En SOC, Security Operation Center, är en enhet som förlitar sig på både programvara och organiserade säkerhetsanalytiker för att upptäcka, analysera, rapportera, svara på och förebygga cybersäkerhetsincidenter.
För att utföra dessa uppdrag, förlitar sig SOC på analys av mycket stora datamängder som analyseras i realtid. För att en organisation ska betraktas som en SOC måste den tillhandahålla ett sätt för beståndsdelar att rapportera misstänkta cybersäkerhetsincidenter, biståndshantering till sina medlemmar och spridning av incidentinformation till intressenter och externa parter.
Innan den distribueras, måste en SOC utformas för att möta specifika behov som är unika för varje företag. Ingen SOC är den andra lik.
För vissa enheter härrör en del av dessa behov från nationella lagstiftningskrav. På europeisk nivå är det NIS -direktivet som kvalificerar vissa företag som operatörer av viktiga tjänster.
Förutom de regler som föreskrivs i nationella och internationella lagar, är designen baserad på flera studier. Dessa studier syftar till att definiera detekteringsregler (till vilka vi ägnar ett stycke åt nedan). De är utformade för att täcka risker baserade på de mest troliga användningsfall som gäller det största antalet personer (upptäckt av nätfiske, phishing, malware, skadlig kod, etc.) eller scenarier som är mer specifika för varje sammanhang. En SOC identifierar alltså vad som skiljer sig från en standard.
För att samla in den information som behövs för att utforma detekteringsreglerna är det nödvändigt att:
– Utföra en riskanalys.
– Identifiera de insamlingsbara uppgifterna och som täcker de risker som identifierats i analysen.
När ovanstående information har samlats in börjar byggfasen. Denna fas är relativt teknisk eftersom det är konfigurationen av SIEM, eller säkerhetsinformation och händelsehantering. Programvaran som gör det möjligt att upptäcka en incident eller avvikelse. SIEM är konfigurerat för att möta varje företags behov och säkerhetskontext.
För att göra detta måste den samla in data.
Huvudsyftet med byggfasen är:
– För att konfigurera SIEM
– Säkerställa insamling av data
– Extrahera och normalisera data
– Berika uppgifterna med kontextuell information
– Att sätta upp korrelationsreglerna.
Uppgifterna som samlas in kommer från så olika källor som:
• Applikationer.
• Användararbetsstationer och terminaler (om företaget använder en EDR-enhet).
• Infrastruktur eller säkerhetsutrustning (relä, brandvägg, antivirus, etc.).
• Windows- och Linux-servrar, fysiska, virtualiserade, på plats eller i molnet.
• Anslutna objekt, industrisystem etc.
Implementeringen av detekteringsscenarier är en komplex process. Dessa är baserade på analys och korrelation av de insamlade uppgifterna.
För att bestämma rätt scenarier för ert företag, kommer infrastrukturregler och så kallade “affärsregler” att upprättas. Dessa regler kommer att utvecklas enligt fältets verkligheter och i synnerhet hotets tillstånd, permanent övervakning av loggarna är planerad.
SOC är utformat för att generera varningar när avvikelser detekteras. Dessa varningar kan dock vara falskt positiva. Det vill säga, de är inte riktiga hot. För att begränsa dessa falska varningar så mycket som möjligt krävs en exakt definition av hoten och handlingarna i ett scenario.
Ett dåligt konfigurerat SIEM slösar mycket av analytikernas tid. Det är bättre att spendera den tid som krävs för att bestämma konfigurationen för ert företag.
Det bör noteras att införlivandet av hotinformation – även känd som Threat Intelligence är fortfarande en effektiv lösning för särskilt utredningsfasen.
Utplaceringen av en SOC i ett företag går genom “RUN-fasen”: Detta är SOC:s uppförande. Det gäller att se till att varningar rapporteras och undersökningar utförs.
Som framgår ovan måste en SOC drivas kontinuerligt. Detta kräver mänskliga resurser. Ni behöver analytiker, operatörer och experter för att hantera och övervaka er SOC. Flera alternativ är tillgängliga för er i denna RUN -fas. Ni kan välja att bilda ett internt team eller anlita tjänster från ett externt team.
Det är även möjligt att vara värd för företagets SIEM inom företagets infrastruktur. Många företag väljer molnhotell. Organisationen av den personal som ansvarar för SOC måste vara föremål för en mer grundlig studie och respektera regelverket om dag/natt-rotationer.
Som en illustration, i Frankrike, år 2020, är genomsnittslönen för en junior SOC-analytiker cirka 38 000 euro per år. För att kunna arbeta 24/7 behöver ett företag minst sex analytiker per team, vilket motsvarar minst 230 000 euro varje år. Utöver dessa kostnader finns det kostnader för rekrytering, hantering och underhåll av kompetens. Det tillkommer även kostnader för förvärv, utveckling eller integration av programvara och infrastruktur vars underhåll i drifts- eller säkerhetsförhållanden måste garanteras. Det är även nödvändigt att överväga den tid som krävs för att konfigurera systemet för att vara operativt. Således har inte alla företag möjlighet att bygga sin egna SOC, därför vänder de sig till cybersäkerhetstjänstleverantörer.
Att automatisera några av de tråkiga uppgifterna i driften av SOC, skulle vara till stor hjälp för operatörer och analytiker. Många automationsverktyg, inklusive de för varningshantering, finns på marknaden. Andra är fortfarande under utveckling. Det är viktigt att välja dem enligt deras verkliga prestanda och mognad.
Implementeringen av automatisering kräver emellertid en förutsättning när det gäller effektivitet och mognad för de orkestrerade detekteringssystemen.
En välkonfigurerad SOC är er bästa allierade för att upptäcka hot. Regler för upptäckt och korrelation måste även regelbundet ifrågasättas och uppdateras av experter med erfarenhet som känner till affärssammanhang
Säkerhet är en uppsättning processer, inte en produkt.
För att upptäcka våra erbjudanden om stöd för byggandet av ett SOC eller för att dra nytta av Managed Detection and Response (MDR) -tjänster,