Insight

Hvad er de vigtigste funktioner i SOC og IR?

Et Security Operations Center (SOC) er en central funktion i en virksomheds cyberstrategi og den del af organisationen, som bl.a. er ansvarlig for Incident Response (IR).

Denne funktion optager i gennemsnit op mod 28% af virksomhedens it-sikkerhedsbudget og opererer med følgende mekanismer:

  • Overblik over alle aktiver (fx servere, klienter, software, netværksenheder og IoT).
  • Indsamling af logge til at opdage en sikkerhedsbrist eller til efterfølgende at undersøge en sikkerhedsbrist. Dette er meget vigtigt i forbindelse med undersøgelse og forhindring af datatab. Se vores webinar den 17. juni kl. 10-11.30 om dette emne. Indsamling af logge kan fx håndteres af LogRhythm eller ManageEngine.
  • Vedligehold og mitigering som fx sårbarhedshåndtering. Undersøgelse af eksterne trusler (ca. 70% af alle trusler) og tegn på interne trusler (ca. 30% af alle trusler).
  • Kontinuerlig overvågning af systemer.
  • Håndtering af alarmer. Se evt. ManageEngine AlarmsOne.
  • Analyse af grundlæggende årsager til sikkerhedsbrister. Dette kan bygges på fx MITRE ATT&CK eller Lockheed Martin Cyber Kill Chain.
  • Undersøgelse af overholdelse af standarder som fx GDPR og ISO27001.

Relativt få virksomheder driver et SOC (under halvdelen af alle adspurgte i de seneste undersøgelser, men ifølge flere andre kilder måske kun 30%). Dette kan skyldes manglende fokus på den vigtige funktion eller cybersikkerhed generelt, samt en generel opfattelse af, at et SOC er dyrt og måske unødvendigt. Men et SOC kan drives på flere forskellige måder, som kan være med til at påvirke omkostningen, fx:

  • Dedikeret eller internt SOC. Dette er normalt kun relevant for større virksomheder, da omkostningen til et SOC typisk er ca. 28% af hele it-sikkerhedsbudgettet og ofte i niveauet en halv million kroner eller mere. Se denne hvidbog med detaljerede eksempler.
  • Eksternt SOC eller virtuelt SOC. Kan ofte tilvælges som en del af en cyberforsikringspolice.
  • Globalt SOC.
  • Co-managed SOC.
  • SOC-as-a-Service.

En stor del af et SOC er erfaringen med relevante opgaver og kombinationen af viden og de rette medarbejdere. Det er vanskeligt for SMV at tiltrække og fastholde denne type af kompetence, og derfor vælger SMV typisk at outsource denne funktion (eller helt at undlade funktionen). De roller, der typisk findes i et SOC, er:

  • EN SOC-leder
  • En SOC-analysemedarbejder
  • En SOC-compliancemedarbejder
  • En SOC-medarbejder, der reagerer på trusler
  • En SOC-medarbejder, der jagter trusler.

Selvom det kan synes kostbart (flertallet af SOC’er har mellem 2 og 25 medarbejdere) og besværligt at have et SOC, så er der er række indlysende fordele:

  • Mindre/kortere nedetid. Med den rigtige SOC-funktion kan virksomheden reagere hurtigere på cybertrusler og mindske konsekvenserne.
  • Ved at bruge en SOC-as-a-Service/et eksternt SOC/et co-managed SOC opnås en økonomisk fordel, som alternativ til at drive sit eget dedikerede interne SOC.
  • En økonomisk fordel gennem sikkerhed over for kunderne for, at virksomheden håndterer sikkerhedsbrister på en forsvarlig og kontrolleret måde.

Eksempler på bedste praksis for opsætning af et SOC er beskrevet i NIST SP 800-61 R2 og mere kortfattet på AppKnox:

  • Forstå og vurder formålet med et SOC.
  • Opsætning af den rigtige infrastruktur for et SOC (systemer, værktøjer, man power).
  • Opsætning af det rigtige SOC-team (kompetencer og man power).
  • Opsætning af det rigtige SOC-system til at håndtere hændelser.

- SIEM-system

- GRC-system

- Sårbarhedshåndtering

- Trusselsfeeds

- WiFi IDS/IPS

- IDS/IPS

- NGFW

- Pentest-værktøjer.

  • Forsvar organisationen mod cyberangreb, og håndter dem, når de alligevel indtræffer.

Undersøgelser fra b.la. SANS lister følgende emner som værende nogle af de vigtigste årsager til, at SOC ikke er implementeret korrekt/funktionelt (flere svar er mulige):

  1. Mangel på kompetencer (58%)
  2. Mangler på koordinering og automatisering (50%)
  3. For mange værktøjer, som ikke er integrerede (43%)
  4. Manglende opbakning fra ledelsen (37%)
  5. Manglende proces eller scripts (”playbooks”) (37%).

Et SOC kan vurderes på modenhedsniveau, og omkostningerne til SOC afhænger af dette niveau. Det inddeles typisk i nedenstående kategorier, og du kan vurdere din virksomheds SOC efter vores Cybersnack, som udleveres gratis på vores webinar om SOC den 20. maj kl. 10-11.30. Eksemplet herunder er vurderet på basis af en amerikansk virksomhed på østkysten med 5.000 medarbejdere i 2018. Beløb er angivet danske kroner omregnet til nutidskursen for amerikanske dollars.

  • Niveau 0 – Intet SOC

- Ingen processer

- Reaktivt af natur.

  • Niveau 1 – Minimalt SOC (tager få måneder at bygge)

- Ingen formel IR-proces

- Compliance-drevet

- Værktøjer: 1,6 mio., medarbejdere: 7,3 mio. og engangsudgifter: 0,6 mio.

  • Niveau 2 – Basalt SOC (tager mange måneder at bygge)

- Reaktive og manuelle arbejdsgange

- Basal overvågning og modsvar 

- Værktøjer: 2,2 mio., medarbejdere: 12,6 mio. og engangsudgifter: 1,6 mio.

  • Niveau 3 – Formelt SOC (tager kvartaler at bygge)

- Målrettet automatisering af undersøgelses- og mitigeringsarbejdsgang

- Konsistent brug af bedste praksis vedr. SOC

- Værktøjer: 6,8 mio., medarbejdere: 23,6 mio., og engangsudgifter: 2,5 mio.

  • Niveau 4 – Avanceret SOC (tager år at bygge)

- Avanceret og dokumenteret modsvar

- Automatiseret trusselsvurdering, undersøgelse og mitigering

- Hele processen fra opdagelse til mitigering er automatiseret

- Værktøjer: 11,8 mio., medarbejdere: 27,0 mio. og engangsudgifter: 4,9 mio.

Inspiration hentet fra Varoris, LogRhythm og eXpel.

Vil du høre mere om, hvordan Deloitte kan hjælpe dig med SOC-funktionen, så er du velkommen til at kontakte Christian Schmidt på mail eller telefon: +45 3093 6009. Du kan også se mere på vores hjemmeside.

Tilmed dig vores webinar om SOC og IR den 20. maj 2021 kl. 10-11.30 her.

Fandt du dette nyttigt?
$(document.head).append(''); $(document.head).append('