Förbättra ditt säkerhetsarbete med SOC (Security Operations Center)
Jag har under året arbetat med att sätta upp och koordinera SOC för större kunder. Jag tänkte dela med mig av mina tankar kring ämnet SOC då det blivit tydligt att det är många som undrar över hur man gör och vad det kommer innebära för den egna organisationen.
Förklaringar till förkortningar som används i inlägget finns i fotnoten.
SOC eller Security Operations Center är en del av säkerhetsarbetet som många har svårt att nå fram till. De fyra områden som jag tycker att man bör fokusera på är:
1. Interna resurser
2. Kostnad
3. Automation av åtgärder för att minimera skadan
4. Uppföljning av incidenter och arbete med att stoppa liknande incidenter i framtiden
Inte ett enda verktyg eller teknisk lösning?
Det finns flera sätt att hantera mina fyra fokusområden men man skall inte stirra sig blind på en tjänst eller ett verktyg. Innan man ens börjar välja vilka verktyg man skall använda så är det bra att förstå hur den egna organisationen skall hantera de incidenter som kommer ut ur en SOC.
Vad kan man förvänta sig av en fungerande och modern SOC?
Jag tycker att man kan förvänta sig en SOC som hanterar olika säkerhets-incidenter i er IT-miljö genom att analysera loggar, komma med förslag på lösning och i bästa fall isolera spridningen av en pågående attack. Gärna 24x7x365.
1. När SOC är klar med sin analys kommer någon hos er att behöva ta hand om informationen och göra något med den. Ser man att en server har börjat kryptera sitt innehåll så är det toppen om SOC har analyserat det och kanske till och med isolerat servern, men sen då? Någon hos er måste ta beslut om hur man skall hantera den smittade servern, informera er organisation om att servern inte är tillgänglig och komma med en plan för hur servern skall återställas igen. Interna resurser kommer att bli involverade när något alvarligt händer, det är mycket viktigt att man planerar för det och att man sätter upp rutiner, processer och arbetssätt som gör att man snabbt kan börja lösa de problemen som SOC har informerat om.
2. Kostnaden för en intern SOC är för stor för de flesta av Sveriges IT-organisationer att bära. Ett SIEM system för att hantera centraliserad loggning är i sig kostsamt, att sedan dessutom ha egen 24x7x365 personal som förstår och kan hantera incidenter är ännu dyrare och dessutom svårt att få tag på. Sen skall det läggas till en mängd stödsystem som klientskydd, MFA, SOAR, DNS skydd med mera. Kostnaden gör att man vill men kanske inte kan ha en helt egen SOC. Alla SOC-tjänster är inte lika och inte likvärdiga. Det finns kundspecifika lösningar och det finns mer generella SOC tjänster som då har en mycket lägre kostnad. Vi hanterar till exempel en SIEM less SOC tjänst som gör att man erhåller en mycket mer kostnadseffektiv SOC rent investeringsmässigt även om man då till exempel inte kan använda sitt SIEM system till andra uppgifter i miljön.
3. Att kunna automatisera händelser vid en attack är extremt viktigt. Vill man gå hela vägen så får man investera i ett SOAR verktyg (Security Orchestration, Automation and Response). Det i sig är både kostnadsdrivande och kompetenskrävande. Det finns flera SOAR system och jag kan tala mig varm i dagar om dem men det är till sist så att man skall titta på vad nyttan är med dem. Vill man helt enkelt att servrar eller maskiner som är utsatta för en attack skall kopplas bort från nätverket så kan man istället förlita sig på en agentbaserad SOC tjänst som har möjligheten att koppla bort nätverksaccess för den smittade maskinen.
4. När det som inte får hända har hänt, vad gör man då? Det är en fråga man bör hitta svaret på redan innan det har hänt. Många har inte förståelsen för vad ett krypterat affärssystem innebär, men efter att man fått det ärendet att hantera från SOC med en analys som säger att man bör återställa systemet till ett visst klockslag så händer saker snabbt. Har man dessutom en företagsledning som står och undrar om det snart är tillbaka så är det bra om man har ett utarbetat arbetssätt. Vem vänder man sig till i organisationen med information så att de tekniska resurserna kan arbeta på att lösa problemet? Vem kontaktar man när man behöver hjälp?
Ett sista tips är att ha en Security Advisor som kan hjälpa er i det strategiska arbete med att bygga en säkrare miljö. Återkommande möten där man går igenom de incidenter som SOC har hittat och där man kan gå igenom framtida säkerhetsarbeten och tillsammans hjälpas åt att bygga en säkrare miljö.
Till sist vill jag tacka för att ni tog er tiden att läsa och har ni frågor blir jag bara glad av att få prata SOC och säkerhet med er.
Vill du veta mer om Advitums tjänst för SOC finns det mer information klicka här
SOC – Security Operations Center https://en.wikipedia.org/wiki/Security_operations_center
SIEM – Security information and event management https://en.wikipedia.org/wiki/Security_information_and_event_management
MFA – Multi-factor authentication https://en.wikipedia.org/wiki/Multi-factor_authentication
SOAR – Security Orchestration, Automation and Response https://en.wikipedia.org/wiki/Computer_security_incident_management#Initial_incident_management_process
DNS filter – https://www.dnsfilter.com/features/dns-filtering