Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. CyberSOC
  5. Vad är ett Security Operations Center (Cyber SOC) och vad ger det för värde?

Vad är ett Security Operations Center (Cyber SOC) och vad ger det för värde?

BloggCyberSOC
kvinna skriver på datorn

Share

Vad är SOC Security?

SOC, Security Operations Center, tar hand om övervakning och analys av cyberhot, eventuellt adderat med incident response funktioner.

En SOC, Security Operations Center, är en central enhet där säkerhetsanalytiker arbetar med cyberhot dygnet runt. Den består av de tre byggstenarna människor, processer och teknik för att hantera och förbättra en organisations säkerhetsnivå.

Dessa tre byggstenar samverkar och styrs genom definierade policys  och efterlevnad av dessa, och bildar på så sätt en röd tråd för företaget. En fysisk SOC är en central plats varifrån personalen övervakar företagsmiljön med hjälp av insamlad data från olika utvalda källor.

När behövs ett Security Operations Center?

SOC används för att kontinuerligt övervaka, upptäcka och stoppa cyberhot och är därför en investering för att skydda viktiga data. Med hjälp av SOC kan ert företag även ta fram strategier och åtgärder för att förhindra framtida attacker, vilka ständigt förändras med tiden.

Kostnader för SOC

Innan ni bestämmer er för att investera i intern eller extern SOC bör ni göra en analys av vilken typ av säkerhet som ert företag är i behov av. SOC är resurskrävande och därför bör ni utgå från ert företags förutsättningar. Hur ser er digitala struktur ut idag? Vilka risker och möjligheter finns det kopplat till cybersäkerhet? Vad har ni för utrymme i er budget? Det är många frågeställningar som behöver övervägas för att få en så hållbar lösning som möjligt. 

Security Operation Center, SOC, har idag fått lite olika namn:

  • SOC
  • CyberSOC
  • CyberDefenseCenter, CDC

Vad är en SOC:s funktion?

Funktionen för en SOC är att övervaka, upptäcka, undersöka och ta hand om cyberhot, dygnet runt. SOC:en har till uppgift att övervaka och skydda tillgångar, såsom immateriell egendom, personalinformation, affärssystem och varumärkesintegritet. SOC-teamet är den centrala funktionen för att operativt hantera cybersäkerheten på företaget och agera samordnare för insatser såsom att övervaka, klassificera, prioritera och därmed försvara företaget mot cyberattacker.

SOC har vanligtvis byggts kring en “hub-and spoke architecture”, där ett SIEM-system (Security Information and Event Management) aggregerar och korrelerar data från olika källor och flöden. Denna modell kan innehålla en mängd olika system, såsom lösningar för sårbarhetshantering, risk and compliance (GRC)-system, applikationservrar, databaser, intrusion prevention system (IPS), user entity and behavior analytics (UEBA), endpoint detection and respons(EDR) och Threat Intelligence Platform (TIP).

SOC leds vanligtvis av en SOC-chef och teamen kan inkludera incidenthanterare, SOC-analytiker (nivå 1, 2 och 3) och proaktiva hotjägare. SOC:en rapporterar i regel till en CISO (Chief Information Security Officer) , som i sin tur rapporterar till antingen CIO eller direkt till VD.

Värdet i att investera i en extern SOC, är främst:

  • Bemanning 24/7, vilket kan vara kostsamt att etablera internt
  • Tillgång till erfarna analysspecialister samt avancerad teknik och utrustning
  • Effektiva verktyg för att hantera falska larm och belysa de verkliga larmen
  • Du slipper rekrytera, personalutveckla och behålla intern SOC-personal
  • Förutom kompetens får du även färdiga processer och rutiner 

Det allra främsta värdet i en extern SOC hittar vi i berikningen och intelligensen som adderas i analytikerarbetet. Här kan det vara värt att ”lyfta på locket” och titta vad som erbjuds, vad man får tillgång till och vilket värde det faktiskt ger.

Med bra och välgrundad ”threat intelligence” berikas larmen med relevant information för att bättre förstå tidigare, nuvarande och framtida hot. Det skapas en kontext som krävs för att fatta välgrundade beslut kring företagets cybersäkerhet, inte minst viktigt efter att en eventuell attack har inträffat.

Några av nyckelfunktionerna i en extern SOC

  • Tillgängliga resurser, 24/7
  • Proaktivt arbete och förebyggande tekniskt underhåll
  • Kontinuerlig proaktiv övervakning
  • Hantering och prioritering av larm
  • Incident response
  • Snabb isolering av infekterade enheter för att förhindra spridning
  • Logghantering
  • Livcykelhantering av hot, ständig förbättring av säkerhetsnivå
  • Efterlevnadskontroll

För mer information, läs vår rapport, Vägen till en egen SOC  

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.