena och de största möjligheterna för verksamheten. Detta hjälper till att identifiera vad som behöver skyddas. Ett SOC-team måste också förstå miljön där tillgångarna finns. Många företag har komplexa miljöer där vissa data och program finns lokalt och andra finns i olika moln. En strategi hjälper till att avgöra om säkerhetspersonalen måste vara tillgänglig dygnet runt alla dagar, och om det är bättre att ha ett internt säkerhetscenter eller att anlita en professionell tjänst.
Talangfull, välutbildad personal
Nyckeln till ett effektivt säkerhetscenter är att ha en mycket kvalificerad personal som ständigt utvecklas. Det börjar med att hitta de bästa talangerna, men det kan vara svårt eftersom det råder stor konkurrens om säkerhetspersonal. För att undvika kompetensbrist försöker många organisationer hitta personer med olika expertis, till exempel inom system- och informationsövervakning, aviseringshantering, incidentidentifiering och analys, hotjakt, etisk hackning, IT-forensik och bakåtkompilering. De distribuerar också teknik som automatiserar uppgifter så att små team kan arbeta mer effektivt och juniora analytiker kan uppnå bättre resultat. Genom att investera i regelbunden utbildning kan organisationer behålla nyckelpersoner, åtgärda bristen på kompetens och hjälpa personalen att utvecklas i sin karriär.
Synlighet från slutpunkt till slutpunkt
Eftersom en attack kan börja med en enda slutpunkt är det viktigt att SOC-teamet har insyn i hela organisationens miljö, även allt som hanteras av tredje part.
Rätt verktyg
Det finns så många säkerhetshändelser att teamen lätt kan bli överväldigade. Effektiva SOC-team investerar i bra säkerhetsverktyg som fungerar bra tillsammans och använder AI och automatisering för att eskalera risker. Samverkan är avgörande för att undvika luckor i säkerheten.
Verktyg och teknik i SOC
Säkerhetsinformation och händelsehantering (SIEM)
Ett av de viktigaste verktygen i ett SOC är en molnbaserad SIEM-lösning som aggregerar data från flera säkerhetslösningar och loggfiler. Med hjälp av hotinformation och AI hjälper dessa verktyg SOC-team att identifiera nya hot, påskynda incidenthanteringen och ligga steget före angripare.
Säkerhetsorkestrering, automatisering och hantering (SOAR)
SOAR automatiserar återkommande och förutsägbara uppgifter för berikande, hantering och reparation, vilket frigör tid och resurser för mer djupgående undersökning och jakt.
Utökad identifiering och åtgärd (XDR)
XDR är ett SaaS-verktyg (programvara som en tjänst) för holistisk, optimerad säkerhet med integration av säkerhetsprodukter och data i förenklade lösningar. Organisationer använder dessa lösningar för att proaktivt och effektivt hantera ett växande hotlandskap och komplexa säkerhetsutmaningar i en hybridmiljö med flera moln. Till skillnad från system som identifiering och åtgärd på slutpunkt (EDR) ger XDR ett större säkerhetsomfång och integrerar skydd över ett bredare utbud av produkter, som en organisations slutpunkter, servrar, molnprogram och e-postmeddelanden. XDR kombinerar förebyggande, identifiering, undersökning och svar för att tillhandahålla synlighet, analyser, korrelerade incidentvarningar och automatiserade åtgärder för att förbättra datasäkerheten och bekämpa hot.
Brandvägg
En brandvägg övervakar trafik till och från nätverket och tillåter eller blockerar trafik baserat på säkerhetsregler som definieras av SOC.
Logghantering
En logghanteringslösning, som ofta ingår som en del av en SIEM, loggar alla aviseringar som kommer från alla typer av programvara, maskinvara och slutpunkter som körs i organisationen. Dessa loggar innehåller information om nätverksaktivitet.
Dessa verktyg söker igenom nätverket för att identifiera eventuella svagheter som kan utnyttjas av en angripare.
Analys av användar- och entitetsbeteende
Analys av användar- och entitetsbeteende är inbyggt i många moderna säkerhetsverktyg och använder AI för att analysera data som samlas in från olika enheter för att upprätta en baslinje för normal aktivitet för varje användare och entitet. När en händelse avviker från baslinjen flaggas den för ytterligare analys.
SOC och SIEM
Utan SIEM skulle det vara mycket svårt för ett SOC-team att utföra sitt uppdrag. Ett modernt SIEM-erbjudande:
- Loggaggregering: SIEM samlar in loggdata och korrelerar aviseringar, som analytiker använder för hotidentifiering och jakt.
- Sammanhang: SIEM samlar in data för all teknik i organisationen, vilket gör det enklare att hitta samband mellan enskilda incidenter för att identifiera sofistikerade attacker.
- Färre aviseringar: Genom att använda analys och AI för att korrelera aviseringar och identifiera de allvarligaste händelserna minskar SIEM antalet incidenter som människor behöver granska och analysera.
- Automatiskt svar: SIEM kan med hjälp av inbyggda regler identifiera sannolika hot och blockera dem utan interaktion med människor.
Det är också viktigt att observera att det inte räcker med bara SIEM för att skydda en organisation. Det behövs människor för att integrera SIEM med andra system, definiera parametrarna för regelbaserad identifiering och utvärdera aviseringar. Därför är det viktigt att definiera en SOC-strategi och anställa rätt personal.
SOC-lösningar
Det finns en mängd olika lösningar som hjälper SOC att skydda organisationen. De bästa lösningarna arbetar tillsammans för att ge ett fullständig skydd lokalt och i flera moln. Microsoft Security tillhandahåller omfattande lösningar för att hjälpa SOC-teamen att åtgärda luckor i säkerheten och få en 360-graders vy över sin miljö. Microsoft Sentinel är en molnbaserad SIEM-lösning som integreras med Microsoft Defender XDR-lösningar (utökad identifiering och åtgärd) för att ge analytiker och hotjägare de data de behöver för att hitta och stoppa cyberattacker.
Mer information om Microsoft Security
Microsoft SIEM och XDR
Få integrerat skydd mot hot för enheter, identiteter, appar, e-post, data och arbetsbelastningar i molnet.
Microsoft Defender XDR
Förhindra attacker med skydd mot hot över domängränserna med Microsoft XDR.
Microsoft Sentinel
Upptäck avancerade hot och svara beslutsamt med en enkel och kraftfull SIEM-lösning som drivs av molnet och AI.
Microsoft Defender Hotinformation
Hjälp till att identifiera och oskadliggöra angripare och deras verktyg med en enastående insikt i en föränderlig hotbild.
Microsoft Defender – hantering av extern attackyta
Få kontinuerlig insyn bortom brandväggen så att du kan identifiera ohanterade resurser och upptäcka svagheter i din miljö med flera moln.
Vanliga frågor och svar
-
Ett nätverksåtgärdscenter (NOC) fokuserar på nätverksprestanda och hastighet. Den svarar inte bara på avbrott utan övervakar även nätverket proaktivt för att identifiera problem som kan göra trafiken långsam. En SOC övervakar även nätverket och andra miljöer, men söker efter bevis på en cyberattack. Eftersom en säkerhetsincident kan störa nätverkets prestanda måste nätverkskortet och säkerhetscentern samordna aktiviteten. Vissa organisationer rymmer sin SOC i sin NOC för att uppmuntra samarbete.
-
SOC-team övervakar servrar, enheter, databaser, nätverksprogram, webbplatser och andra system för att upptäcka potentiella hot i realtid. De utför också proaktivt säkerhetsarbete genom att hålla sig uppdaterade om de senaste hoten och identifiera och åtgärda system- eller processsäkerhetsrisker innan en angripare utnyttjar dem. Om organisationen drabbas av en lyckad attack ansvarar SOC-teamet för att ta bort hotet och återställa systemet och säkerhetskopiorna efter behov.
-
En SOC består av personer, verktyg och processer som hjälper till att skydda en organisation mot cyberattacker. För att uppnå sina mål utför den följande funktioner: inventering av alla tillgångar och teknik, rutinunderhåll och beredskap, kontinuerlig övervakning, hotidentifiering, hotinformation, logghantering, incidenthantering, återställning och reparation, rotorsaksundersökningar, säkerhetsförfining och efterlevnadshantering.
-
En stark SOC hjälper en organisation att mer effektivt hantera säkerheten genom att förena försvarsspelare, verktyg för hotidentifiering och säkerhetsprocesser. Organisationer med en SOC kan förbättra sina säkerhetsprocesser, reagera snabbare på hot och bättre hantera efterlevnad än företag utan SOC.
-
Ett SOC är de personer, processer och verktyg som ansvarar för att försvara en organisation från cyberattacker. En SIEM är en av många verktyg som SOC använder för att underhålla synlighet och besvara attacker. En SIEM samlar in loggfiler och använder analys och automation för att skicka trovärdiga hot till medlemmar i SOC, som bestämmer hur de ska hanteras.
Följ Microsoft