Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. CyberSOC
  5. Vad är ett Security Operations Center (Cyber SOC) och vad ger det för värde?

Vad är ett Security Operations Center (Cyber SOC) och vad ger det för värde?

Blogg CyberSOC
kvinna skriver på datorn

Share

Vad är SOC Security?

SOC, Security Operations Center, tar hand om övervakning och analys av cyberhot, eventuellt adderat med incident response funktioner.

En SOC, Security Operations Center, är en central enhet där säkerhetsanalytiker arbetar med cyberhot dygnet runt. Den består av de tre byggstenarna människor, processer och teknik för att hantera och förbättra en organisations säkerhetsnivå.

Dessa tre byggstenar samverkar och styrs genom definierade policys  och efterlevnad av dessa, och bildar på så sätt en röd tråd för företaget. En fysisk SOC är en central plats varifrån personalen övervakar företagsmiljön med hjälp av insamlad data från olika utvalda källor.

Security Operation Center, SOC, har idag fått lite olika namn:

  • SOC
  • CyberSOC
  • CyberDefenseCenter, CDC

Vad är en SOC:s funktion?

Funktionen för en SOC är att övervaka, upptäcka, undersöka och ta hand om cyberhot, dygnet runt. SOC:en har till uppgift att övervaka och skydda tillgångar, såsom immateriell egendom, personalinformation, affärssystem och varumärkesintegritet. SOC-teamet är den centrala funktionen för att operativt hantera cybersäkerheten på företaget och agera samordnare för insatser såsom att övervaka, klassificera, priritera och därmed försvara företaget mot cyberattacker.

SOC har vanligtvis byggts kring en “hub-and spoke architecture”, där ett SIEM-system (Security Information and Event Management) aggregerar och korrelerar data från olika källor och flöden. Denna modell kan innehålla en mängd olika system, såsom lösningar för sårbarhetshantering, risk and compliance (GRC)-system, applikationservrar, databaser, intrusion prevention system (IPS), user entity and behavior analytics (UEBA), endpoint detection and respons(EDR) och Threat Intelligence Platform (TIP).

SOC leds vanligtvis av en SOC-chef och teamen kan inkludera incidenthanterare, SOC-analytiker (nivå 1, 2 och 3) och proaktiva hotjägare. SOC:en rapporterar i regel till en CISO (Chief Information Security Officer) , som i sin tur rapporterar till antingen CIO eller direkt till VD.

Värdet i att investera i en extern SOC, är främst:

  • Bemanning 24/7, vilket kan vara kostsamt att etablera internt
  • Analysspecialister
  • Effektiva verktyg för att hantera falska larm och belysa de verkliga larmen
  • Processer & rutiner

Det allra främsta värdet i en extern SOC hittar vi i berikningen och intelligensen som adderas i analytikerarbetet. Här kan det vara värt att ”lyfta på locket” och titta vad som erbjuds, vad man får tillgång till och vilket värde det faktiskt ger.

Med bra och välgrundad ”threat intelligence” berikas larmen med relevant information för att bättre förstå tidigare, nuvarande och framtida hot. Det skapas en kontext som krävs för att fatta välgrundade beslut kring företagets cybersäkerhet, inte minst viktigt efter att en eventuell attack har inträffat.

Några av nyckelfunktionerna i en extern SOC

  • Tillgängliga resurser, 24/7
  • Proaktivt arbete och förebyggande tekniskt underhåll
  • Kontinuerlig proaktiv övervakning
  • Hantering och prioritering av larm
  • Incident response
  • Snabb isolering av infekterade enheter för att förhindra spridning
  • Logghantering
  • Livcykelhantering av hot, ständig förbättring av säkerhetsnivå
  • Efterlevnadskontroll

För mer information, läs vår rapport, Vägen till en egen SOC

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.