Advitums erfarenhet av SOC och MDR

Vi på Advitum har lång erfarenhet av att hjälpa våra kunder kring Cybersecurity och olika system och verktyg för att undvika att råka ut för Cyberattacker. I samband med en allt större hotbild (även mot mindre företag och organisationer) blir det allt viktigare att arbeta strukturerat med sitt IT-säkerhetsarbete och ett stort steg mot högre IT-säkerhet är att implementera en så kallad SOC (Security Operations Center). 

För att undvika missförstånd kring terminologi så förekommer det också ett annat närbesläktat begrepp, nämligen MDR (Managed Detect and Response) vilket ofta används synonymt med SOC. 

(Längst ned i denna artikel finns också en enklare ordlista kring relevanta ord) 

Skillnaden mellan SOC och MDR på ett övergripande plan är att en SOC primärt hanterar drift och övervakning av säkerhetslösningar medan MDR omfattar en SOC men även processer kring att även hantera och åtgärda hot och incidenter i realtid.  

En SOC är en centraliserad funktion eller ett team som är ansvarigt för att förbättra organisationens cybersäkerhet och förhindra, upptäcka och eskalera hot och incidenter.  

SOC-teamet, som kan vara på plats eller outsourcat, övervakar identiteter, slutpunkter, servrar, databaser, nätverksapplikationer, webbplatser och andra system för att upptäcka potentiella cyberattacker i realtid.  

Normalt sett ingår följande uppgifter i en SOCs vardag:

Verktygsinventering

En viktig uppgift för en SOC-funktion är att kontinuerligt utvärdera de olika verktyg och lösningar som används för att identifiera och hantera olika hot. 

Minska attackytan

Den kanske viktigaste uppgiften för en SOC är att minska attackytan genom att upprätthålla processer för att tillämpa säkerhetspatchar, identifiera felkonfigurationer och kontinuerlig omvärldsbevakning för att så tidigt som möjligt hantera nya typer av hot och attackmetoder. 

Kontinuerlig övervakning

Denna uppgifts syfte är att identifiera konkreta hot och skapa incidenter som kan eskaleras till rätt team, exempelvis ett IRT (Incident Response Teams), vars uppgift är att minimera konsekvenserna av en incident. 

När det gäller verktyg för att hantera övervakningen och insamling av data så finns det en del olika alternativ där en del är baserade på en så kallad SIEM (Security Information and Event Management) lösning, ofta tillsammans med en SOAR (Security Orchestration, Automation and Response). 

Dessa verktyg samlar in telemetri, aggregerar data och automatiserar i vissa fall incidentrespons. 

Alternativet till att själv administrera och underhålla system för SIEM och SOAR är att istället investera i en managerad SOC där man outsourcar funktionen och ”bara” får relevanta larm från SOC-tjänsten och slipper hantera all data och larm själv. 

Advitums erfarenhet 

Vår samlade bild är att man ofta underskattar tid och resurs-åtgången för att som organisation själv hantera en SOC med alla olika delar som ingår i form av SIEM/SOAR verktyg som ska underhållas och utvecklas, 24×7 bemanning samt även att kunna behålla kompetent personal inom IT-säkerhet.  

Marknaden för tjänster kring managerad SOC/MDR ökar kraftigt och i många fall har våra kunder landat i att den effektivaste lösningen är att helt enkelt investera i en tjänst som tar hand om SOC-funktionen.  

Det man dock ska vara observant kring är vilket stöd SOC-leverantören ger kring att kontinuerligt arbeta tillsammans med er organisation kring att öka säkerheten och förbättra samarbetet hela tiden.  

Vill du läsa mer om vår managerade tjänst för SOC så finns det på följande länk 

Vill du veta mer om våra erfarenheter kring SOC/MDR är du varmt välkommen att delta på vårt Advitum Live den 15 februari.

Ordlista

SOC (Security Operations Center) är en grupp av IT-säkerhetsproffs som övervakar och hanterar en organisations IT-infrastruktur dygnet runt för att upptäcka och svara på cybersäkerhetshändelser i realtid. SOC-teamet ansvarar också för att välja, driva och underhålla organisationens cybersäkerhetstekniker och analysera kontinuerligt hotdata för att förbättra organisationens säkerhetsläge. 

 
MDR (Managed Detect and Response) är en cybersäkerhetstjänst som kombinerar teknologi och mänsklig expertis för att utföra hotjakt, övervakning och respons. Huvudfördelen med MDR är att det hjälper till att snabbt identifiera och begränsa hotens påverkan utan behov av ytterligare personal. 

 
XDR (Extended Detect and Response) är en cybersäkerhetsteknik som samlar hotdata från flera säkerhetsverktyg i en organisation och integrerar dem i ett centraliserat säkerhetssystem. XDR-plattformen kan samla in säkerhetstelemetri från slutpunkter, molnarbetsbelastningar, nätverk, e-post och mer för att underlätta snabbare undersökning, hotjakt och respons. 

 
EDR (Endpoint Detection and Response) är en cybersäkerhetsteknik som kontinuerligt övervakar slutpunktsenheter för att upptäcka och svara på cyberhot som ransomware och malware. EDR-lösningar registrerar och lagrar beteenden på slutpunktsnivå, använder olika dataanalystekniker för att upptäcka misstänkt systembeteende, ger kontextuell information, blockerar skadlig aktivitet och ger förslag på åtgärder för att återställa påverkade system 12. EDR-lösningar erbjuder avancerade hotdetektions-, undersöknings- och responsfunktioner, inklusive sökning efter incidentdata och undersökning, validering av misstänkt aktivitet, hotjakt och detektion och begränsning av skadlig aktivitet. 

 
IRT (Incident Response Team) är en grupp av personer som ansvarar för att hantera och lösa IT-relaterade incidenter, inklusive cyberattacker, systemfel och dataintrång. IRT-teamet är ansvarigt för att utveckla och implementera en formell incidenthanteringsplan som specificerar hur olika typer av cyberattacker ska identifieras, begränsas och åtgärdas. En effektiv incidenthanteringsplan kan hjälpa organisationer att upptäcka och begränsa cyberhot, återställa påverkade system snabbare och minska förlorade intäkter, regleringsböter och andra kostnader som är förknippade med dessa hot 1. 

Tillbaka