Čo je centrum operácií zabezpečenia (SOC)?

Členovia tímu SOC plnia nasledujúce funkcie, ktoré pomáhajú predchádzať útokom, reagovať na ne a zotavovať sa z nich.

Na odstránenie slepých miest a medzier v pokrytí potrebuje SOC prehľad o prostriedkoch, ktoré chráni, a prehľad o nástrojoch, ktoré používa na ochranu organizácie. To znamená prehľad všetkých databáz, cloudových služieb, identít, aplikácií a koncových bodov v lokálnom prostredí a vo viacerých cloudoch. Tím tiež sleduje všetky bezpečnostné riešenia používané v organizácii, ako sú firewally, anti-malware, anti-ransomware a monitorovací softvér.

Kľúčovou zodpovednosťou SOC je zníženie počtu možných miest útokov u organizácie. SOC to robí spravovaním súpisu všetkých vyťažení a položiek, použitím opráv zabezpečenia na softvér a brány firewall, identifikáciou nesprávnych konfigurácií a pridaním nových položiek, keď budú online. Členovia tímu sú tiež zodpovední za skúmanie nových hrozieb a analýzu expozície, čo im pomáha udržať si prehľad o najnovších hrozbách.

Pomocou riešení analýzy zabezpečenia, ako je napríklad riešenie Security information enterprise management (SIEM), riešenie pre orchestráciu, automatizáciu a reakciu zabezpečenia (SOAR), alebo rozšírenej detekcie a reakcie (XDR), tímy SOC monitorujú celé prostredie— lokálne, cloudy, aplikácie, siete, a zariadenia — každý deň, aby sa odkryli chyby alebo podozrivé správanie. Tieto nástroje zhromažďujú telemetriu, agregujú údaje a v niektorých prípadoch automatizujú odozvu na incidenty.

SOC tiež používa analýzu údajov, externé informačné kanály a zostavy hrozieb produktov na získanie prehľadu o správaní útočníka, infraštruktúre a hrozbách. Tieto informácie poskytujú prehľad o tom, čo sa deje na internete, a pomáha tímom pochopiť, ako skupiny fungujú. Vďaka týmto informáciám môže SOC rýchlo odhaliť hrozby a posilniť organizáciu pred vznikajúcimi rizikami.

Tímy SOC používajú údaje generované riešeniami SIEM a XDR na identifikáciu hrozieb. Začína sa to odfiltrovaním falošne pozitívnych údajov od skutočných problémov. Potom prioritizujú hrozby podľa závažnosti a potenciálneho vplyvu na podnik.

SOC je tiež zodpovedný za zhromažďovanie, udržiavanie a analýzu údajov denníka, ktoré vytvára každý koncový bod, operačný systém, virtuálny počítač, lokálna aplikácia a sieťová udalosť. Analýza pomáha vytvoriť pôvodný plán normálnej aktivity a odhalí anomálie, ktoré môžu naznačovať ,malvér, ransomwarealebo vírusy.

Po identifikovaní kybernetického útoku SOC rýchlo podnikne kroky na obmedzenie poškodenia organizácie s čo najmenším možným prerušením podnikania. Kroky môžu zahŕňať vypnutie alebo izolovanie ovplyvnených koncových bodov a aplikácií, pozastavenie ohrozených kont, odstránenie infikovaných súborov a spustenie antivírusového a antimalvérového softvéru.

V prípade útoku je SOC zodpovedný za obnovenie spoločnosti do pôvodného stavu. Tím vymaže a znovu pripojí disky, identity, e-mail a koncové body, reštartuje aplikácie, prepne na záložné systémy a obnoví údaje.

Aby sa podobný útok neopakoval, SOC vykoná dôkladné vyšetrovanie s cieľom identifikovať zraniteľnosti, nedostatočné procesy zabezpečenia a ďalšie poznatky, ktoré prispeli k incidentu.

SOC využíva všetky informácie získané počas incidentu na riešenie zraniteľností, zlepšenie procesov a politík a aktualizáciu plánu zabezpečenia.

Dôležitou súčasťou zodpovednosti SOC je zabezpečiť, aby aplikácie, nástroje zabezpečenia a procesy boli v súlade s nariadeniami o ochrane osobných údajov, ako je napríklad Globálne nariadenie o ochrane údajov (GDPR), Zákon CCPA (California Consumer Privacy Act) a Zákon HIPPA (Health Insurance Portability and Accountability Act). Tímy pravidelne kontrolujú systémy, aby sa zaistilo dodržiavanie súladu a zaistilo sa, že regulačné orgány, orgány činný v trestnom konaní a zákazníci budú upozornení po úniku údajov.