Hva gjør en SOC-tjeneste?
NIS2-direktivet og de økende cyberangrepene gir interesse for økte tjenester som kan oppgradere og avverge cyberhot på et tidlig tidspunkt. Som for eksempel SOC-tjenester. Vi tilbyr en SOC-tjeneste i samarbeid med Netsecurity, som er en del av vår helhetsløsning for cybersikkerhet, for å gi bedriftsunderstøttelse i Norden avansert overvåking og beskyttelse mot cybertrusler. Her får du vite hva en slik tjeneste gjør.
Hva er SOC?
SOC står for Security Operation Center og er en sentralisert enhet som er spesialisert på å håndtere og overvåke en sikkerhetspost for organisasjoner. SOC-teamet bruker ulike teknologier og prosessorer for å overvåke, analysere og beskytte mot cyberhot og realtid. Disse ansvarsområdene for å identifisere, varsler og reagera på potensielle sikkerhetsbilder, sikkerhetshendelser og sårbare enheter i organisasjonens nettverk og system.
En SOC-tjeneste kan deles i to hovedfunksjoner:
Managed Detection & Response (MDR)
Med hjelp av ulike verktøy, som et eksempel på SIEM-system (sikkerhetsinformasjon og hendelsesadministrasjon), overvåker dedikerte sikkerhetseksperter kontinuerlig organisasjonens nettverkstrafikk, systemlogger og andre datakilder for å oppdatere avvikende mønster og potensielle sikkerhetsbilder så tidlig som mulig.
Incident Response Service (IRS)
Når du mistenker aktiviteten, gjør SOC-teamet en første analyse for å bedöma hvor alvorlig det er og deretter settes inn i de tiltak som kreves for å avverge, eller minimere, skader. Her er også arbeidet med å gjenopprette den angripende miljøet, samt at det er klart når alt er klart for å dra lærdom til framtida hendelser.
Overvåking med SOC i praksis
Johan Caripson, Commercial Business Manager i GlobalConnect, gir et konkret eksempel:
– Tenk deg at samme brukerkonto ville logget inn fra helt andre deler av verden i løpet av veldig kort tid. Det avviker sannsynligvis betydelig fra hvordan dine ansatte eller andre legitime brukere vanligvis oppfører seg. Dette kan fanges opp i overvåking som mistenkelig aktivitet, slik at en ekspert kan logge ut brukeren og se nærmere på økten. Ved å undersøke aktiviteter, for eksempel hvilke filer brukeren har fått tilgang til, kan eksperten vurdere risikoene og avgjøre hvilken ytterligere handling som er nødvendig.
Derfor er SOC mer relevant enn noen gang
Johan ser flere grunner til at cybersikkerhet generelt, og overvåking spesielt, står høyt på selskapenes agenda akkurat nå:
– En stor årsak er NIS2-direktivet, som gjør at flere virksomheter enn tidligere trenger å kunne demonstrere at de har evnen til raskt å oppdage og utbedre sikkerhetshendelser. Det er også andre samsvarsaspekter, som ISO-sertifiseringer og den nye versjonen av PCI DSS. Siden den gang har alle som følger med på nyhetsstrømmen lagt merke til at cyberangrep øker og at effektene for de berørte organisasjonene er svært alvorlige.
Slik vet du når det er på tide å ta steget
Det er flere faktorer som avgjør om akkurat din organisasjon vil ha nytte av å investere i en SOC-tjeneste, eller om du kan håndtere systemovervåking og logging med interne ressurser alene.