Security Operations Center

Man som kodar på en laptop

Hot mot organisationers verksamhet och IT-miljöer blir allt mer komplexa och riktade. För att skydda sig krävs ett strukturerat säkerhetsarbete. Förmåga att detektera och respondera på säkerhetsincidenter, hot och andra avvikelser i dina system är en viktig del av detta. Här fyller en SOC – Security Operations Center – en central roll.

Security Operations Center

Security Operations Center 1949 739 C.A.G

Ett strukturerat säkerhetsarbete kan till exempel innebära att ledningssystem för informations­säkerhet (LIS) införs (t.ex. baserat på standarden ISO/IEC 27001). Ett sådant arbete inkluderar flertalet funktioner och förmågor i syfte att skydda sina tillgångar. Det handlar om att kontinuerligt identifiera risker för tillgångar och verksamheten, utveckla och implementera säkerhetsfunktioner för att skydda sig mot hot, men även om att ha en förmåga att upptäcka och agera på incidenter och anomalier. Samt – sist men inte minst – ha en förmåga att återställa verksamheten vid avbrott. Flertalet compliance- och lagkrav (t.ex. GDPR, NIS och PCI-DSS) kräver strukturerad förmåga att detektera och respondera på säkerhetsincidenter, hot och andra oönskade aktiviteter som sker i verksamheten.

 

Protect – Utveckla och implementera säkerhetsfunktioner
Detect – Förmåga att upptäcka incidenter eller anomalier
Respond – Förmåga att agera på upptäckta incidenter
Recover – Förmåga att återställa verksamheten vid avbrott

 

Vad är en SOC?

Ett Security Operations Center, eller en SOC som man kanske oftare säger i dagligt tal, är en funktion där händelser och aktivitet i IT-miljöer övervakas kontinuerligt (ofta dygnet runt). Detta för att säkerställa att icke önskvärda händelser och beteenden upptäcks, klassificeras och kan hanteras enligt gällande incidenthanteringsplan. SOC:ens kapacitet för detektion inkluderar ofta flera olika förmågor. Oftast har man ett upplägg där man nyttjar system så som Intrusion Detection System (IDS), Endpoint Protection System (EDS), verktyg för vulnerability managementsamt, SIEM- system som samlar in loggar från flertalet system och applikationer och larmar vår SOC som då agerar. Samtliga larm och aktiviteter loggas och följs upp.

 

SOC är så mycket mer

En SOC-funktion delta i alla delar av säkerhetsarbetet – inte bara i att upptäcka och hantera incidenter som man kanske lätt tror. En minst lika viktig del av SOC:ens arbete är att identifiera hot mot verksamheten och kontinuerligt utveckla mekanismer för att upptäcka och skydda sig mot det okända. Vi kan aldrig förebygga alla incidenter – kanske främst på grund av att det ligger i sakens natur att vi inte kan känna till alla olika incidenter som kan inträffa. En SOC bör alltså byggas som en helhetsfunktion för att stötta verksamheten i det övergripande säkerhetsarbetet. Det handlar om tekniska säkerhetsexperter som arbetar förebyggande med kontinuerliga tester och utbildningar. Beroende på val av klient (ex. Microsoft 365 E5) kan också mer avancerade lösningar för Data Loss Prevention (DLP) adderas till SOC:en inklusive avancerade verktyg för att bygga upp en ökad förmåga för ”Threat intelligence”, automation och AI.

När ett larm aktiveras agerar SOC:ens personal direkt och agerar utifrån situation. Eftersom ingen incident nödvändigtvis är den andra lik behöver man göra en kvalificerad bedömning i varje enskilt fall. Isolering av incidenten sker snarast för att minimera den negativa potentiella effekten. Synkroniserade aktiviteter genomförs för att lösa situationen baserat på omfattning. Detta kan innebära att man deaktiverar accesser eller behörigheter, förändrar regler i brandväggar, rullar tillbaka backuper samt säkerställeratt sårbarheten är identifierad och åtgärdad. Incident Manager (IM) ansvarar och agerar utifrån den incidenthanteringsplan som tagits fram tidigare.

 

En SOC-funktion kompletteras gärna med följande:

  • Regelbundna penetrationstest och vulnerability scans. Regelbundna intrångstester och genomsökningar av nätverk och centrala resurser hjälper till att upptäcka säkerhetsbrister på tidigt stadium.
  • Grundkurs i Informationssäkerhet. För att utbilda alla inom organisationen i grundläggande
    säkerhetsmedvetande.
  • Regelbundna phishingkampanjer. Phishingkampanjer på regelbunden basis för att öka
    medarbetarnas säkerhetmedvetenhet.

 

En SOC är alltså en central del i både tekniska och processmässiga säkerhetsfrågor och en fokalpunkt i en organisations strukturerade säkerhetsarbete.

 

Vid pennan/ Mattias Levin, IT-säkerhetsspecialist och chef för C.A.G SOC

Kontaktperson

Annika Rogneby

+46 70 687 33 08

annika.rogneby@cag.se

X
X