Što je centar za sigurnosne operacije (SOC)?
Saznajte kako timovi u centrima za sigurnosne operacije brzo otkrivaju i prioritetiziraju potencijalne internetske napade i provode trijažu nad njima.
Što je SOC?
SOC je centralizirana funkcija ili tim zaduženi za poboljšanje stanja računalne sigurnosti tvrtke ili ustanove te sprječavanje, otkrivanje i odgovaranje na prijetnje. SOC tim, koji se može nalaziti na lokaciji ili izvan tvrtke, nadzire identitete, krajnje točke, poslužitelje, baze podataka, mrežne aplikacije, web-mjesta i druge sustave radi otkrivanja potencijalnih računalnih napada u stvarnom vremenu. Osim toga, provodi proaktivan, sigurnosni rad s pomoću najnovijeg obavještavanja o sigurnosnim prijetnjama kako biste bili u tijeku s grupama i infrastrukturom prijetnji te s prepoznavanjem i otklanjanjem slabih točaka sustava ili obrade prije nego ih napadači iskoriste. Većina SOC-ova radi stalno sedam dana tjedno, a velike tvrtke ili ustanove koje obuhvaćaju više država mogu ovisiti i o globalnom centru za sigurnosne operacije (GSOC) kako bi ostale u tijeku sa sigurnosnim prijetnjama diljem svijeta i koordinirale otkrivanje i odgovor između nekoliko lokalnih SOC-ova.
Funkcije SOC-a
Članovi SOC tima koriste sljedeće funkcije kako bi spriječili napade, odgovorili na njih i oporavili od njih.
Inventar resursa i alata
Da bi se uklonile ranjive točke i praznine u pokrivenosti, SOC treba uvid u resurse koje štiti i uvid u alate koje koristi za obranu tvrtke ili ustanove. To znači uzimati u obzir sve baze podataka, servise u oblaku, identitete, aplikacije i krajnje točke u lokalnom sustavu i više oblaka. Tim prati i sva sigurnosna rješenja koja se koriste u tvrtki ili ustanovi, kao što su vatrozidi, zaštita od zlonamjernog softvera, softver protiv ucjenjivačkog softvera i softver za nadzor.
Smanjivanje površine za napad
Ključna odgovornost SOC-a smanjuje površinu napada tvrtke ili ustanove. SOC to čini održavanjem zaliha svih radnih opterećenja i resursa, primjenom sigurnosnih zakrpa na softver i vatrozide, prepoznavanjem pogrešno konfiguriranih resursa i dodavanjem novih resursa prilikom mrežnog rada. Članovi tima odgovorni su i za istraživanje novih prijetnji i analizu izlaganja, što im pomaže da ostanu ispred najnovijih prijetnji.
Neprekidni nadzor
Korištenjem sigurnosnih analitičkih rješenja kao što su rješenje za upravljanje tvrtkom u sigurnosnim informacijama (SIEM), sigurnosna orkestracija, automatizacija i rješenje za odgovor (SOAR) ili rješenje proširenog otkrivanja i odgovora (XDR), SOC timovi nadziru cijelo okruženje – lokalno, oblake, aplikacije, mreže i uređaje – cijeli dan, svaki dan radi otkrivanja neuobičajenosti ili sumnjivog ponašanja. Ti alati prikupljaju telemetriju, prikupljaju podatke, a u nekim slučajevima automatiziraju odgovor na incidente.
Obavještavanje o sigurnosnim prijetnjama
SOC također koristi analitiku podataka, vanjske sažetke sadržaja i izvješća o prijetnjama proizvodu radi stjecanja uvida u ponašanje napadača, infrastrukturu i motive. Ovi podaci omogućavaju pregled onoga što se događa na internetu i pomaže timovima da razumiju kako funkcioniraju grupe. S tim informacijama SOC može brzo razotkriti prijetnje i ojačati tvrtku ili ustanovu od novih rizika.
Otkrivanje prijetnji
Timovi SOC-a koriste podatke koje generiraju rješenja SIEM i XDR za prepoznavanje prijetnji. To započinje filtriranjem lažnih pozitivnih rezultata iz stvarnih problema. Zatim prioritetiziraju prijetnje po ozbiljnosti i potencijalnom utjecaju na poslovanje.
Upravljanje zapisnicima
SOC je odgovoran i za prikupljanje, održavanje i analizu podataka zapisnika koje proizvodi svaka krajnja točka, operacijski sustav, virtualno računalo, lokalna aplikacija i mrežni događaj. Analiza pomaže u uspostavljanju osnovice za normalnu aktivnost i otkriva anomalije koje mogu upućivati na zlonamjerni softver, ucjenjivački softver ili viruse.
Odgovor na incident
Kada se identificira kibernetički napad, SOC brzo poduzima radnje radi ograničavanja štete tvrtki ili ustanovi uz što manje ometanja poslovanja. Koraci mogu obuhvaćati isključivanje ili izolaciju zahvaćenih krajnjih točaka i aplikacija, obustavljanje ugroženih računa, uklanjanje zaraženih datoteka i pokretanje antivirusnog softvera i zlonamjernog softvera.
Oporavak i popravak
Nakon napada SOC je odgovoran za vraćanje tvrtke u izvorno stanje. Tim će prebrisati i ponovo povezati diskove, identitete, e-poštu i krajnje točke, ponovo pokrenuti aplikacije, prijeći na sigurnosne kopije sustava i oporaviti podatke.
Istraga uzroka
Da bi spriječio ponovno događanje sličnog napada, SOC provodi temeljitu istragu radi prepoznavanja slabih točaka, loših sigurnosnih procesa i drugih saznanja koja su pridonijela incidentu.
Sužavanje sigurnosnih rezultata
SOC koristi bilo koje podatke prikupljene tijekom incidenta kako bi se otklonile slabe točke, poboljšali procesi i pravilnici te ažurirao sigurnosni plan razvoja.
Upravljanje usklađenošću
Ključan dio odgovornosti SOC-a jest osigurati da se aplikacije, sigurnosni alati i procesi pridržavaju propisa o zaštiti privatnosti, kao što su Opća uredba o zaštiti podataka (GDPR), California Consumer Privacy Act (CCPA) i Health Insurance Portability and Accountability Act (HIPPA). Timovi redovito revidiraju sustave kako bi osigurali usklađenost i bili sigurni da će regulatori, tijela za provedbu zakona i korisnici biti obaviješteni nakon kršenja podataka.
Ključne uloge u SOC-u
Ovisno o veličini tvrtke ili ustanove, uobičajeni SOC obuhvaća sljedeće uloge:
Voditelj odgovora na događaj
Ta je uloga, koja je obično prisutna samo u vrlo velikim tvrtkama ili ustanovama, odgovorna za koordinaciju otkrivanja, analize, zadržavanja i oporavka tijekom sigurnosnog incidenta. Upravlja i komunikacijom s odgovarajućim zainteresiranim stranama.
Upravitelj SOC-a
Upravitelj nadgleda SOC, on obično odgovara voditelju odjela za informacijsku sigurnost (CISO). Obveze uključuju osoblje koje nadzire, pokrenute operacije, obuku novih zaposlenika i upravljanje financijama.
Inženjeri za sigurnost
Inženjeri za sigurnost održavaju sigurnosne sustave tvrtke ili ustanove. To obuhvaća dizajniranje sigurnosne arhitekture te istraživanje, implementaciju i održavanje sigurnosnih rješenja.
Sigurnosni analitičari
Prvi koji odgovaraju na sigurnosni incident, sigurnosni analitičari, identificiraju prijetnje, prioritetiziraju ih, a zatim poduzimaju radnje kako bi se spriječila šteta. Tijekom računalnog napada možda će morati izdvojiti glavno računalo, krajnju točku ili korisnika koji je zaražen. U nekim tvrtkama ili ustanovama razine sigurnosnih analitičara temelje se na ozbiljnosti prijetnji koje su odgovorni rješavati.
Osobe za lociranje prijetnji
U nekim se tvrtkama ili ustanovama najiskusniji sigurnosni analitičari nazivaju Threat Hunters (Osobe za lociranje prijetnji). Te osobe prepoznaju napredne prijetnje koje automatizirani alati ne prepoznaju te reagiraju na njih. To je proaktivna uloga osmišljena da produbi razumijevanje poznatih prijetnji u tvrtki ili ustanovi i otkrije nepoznate prijetnje prije nego što se napad dogodi.
Forenzički analitičari
Veće tvrtke ili ustanove također mogu angažirati forenzičke analitičare koji prikupljaju podatke nakon kršenja radi određivanja uzroka. Traže slabe točke sustava, kršenja sigurnosnih pravilnika i uzorke računalnih napada koji mogu biti korisni u sprječavanju sličnog kompromitiranja u budućnosti.
Vrste SOCS-ova
Nekoliko je načina na koje tvrtke ili ustanove mogu postaviti svoje SOC-ove. Neki odaberu izgradnju namjenskog SOC-a uz osoblje na puno radno vrijeme. Ova vrsta SOC-a može se interno nalaziti na fizičkom lokalnom mjestu ili može biti virtualna ako se osoblje koordinira na daljinu s pomoću digitalnih alata. Mnogi virtualni SOC-ovi koriste kombinaciju ugovora i osoblja na puno vrijeme. SOC-om izvan tvrtke, koji se može nazvati i upravljani SOC ili centar za sigurnosne operacije kao servis, upravlja davatelj usluga sigurnosti koji preuzima odgovornost za sprječavanje, otkrivanje, istraživanje i odgovaranje na prijetnje. Moguće je koristiti i kombinaciju internog osoblja i upravljanog davatelja sigurnosnih usluga. Ta se verzija naziva kombiniranim ili hibridnim SOC-om. Tvrtke i ustanove taj pristup koriste kako bi povećale vlastito osoblje. Ako, primjerice, nemaju istražitelja za prijetnje, bilo bi lakše angažirati treću stranu umjesto da ih pokušate interno angažirati.
Važnost SOC timova
Jaki SOC pomaže tvrtkama, vladama i drugim organizacijama da ostanu ispred računalne prijetnje koja se razvija. To nije jednostavan zadatak. I napadači i obrambena zajednica često razvijaju nove tehnologije i strategije, a potrebno je vrijeme i fokus za upravljanje svim promjenama. Koristeći svoje znanje o širem okruženju računalne sigurnosti, kao i razumijevanje internih prioriteta i poslovnih prioriteta, SOC pomaže tvrtki ili ustanovi da razvije sigurnosni plan koji je usklađen s dugoročnim potrebama tvrtke. SOC-ovi mogu i ograničiti utjecaj na poslovanje kada dođe do napada. Budući da neprekidno nadziru mrežu i analiziraju podatke o upozorenjima, veća je vjerojatnost da će hvatati prijetnje prije tima koji je raspodijeljen na nekoliko drugih prioriteta. Uz redovitu obuku i dobro dokumentirane procese, SOC može brzo riješiti trenutačni incident – čak i pod ekstremnim stresom. To može biti teško timovima koji se ne fokusiraju na sigurnosne operacije cijeli dan, svaki dan.
Prednosti SOC-a
Objedinjujući osobe, alate i procese koji se koriste za zaštitu tvrtke ili ustanove od prijetnji, SOC tvrtki ili ustanovi omogućuje učinkovitiju i djelotvorniju zaštitu od napada i kršenja sigurnosti.
Snažno stanje sigurnosti
Poboljšanje sigurnosti tvrtke ili ustanove posao je koji nikad nije gotov. Potrebno je neprekidno pratiti, analizirati i planirati radi otkrivanja slabih točaka i praćenja tehnologije koja se mijenja. Kada korisnici imaju međusobno slične prioritete, ovaj se rad lako može zanemariti u korist zadataka koji se smatraju hitnijima.
Centralizirani SOC pomaže osigurati neprekidno poboljšavanje procesa i tehnologija, čime se smanjuje rizik od uspješnog napada.
Usklađenost s propisima o zaštiti privatnosti
Industrije, savezne države, države i regije imaju različite propise kojima se regulira prikupljanje, pohrana i korištenje podataka. Mnoge od tvrtki ili ustanova zahtijevaju prijavu kršenja podataka i brisanje osobnih podataka na zahtjev potrošača. Odgovarajuće procese i postupke važno je imati kao i odgovarajuću tehnologiju. Članovi SOC-a tvrtkama i ustanovama olakšavaju usklađivanje preuzimanjem vlasništva nad ažurnim tehnološkim i podatkovnim procesima.
Brz odgovor na događaj
Važno je koliko brzo se otkriva i prekida računalni napad. Uz odgovarajuće alate, osobe i podatke, mnoga kršenja prekinuta su prije bilo kakve štete. No loši su akteri također pametni oko prikrivanja i tako kradu ogromne količine podataka te eskaliraju svoje privilegije prije nego što itko primijeti. Sigurnosni incident također je vrlo stresan događaj – posebno za osobe koje nisu iskusne u odgovoru na incidente.
Koristeći objedinjeno obavještavanje o prijetnjama i dobro dokumentirane postupke, SOC timovi mogu brzo otkrivati napade, odgovarati na njih i oporavljati od napada.
Smanjeni troškovi kršenja
Uspješno kršenje može biti vrlo skupo za tvrtke ili ustanove. Oporavak često dovodi do značajnog kvara, a mnoge tvrtke gube klijente ili se muče s dovođenjem novih klijenata nedugo nakon incidenta. Tako što je korak ispred napadača i brzo odgovara, SOC tvrtkama i ustanovama omogućava uštedu vremena i novca kada se vrate na uobičajene operacije.
Najbolje prakse za SOC timove
S toliko odgovornosti, SOC se mora učinkovito organizirati i upravljati kako bi se postigli rezultati. Tvrtke i ustanove s jakim SOC-ovima implementiraju sljedeće najbolje prakse:
Strategija usklađena s poslovanjem
Čak i SOC koji je dobro financiran mora donositi odluke o tome gdje treba usredotočiti vrijeme i novac. Tvrtke ili ustanove obično započinju s procjenama rizika radi prepoznavanja najvećih područja rizika i najvećih prilika za poslovanje. Na taj način možete prepoznati što je potrebno zaštititi. SOC također mora razumjeti okruženje u kojem se nalaze resursi. Mnoge tvrtke imaju složena okruženja gdje su neki podaci i aplikacije u lokalnom okruženju, a neki u više oblaka. Strategijom se pridonosi određivanju moraju li sigurnosni stručnjaci biti dostupni svaki dan u bilo kojem trenutku i je li bolje imati SOC interno ili koristiti profesionalnu uslugu.
Talentirano, dobro obučeno osoblje
Ključ učinkovitog SOC-a iznimno je vješt zaposlenik koji se kontinuirano poboljšava. Počinje pronalaženjem najboljeg talenta, no to može biti zeznuto jer je tržište sigurnosnog osoblja iznimno konkurentno. Da bi se izbjegla praznina u vještinama, mnoge tvrtke ili ustanove pokušaju pronaći osobe s različitim stručnim znanjima, kao što su nadzor sustava i obavještavanje, upravljanje upozorenjima, otkrivanje incidenata i analiza, lociranje prijetnji, etičko hakiranje, računalna forenzika i obrnuti inženjering. Implementira i tehnologiju koja automatizira zadatke kako bi manji timovi mogli biti učinkovitiji i povećati izlaznu vrijednost analitičara. Ulaganje u redovitu obuku pomaže tvrtkama i ustanovama da zadrže ključne zaposlenike, ispune prazninu u vještinama i razviju karijere ljudi.
Sveobuhvatna vidljivost
Budući da napad može započeti s jednom krajnjom točkom, ključno je da SOC ima vidljivost u cijelom okruženju tvrtke ili ustanove, uključujući sve čime upravlja treća strana.
Pravi alati
Mnogo je sigurnosnih događaja pa timovi lako mogu biti pretrpani. Učinkoviti SOC-ovi ulažu u dobre sigurnosne alate koji dobro rade i koriste umjetnu inteligenciju i automatizaciju za podizanje značajnih rizika. Interoperabilnost je ključna za izbjegavanje praznina u pokrivenosti.
Alati i tehnologije rješenja SOC
Upravljanje sigurnosnim informacijama i događajima (SIEM, Security information and event management)
Jedan od najvažnijih alata u SOC-u je rješenje SIEM u oblaku koje prikuplja podatke iz više sigurnosnih rješenja i datoteka zapisnika. S pomoću obavještavanja o prijetnjama i umjetne inteligencije ti alati SOC-ovima omogućavaju otkrivanje prijetnji koje se razvijaju, ubrzani odgovor na incidente te da ostanu korak ispred napadača.
Sigurnosna orkestracija, automatizacija i odgovor (SOAR)
SOAR automatizira ponavljajuće i predvidljive zadatke obogaćivanja, odgovora i popravka, oslobađajući vrijeme i resurse za detaljniju istragu i lociranje prijetnji.
Prošireno otkrivanje i reagiranje (XDR)
XDR je alat za softver kao uslugu koji omogućuje cjelovitu, optimiziranu sigurnost integracijom sigurnosnih proizvoda i podataka u pojednostavnjena rješenja. Tvrtke i ustanove koriste ta rješenja kako bi proaktivno i učinkovito otklonile sve složenije prijetnje i složene sigurnosne izazove u hibridnom okruženju u više oblaka. Za razliku od sustava kao što su prepoznavanje krajnjih točaka i odgovor (EDR), XDR integracijom zaštite u veći raspon proizvoda širi opseg djelovanja sigurnosnih rješenja da bi obuhvatio krajnje točke, poslužitelje, aplikacije u oblaku, e-poštu i mnoge druge komponente tvrtke ili ustanove. Tako pozicioniran XDR objedinjuje sprječavanje, otkrivanje, istragu i odgovor radi pružanja vidljivosti, analitike, povezanih upozorenja na incidente i automatiziranih odgovora radi povećanja sigurnosti podataka te suzbijanja prijetnji.
Vatrozid
Vatrozid nadzire promet prema mreži i s te mreže te omogućava ili blokira promet na temelju sigurnosnih pravila koja definira SOC.
Upravljanje zapisnicima
Često uvršteno kao dio SIEM-a, rješenje za upravljanje zapisnikom evidentira sva upozorenja koja dolaze iz svih dijelova softvera, hardvera i krajnjih točaka pokrenutih u tvrtki ili ustanovi. Ti zapisnici pružaju informacije o mrežnim aktivnostima.
Ti alati pregledavaju mrežu kako bi prepoznali bilo kakve nedostatke koje napadač može iskoristiti.
Analitika ponašanja korisnika i entiteta
Ugrađena u mnoge moderne sigurnosne alate, analitika ponašanja korisnika i entiteta koristi umjetnu inteligenciju za analizu podataka prikupljenih s raznih uređaja radi uspostavljanja referentnog plana normalnih aktivnosti za svakog korisnika i entitet. Kada događaj odstupa od referentnog plana, označava se radi daljnje analize.
SOC i SIEM
Bez SIEM-a SOC-u bi bilo bi iznimno teško ostvariti svoju misiju. Moderne SIEM ponude:
- Agregacija zapisnika: SIEM prikuplja podatke zapisnika i povezuje upozorenja koja analitičari koriste za otkrivanje i lociranje prijetnji.
- Kontekst: Budući da SIEM prikuplja podatke u svim tehnologijama u tvrtki ili ustanovi, pomaže povezati točke između pojedinačnih incidenata radi prepoznavanja sofisticiranih napada.
- Manje upozorenja: Koristeći analitiku i umjetnu inteligenciju za povezivanje upozorenja i prepoznavanje najozbiljnijih događaja, SIEM smanjuje broj incidenata koje ljudi trebaju pregledati i analizirati.
- Automatizirani odgovor: Ugrađena pravila omogućavaju SIEM-ovima prepoznavanje vjerojatnih prijetnji i njihovo blokiranje bez interakcije osoba.
Važno je imati na umu i da sami SIEM nije dovoljan za zaštitu tvrtke ili ustanove. Ljudi su potrebni za integraciju SIEM-a s drugim sustavima, definiranje parametara za otkrivanje utemeljeno na pravilima i procjenu upozorenja. Zato je ključno definirati strategiju SOC-a i angažirati odgovarajuće osoblje.
SOC rješenja
Dostupan je širok raspon rješenja koja pomažu SOC-u da obrani tvrtku ili ustanovu. Najbolji surađuju kako bi omogućili potpunu pokrivenost na lokaciji i u više oblaka. Microsoft Security nudi sveobuhvatna rješenja koja SOC-ovima olakšavaju uklanjanje praznina u pokrivenosti te dobivanje prikaza okruženja od 360 stupnjeva. Microsoft Sentinel SIEM utemeljen je na oblaku koji se integrira s proširenim rješenjima za otkrivanje i odgovaranje programa Microsoft Defender kako bi analitičarima i prijetnjama omogućio pronalaženje i zaustavljanje računalnih napada.
Saznajte više o platformi Microsoft Security
Microsoft SIEM i XDR
Nabavite integriranu zaštitu od prijetnji za sve uređaje, identitete, aplikacije, e-poštu, podatke i radna opterećenja u oblaku.
Microsoft Defender XDR
Spriječite napade s pomoću međudomenske zaštite od prijetnji koju omogućava Microsoft XDR.
Microsoft Sentinel
Otkrijte sofisticirane prijetnje i odlučno odgovorite na njih putem jednostavnog i naprednog rješenja za upravljanje sigurnosnim informacijama i događajima (SIEM) utemeljenog na oblaku i umjetnoj inteligenciji.
Obavještavanje o prijetnjama za Microsoft Defender
Pridonesite prepoznavanju i uklanjanju napadača i njihovih alata uz pogled bez premca u rastući broj prijetnji.
Upravljanje vanjskim površinama za napad programa Microsoft Defender
Ostvarite trajnu vidljivost izvan vatrozida kako biste lakše otkrili neupravljane resurse i otkrili nedostatke u okruženju s više oblaka.
Najčešća pitanja
-
Centar za mrežne operacije (NOC) fokusira se na mrežne performanse i brzinu. Ne reagira samo na ispade, već i proaktivno nadzire mrežu radi prepoznavanja problema koji bi mogli usporiti promet. SOC također nadzire mrežu i druga okruženja, ali traži dokaze računalnih napada. Budući da sigurnosni incident može poremetiti mrežne performanse, NOC-ovi i SOC-ovi moraju koordinirati aktivnost. SOC nekih tvrtki ili ustanova nalazi se u NOC-u radi poticanja suradnje.
-
Timovi SOC-a nadziru poslužitelje, uređaje, baze podataka, mrežne aplikacije, web-mjesta i druge sustave radi otkrivanja potencijalnih prijetnji u stvarnom vremenu. Proaktivno obavljaju i sigurnosne poslove kontinuiranim informiranjem o najnovijim prijetnjama i prepoznavanjem i rješavanjem ranjivosti sustava ili procesa prije nego što ih napadač iskoristi. Ako tvrtka ili ustanova pretrpi uspješan napad, tim SOC-a odgovoran je za uklanjanje prijetnje i vraćanja sustava i sigurnosnih kopija po potrebi.
-
SOC se sastoji od osoba, alata i procesa koji štite tvrtku ili ustanovu od računalnih napada. Da bi se ostvarili ciljevi, SOC izvršava sljedeće zadatke: inventar svih resursa i tehnologije, rutinsko održavanje i pripremljenost, kontinuirani nadzor, otkrivanje prijetnji, obavještavanje o prijetnjama, upravljanje zapisnikom, odgovor na incidente, oporavak i popravak, istrage korijenskih uzroka, poboljšanje sigurnosti i upravljanje usklađenošću.
-
Snažan SOC tvrtki ili ustanovi omogućuje učinkovitije upravljanje sigurnošću objedinjavanjem stručnjaka za zaštitu, alate za otkrivanje prijetnji i sigurnosne procese. Tvrtke ili ustanove koje imaju SOC mogu poboljšati svoje sigurnosne procese, brže reagirati na prijetnje i bolje upravljati usklađenošću nego tvrtke bez SOC-a.
-
SOC su osobe, procesi i alati za zaštitu tvrtki ili ustanova od računalnih napada. SIEM je jedan od mnogih alata koje SOC koristi za održavanje vidljivosti i odgovor na napade. SIEM prikuplja datoteke zapisnika i koristi analitiku i automatizaciju za otkrivanje stvarnih prijetnji članovima SOC-a koji odlučuju kako reagirati.
Pratite Microsoft