Dagens digitala säkerhetslandskap är i konstant förändring och nya och mer sofistikerade hot uppstår varje dag. Genom att bygga upp eller anlita ett SOC (Security Operations Center) kan ert företag jobba proaktivt med er cybersäkerhet och skydda er från att viktiga delar av verksamheten hamnar i fel händer. I den här artikeln ska vi gå in på vad ett Security Operations Center är, vilka verktyg som vanligen används samt vad du bör tänka på innan du bygger upp eller anlitar ett SOC.
Innehållsförteckning:
- Vad är ett Security Operations Center (SOC)?
- Hur arbetar ett Security Operations Center?
- Vanliga verktyg inom SOC
- Vad är skillnaden mellan ett externt och ett internt SOC?
- När behövs ett Security Operations Center?
- Vad kostar det att bygga upp ett SOC?
- Gör en analys av ert säkerhetsbehov
- Få rätt skydd med CGI
Vad är ett Security Operations Center (SOC)?
Security Operations Center (SOC) är en säkerhetsavdelning, eller en kommandocental, med ansvar för att identifiera, analysera och motverka alla digitala hot mot en organisation eller ett företag. SOC-teamet arbetar dygnet runt med att övervaka och analysera data från olika säkerhetsenheter, som till exempel brandväggar, IDS/IPS-system och användarloggar. När ett hot eller en attack upptäcks, genomför teamet åtgärder för att skydda organisationen och förhindra ytterligare skador.
Ett väl fungerande SOC är avgörande för att hantera dagens allt mer komplexa säkerhetslandskap.
Hur arbetar ett Security Operations Center?
Ett Security Operations Center jobbar holistiskt med cybersäkerheten för att åtgärda incidenter, men också för att minimera riskerna för nya attacker och hot. I större organisationer och företag finns det ofta en rad områden i vilka brister i säkerheten kan uppstå. För att få en bättre överblick över säkerhetsnivån brukar man inom SOC-världen tala om de tre faktorerna: teknik, processer och människor. Här utgör teknik alla tekniska element som t.ex. nätverk, system och hårdvara. Processerna syftar i sin tur på hur data och andra verksamhetskritiska tillgångar
hanteras inom organisationen. Och den mänskliga faktorn behöver knappast någon närmare presentation. Att det finns tydliga säkerhetsrutiner som efterlevs av de anställda är en av de viktigaste aspekterna av ett företags cybersäkerhet.
Genom att tala om dessa tre faktorer kan man skapa bättre rutiner och rikta specifika åtgärder där behov uppstår. Samtidigt måste de tre delarna samverka och styras genom definierade policies, som sätts av SOC:et.
Ett SOC utgörs oftast av ett antal roller med olika ansvarsområden. Vanligtvis leds det av en ansvarig SOC-chef. Teamet består i sin tur av incidenthanterare, analytiker av olika nivåer, samt personer som jobbar uteslutande med att leta upp cyberhot (hotjägare). Rapporteringen uppåt beror på om SOC:et är in-house eller externt. Vanligtvis brukar SOC rapportera till en CISO (Chief Information Security Officer), alternativt till CIO (Chief Information Officer) eller VD.
Vanliga verktyg inom SOC
Att sammanfatta vad ett Security Operations Center gör är inte det lättaste. Oftast blir bilden något klarare om man tittar på vilka verktyg ett SOC använder sig av i sitt dagliga arbete.
SIEM
Ett Security Operations Center kan se olika ut beroende på organisationens behov, men det finns några gemensamma komponenter som alla SOC:ar har. En av dessa komponenter är SIEM. SIEM står för Security Information and Event Management och är ett system för integrerad säkerhetsinformation och händelseloggning. SIEM samlar in data från olika säkerhetsverktyg och källor och hjälper SOC-personal att analysera dessa data och hitta eventuella säkerhetsincidenter.
Tillgångsidentifiering
Tillgångsidentifiering (eller asset discovery på engelska) är en annan viktig komponent i ett Security Operations Centers arbete. Genom detta verktyg kan SOC-personal kartlägga vilka resurser och system som finns i organisationen, vilket är viktigt för att kunna hantera och motverka säkerhetsincidenter.
Sårbarhetsbedömning
Sårbarhetsbedömning (vulnerability assessment) är ett verktyg som används för att identifiera och analysera sårbarheter i organisationens system och nätverk. SOC:et använder detta verktyg för att hitta eventuella brister i SOC-processer och för att planera hur dessa brister ska åtgärdas.
Intrångsdetektering
Intrusion detection, eller intrångsdetektering på svenska, är ett annat viktigt verktyg inom SOC. Verktyget används för att upptäcka och analysera olagliga eller misstänkta aktiviteter i organisationens system och nätverk. SOC-personal använder intrusion detection för att hitta eventuella intrång i systemen, identifiera orsakerna till dessa intrång och genomföra åtgärder för att motverka dem.
Beteendeövervakning
Behavioral monitoring är en annan metod för att upptäcka hot mot cybersäkerhet. Den bygger på UEBA – dvs. maskininlärning för analys av användarnas beteenden i nätverket. Verktyget kan användas för att identifiera oönskade eller ovanliga aktiviteter, exempelvis från hackare som försöker ta sig in i systemet. Genom att studera användarnas vanor och beteende kan SOC-teamet lättare upptäcka avvikande aktivitet och snabbt agera när ett hot upptäcks.
SOAR
Idag använder många SOC-team ett verktyg som heter SOAR (Security Orchestration, Automation and Response). SOAR är ett automatiserat system som samlar in, analyserar, utreder och prioriterar larm från många olika källor. På många sätt liknar det således SIEM. Fördelen med SOAR är att den ger teamet en tydligare bild över larmets omfattning, samt bättre information kring vilka kontroller som brustit eller angripits. Dessutom snabbar det på processer som identifiering och respons.
Det finns många andra verktyg och komponenter som ett Security Operations Center kan använda för att hantera och motverka säkerhetsincidenter. Dessa är bara några av de vanligaste. Det är viktigt att SOC-personal har kunskap om alla olika verktyg och hur de fungerar, för att kunna respondera snabbt och effektivt i händelse av en säkerhetsincident.
Vad är skillnaden mellan ett externt och ett internt SOC?
Det finns tre huvudsakliga typer av SOC, interna, externa och hybrider (dvs. en mix mellan in-house och externa experter). Ett internt SOC är en del av en organisation, medan ett externt SOC är ett fristående företag som specialiserat sig på att leverera SOC-tjänster till andra organisationer och företag. Det senare går också under namn som SOCaas (Security Operations Center as a service), CyberSOC och Cyber Defence Center.
Då nya hot mot cybersäkerhet uppstår varje dag kan många organisationer ha svårt att upptäcka och motverka dessa på egen hand. Därför anlitas ofta externa SOC-team för att hjälpa till med detta. En fördel med att anlita externa SOC-team är att de ofta kan erbjuda mer kompletta säkerhetslösningar än ett internt team. Till exempel har de vanligtvis tillgång till mer avancerad teknik, mer erfarna säkerhetsanalytiker och djupare threat intelligence från ett större antal källor.
Beroende på din organisations eller ditt företags behov och storlek kan det vara bäst att antingen anlita ett externt SOC-team eller bygga upp en säkerhetsteam in-house. Har du redan ett kompetent IT-team i din organisation kan det billigaste och mest effektiva alternativet vara en så kallad hybridlösning. Då sköts SOC:et i huvudsak av din ordinarie personal, med bidrag från utomstående experter som ofta har kraftfulla och beprövade strategier för att upptäcka och respondera på potentiella attacker och hot. Detta samarbete brukar också resultera i en snabb kompetensutveckling inom det interna teamet.
FÖRDELAR MED ETT INTERNT SOC: | FÖRDELAR MED ETT EXTERNT SOC: |
---|---|
|
|
NACKDELAR MED ETT INTERNT SOC: | NACKDELAR MED ETT EXTERNT SOC: |
---|---|
|
|
När behövs ett Security Operations Center?
Som företagare eller IT-ansvarig på ett företag har du säkert rätt bra koll på vilka hot din verksamhet står inför. Problemet är bara det att inkräktarna ofta hunnit en bra bit in i dina system innan de stöter på patrull. Om vanlig IT-säkerhet kan liknas vid stängsel och lås så kan ett Security Operations Center istället liknas vid en patrullerande vaktstyrka, utrustade med rörelsedetektorer, övervakningskameror och inpasseringskontroller.
I dagens digitala värld räcker det inte att veta att ett intrång eller en attack har ägt rum. Du måste också ha någon som reagerar på larmet, upptäcker potentiella brister och samordnar säkerheten så att hoten och attackerna kan avvärjas innan de nått de kritiska delarna av din verksamhet.
I artikeln “Varför behöver du ett Security Operations Center (SOC)” beskriver vi på ett underhållande och lättbegripligt sätt fördelarna med ett Security Operations Center.
Vad kostar det att bygga upp ett SOC?
Att hantera och bedöma risker utgör förmodligen redan en stor del av din verksamhet. Och till syvende och sist handlar cybersäkerhet om att väga investeringskostnader mot vad en eventuell attack eller incident hade kostat.
Att bygga upp en fullskalig intern SOC som opererar dygnet runt är en enorm investering som de flesta företag inte kan, eller vill göra. Dock ska man komma ihåg att ett SOC inte är ett måste för att hålla en hög säkerhetsnivå. Det finns andra metoder för att skydda de verksamhetskritiska delarna och bygga rutiner kring dessa (särskilt om du har ett mindre företag). Därför är det viktigt att analysera dina behov och din organisation innan du börjar budgetera för ett tids- och resurskrävande Security Operations Center.
Gör en analys av ert säkerhetsbehov
En hållbar säkerhetslösning är en lösning anpassad efter din organisations behov och förutsättningar. Innan du börjar bygga ett eget SOC är det därför viktigt att kartlägga din organisations digitala infrastruktur, identifiera riskerna och se över budgeten. Först då kan du svara på frågan om du verkligen behöver en SOC, eller om det finns en billigare och mer effektiv lösning för din verksamhet.
Visar det sig att du faktiskt är i behov av ett Security Operations Center så uppkommer en rad andra frågor, som till exempel:
- Ska SOC:et vara in-house, externt eller en hybrid?
- Vilken struktur ska SOC:et ha och vilka kompetenser bör det innehålla?
- Hur mycket får det kosta?
- Vilka mätvärden ska användas för att utvärdera SOC:ets arbete?
Få rätt skydd med CGI
Att göra en behovsanalys för cybersäkerhet är något som tar mycket tid och resurser i anspråk. I tillägg behövs ofta kunnig expertis för att kunna ta rätt beslut. På CGI hjälper vi dig att göra en hotbildsanalys som kartlägger dina angripares förmågor. Vår strategi går ut på att applicera hoten på de faktiska risker din verksamhet står inför. Genom att applicera rätt skydd, på rätt plats, med rätt övervakning får vi en bättre förståelse av dina behov och kan skräddarsy en SOC-lösning perfekt anpassad för din organisation.
För att du ska kunna ligga steget före dina motståndare erbjuder vi övervakning av hot, risker och behov dygnet runt. Genom vårt globala Security Operations Centers-nätverk har vi en total överblick över olika hot tvärs över alla sektorer – oavsett var i världen du befinner dig.
Nyfiken på hur vi arbetar med cybersäkerhet på ett globalt plan? Se vår video:
Läs fler artiklar om SOC och cybersäkerhet på vår blogg
På CGI håller vi oss alltid uppdaterade om det senaste inom cybersäkerhet. I vår blogg hittar du mängder av intressanta och läsvärda artiklar, blogginlägg och kundcase om allt från IT-säkerhet och molntjänster till Security Operations Centers, IAM och artificiell intelligens.