Vad är SOC och vilka fördelar finns med en SOC-tjänst?

NIS2-direktivet och de ökande cyberattackerna gör att intresset ökar för tjänster, som till exempel SOC-tjänster som kan upptäcka och avvärja cyberhot i ett tidigt skede. Här får du veta vad en SOC-tjänst är.

Vad är SOC?

SOC står för Security Operation Center och är en centraliserad enhet som är specialiserad på att hantera och övervaka en organisations säkerhetspost. SOC-teamet använder olika teknologier och processer för att övervaka, analysera och skydda mot cyberhot i realtid. På så vis ansvarar de för att identifiera, utvärdera och reagera på potentiella säkerhetshot, säkerhetsincidenter och sårbarheter i organisationens nätverk och system.

En SOC-tjänst kan delas in i två huvudsakliga funktioner

1. Managed Detection & Response (MDR)

Med hjälp av olika verktyg, som till exempel SIEM-system (Security Information & Event Management), övervakar dedikerade säkerhetsexperter kontinuerligt organisationens nätverkstrafik, systemloggar och andra datakällor för att upptäcka avvikande mönster och potentiella säkerhetshot så tidigt som möjligt.

2. Incident Response Service (IRS)

När misstänkt aktivitet fångas upp gör SOC-teamet en första analys för att bedöma hur allvarligt hotet är och därefter sätta in de åtgärder som krävs för att avvärja, eller minimera, skadan. De ser även till att återställa den angripna IT-miljön, samt att utreda ärendet när allt är klart för att dra lärdomar till framtida incidenter.

Övervakning med SOC i praktiken

Øystein Snekkerlien, säkerhetsstrateg på GlobalConnect, ger ett konkret exempel: – Tänk dig att samma användarkonto skulle logga in från helt olika delar av världen inom väldigt kort tid. Det avviker antagligen rejält från hur dina medarbetare eller andra legitima användare brukar bete sig. Det kan fångas upp i övervakningen som en misstänkt aktivitet, så att en expert kan logga ut användaren och titta närmare på sessionen. Genom att undersöka aktiviteter, som vilka filer användaren har varit inne på, kan experten bedöma riskerna och avgöra vilka ytterligare åtgärder som behövs.

Därför är SOC mer aktuellt än någonsin

Øystein ser flera skäl till att cybersäkerhet i allmänhet, och övervakning i synnerhet, ligger högt på företagens dagordning just nu: – En stor anledning är NIS2-direktivet, som innebär att fler verksamheter än tidigare behöver kunna visa att man har förmågan att snabbt upptäcka och åtgärda säkerhetsincidenter. Det finns också andra compliance-aspekter, som ISO-certifieringar och den nya versionen av PCI DSS. Sedan har ju alla som följer med i nyhetsflödet märkt att cyberattackerna ökar och att effekterna för de drabbade organisationerna är väldigt allvarliga.

Behöver din organisation en SOC-tjänst?

Det finns flera faktorer som avgör om just din organisation skulle tjäna på att investera i en SOC-tjänst, eller om ni kan hantera systemövervakning och loggning med enbart interna resurser. När du väl har koll på vad en SOC-tjänst gör blir den naturliga följdfrågan om din organisation bör ta in en eller inte. Så här säger Øystein Snekkerlien, om vilka faktorer som påverkar behovet: – Många företag har redan idag någon form av övervakning för att hålla koll på om olika system ligger uppe. Det är komplexiteten i din organisation och din it-miljö som avgör om det räcker, eller om du bör ta in en SOC-tjänst. Mycket av själva övervakningen kan automatiseras, men det krävs fortfarande mänsklig erfarenhet för att dra rätt slutsatser utifrån datan. Ju fler användare du har, och ju fler olika system som används i verksamheten, desto svårare blir det att tolka loggarna och sålla fram det relevanta ur bruset. Har du 100 anställda eller mer är det tufft att klara detta med enbart interna resurser, förklarar Øystein.

Vad är alternativet till att ta hjälp av en extern partner?

– Rent teoretiskt skulle det gå att bygga upp motsvarande funktion inhouse, men i praktiken är det inget jag skulle rekommendera, åtminstone inte för större företag. Och särskilt inte om verksamheten omfattas av NIS2. Kompetensen som krävs är svår att få tag på och mängden data att analysera blir snart övermäktig. Det är visserligen enklare att övervaka nätverken om alla medarbetare jobbar på kontoret varje dag. Men om ni stänger möjligheten att jobba hemifrån, kommer ni att vara en tillräckligt attraktiv arbetsgivare för att locka de bästa talangerna?