Co je SOC (Security Operations Center)?
Zjistěte, jak týmy SOC (Security Operations Center) rychle detekují, určí prioritu a určí prioritu potenciálních kybernetických útoků podle dostupnosti zdrojů.
Co je SOC (Security Operations Center)?
SOC je centralizovaná funkce nebo tým zodpovědný za vylepšování stavu kybernetické bezpečnosti v organizaci a za prevenci, detekci a reakci na hrozby. Tým SOC, který může být místní nebo externí, monitoruje identity, koncové body, servery, databáze, síťové aplikace, weby a další systémy za účelem odhalení potenciálních kybernetických útoků v reálném čase. Pracuje také na proaktivním zabezpečení s využitím nejnovější analýzy hrozeb, aby měl aktuální informace o skupinách hrozeb a infrastruktuře a identifikoval ohrožení zabezpečení systému nebo procesu a zareagoval na něj dříve, než jej útočníci zneužijí. Většina týmu SOC funguje nepřetržitě sedm dní v týdnu a velké organizace nacházející se ve více zemích mohou také využívat služby globálního týmu GSOC, aby si udržely přehled o celosvětových bezpečnostních hrozbách a koordinovaly detekci a reakci mezi několika místními SOC.
Funkce SOC
Členové týmu SOC vykonávají následující funkce, které pomáhají předcházet útokům, reagovat na ně a zotavovat se z nich.
Inventář prostředků a nástrojů
K odstranění slepých míst a mezer v pokrytí potřebuje SOC přehled o prostředcích, které chrání, a přehled o nástrojích, které používá k ochraně organizace. To znamená sledování všech databází, cloudových služeb, identit, aplikací a koncových bodů v místních cloudech i více cloudech. Tým také sleduje všechna řešení zabezpečení používaná v organizaci, jako jsou brány firewall nebo antimalwarový, antiransomwarový a monitorovací software.
Omezení potenciální oblasti útoku
Klíčovou zodpovědností SOC je omezení potenciální oblasti útoku v organizaci. SOC to dělá tak, že udržuje inventář všech úloh a prostředků, aplikuje opravy zabezpečení na software a brány firewall, identifikuje chybné konfigurace a přidává nové prostředky, jakmile jsou online. Členové týmu jsou také zodpovědní za výzkum nově vznikajících hrozeb a analýzu ohrožení, což jim pomáhá udržet si náskok před nejnovějšími hrozbami.
Průběžné monitorování
Týmy SOC pomocí řešení analytiky zabezpečení jako jsou řešení SIEM (security information enterprise management), řešení SOAR pro orchestraci zabezpečení, automatizaci a reakci, nebo řešení pro rozšířenou detekci a reakci XDR neustále sledují celé prostředí – místní prostředí, cloudy, aplikace, sítě a zařízení – aby odhalily abnormality nebo podezřelé chování. Tyto nástroje shromažďují telemetrii, agregují data a v některých případech automatizují reakce na incidenty.
Analýza hrozeb
SOC také využívá analýzu dat, externí informační kanály a sestavy o produktových hrozbách k získání informací o chování, infrastruktuře a motivech útočníka. Tyto informace poskytují celkový přehled o tom, co se děje na internetu, a pomáhá týmům pochopit, jak skupiny fungují. Díky těmto informacím může SOC rychle odhalit hrozby a ochránit organizaci před nově vznikajícími riziky.
Detekce hrozeb
Týmy SOC používají data vygenerovaná řešeními SIEM a XDR k identifikaci hrozeb. Začíná to odfiltrováním falešně pozitivních výsledků od skutečných problémů. Potom určí prioritu hrozeb podle závažnosti a potenciálního dopadu na firmu.
Správa protokolů
SOC také zodpovídá za shromažďování, údržbu a analýzu dat protokolu produkovaných všemi koncovými body, operačními systémy, virtuálními počítači, místními aplikacemi a síťovými událostmi. Analýza pomáhá stanovit standardní hodnoty pro normální aktivitu a odhaluje anomálie, které mohou indikovat malware, ransomwarunebo viry.
Reakce na incidenty
Jakmile se zjistí kybernetický útok, SOC rychle podniká opatření k omezení škod na organizaci s co nejmenším narušením provozu. Mezi prováděné kroky patří vypnutí nebo izolace ovlivněných koncových bodů a aplikací, pozastavení ohrožených účtů, odebrání nakažených souborů a spuštění antivirového a antimalwarového softwaru.
Obnovení a náprava
Po útoku zodpovídá SOC za obnovení společnosti do původního stavu. Tým vymaže a znovu připojí disky, identity, e-maily a koncové body, restartuje aplikace, přejde na záložní systémy a obnoví data.
Prověřování původní příčiny
Aby k podobnému útoku nedošlo znovu, SOC důkladně prověří a identifikuje ohrožení zabezpečení, špatné bezpečnostní procesy a zjistí další informace o věcech, které k incidentu přispěly.
Vylepšení zabezpečení
SOC využije veškeré informace shromážděné během incidentu k řešení ohrožení zabezpečení, zlepšení procesů a zásad a aktualizaci roadmapy zabezpečení.
Správa dodržování předpisů
Důležitou součástí odpovědnosti SOC je zajistit, aby aplikace, nástroje zabezpečení a procesy dodržovaly předpisy týkající se ochrany osobních údajů, jako je obecné nařízení o ochraně osobních údajů (GDPR), zákon CCPA (California Consumer Privacy Act) a zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA). Týmy pravidelně auditují systémy, aby zajistily dodržování předpisů a zajistily, že budou po úniku dat upozorněny regulační orgány, orgány činné v trestním řízení a zákazníci.
Klíčové role v SOC
V závislosti na velikosti organizace zahrnuje typický tým SOC následující role:
Vedoucí pro reakce na incidenty
Tato role, která se obvykle objevuje jenom v opravdu velkých organizacích, zodpovídá za koordinaci detekce, analýzy, omezení a obnovení během bezpečnostního incidentu. Zodpovídá také za komunikaci s příslušnými zúčastněnými stranami.
Manažer SOC
Manažer SOC dohlíží na tým SOC a obvykle se zodpovídá hlavnímu vedoucímu pracovníkovi pověřenému zabezpečením informací (CISO). Mezi jeho povinnosti patří dohled nad pracovníky, provoz, školení nových zaměstnanců a správa financí.
Bezpečnostní technici
Bezpečnostní technici udržují systémy zabezpečení organizace v provozu. To zahrnuje návrh architektury zabezpečení a zkoumání, implementaci a údržbu řešení zabezpečení.
Bezpečnostní analytici
Bezpečnostní analytici jsou prvními pracovníky, kteří reagují na incident zabezpečení, identifikují hrozby, stanoví jejich prioritu a pak podniknou kroky k omezení škod. Během kybernetického útoku může být nutné izolovat hostitele, koncový bod nebo uživatele, který byl nakažen. V některých organizacích jsou bezpečnostní analytici rozděleni do úrovní na základě závažnosti hrozeb, za které zodpovídají.
Proaktivní vyhledávači hrozeb
V některých organizacích se nejzkušenější bezpečnostní analytici nazývají proaktivní vyhledávači hrozeb. Tito lidé identifikují pokročilé hrozby, které automatizované nástroje nezachytávají, a reagují na ně. Jedná se o proaktivní roli, která má organizaci pomoci prohloubit porozumění známým hrozbám a odhalit neznámé hrozby dříve, než dojde k útoku.
Forenzní analytici
Větší organizace si také mohou najmout forenzní analytiky, kteří po porušení zabezpečení shromažďují informace, aby určili jeho hlavní příčiny. Hledají ohrožení zabezpečení systému, porušení zásad zabezpečení a vzory kybernetických útoků, které by mohly být užitečné při předcházení podobnému ohrožení zabezpečení v budoucnu.
Typy SOC
Existuje několik různých způsobů, jak organizace vytvářejí týmy SOC. Některé se rozhodnou vytvořit vyhrazený tým SOC s pracovníky na plný úvazek. Tento typ SOC může být interní s fyzickým místním umístěním, nebo může být virtuální s pracovníky, kteří se vzdáleně koordinují pomocí digitálních nástrojů. Mnoho virtuálních SOC zahrnuje kombinaci smluvních zaměstnanců a zaměstnanců na plný úvazek. Outsourcovaný tým SOC, který se také může označovat jako spravované SOC nebo SOC jako služba, provozuje poskytovatel spravovaných služeb zabezpečení, který zodpovídá za prevenci, detekci, vyšetřování a reakci na hrozby. Je také možné využívat kombinaci interních zaměstnanců a poskytovatele spravovaných služeb zabezpečení. Tato verze se nazývá spoluspravovaný nebo hybridní tým SOC. Organizace tento přístup využívají k rozšíření možností svých vlastních zaměstnanců. Pokud například nemají prověřovatele hrozeb, může být jednodušší najmout si třetí stranu, než se je pokoušet zaměstnat interně.
Důležitost týmů SOC
Silný tým SOC pomáhá firmám, vládním institucím a dalším organizacím udržet si náskok před vyvíjejícím se kybernetickým světem. Tento úkol není snadný. Útočníci i obránci často vyvíjejí nové technologie a strategie a správa všech změn vyžaduje čas a pozornost. S využitím znalostí širšího prostředí kybernetického zabezpečení a díky pochopení interních slabých stránek a obchodních priorit pomáhá SOC organizaci vytvořit roadmapu zabezpečení, která bude v souladu s dlouhodobými potřebami firmy. Týmy SOC můžou také omezit dopad na firmu, když dojde k útoku. Vzhledem k tomu, že nepřetržitě monitorují síť a analyzují data z upozornění, je pravděpodobnější, že zachytí hrozby dříve než tým, který dělí svou pozornost mezi několik dalších priorit. Díky pravidelným školením a dobře zdokumentovaným procesům dokáže SOC rychle vyřešit aktuální incident i pod extrémním tlakem. To může být pro týmy, které se každý den nezaměřují na operace zabezpečení, obtížné.
Výhody SOC
Sjednocením osob, nástrojů a procesů používaných k ochraně organizace před hrozbami pomáhá tým SOC organizaci efektivněji chránit před útoky a ohrožení zabezpečení.
Silný stav zabezpečení
Zlepšování zabezpečení organizace je úkol, který nikdy nekončí. Vyžaduje průběžné monitorování, analýzu a plánování, aby bylo možné odhalit ohrožení zabezpečení a udržet si přehled o měnících se technologiích. Pokud mají lidé priority, které si navzájem konkurují, je snadné tuto práci ignorovat ve prospěch úkolů, které se zdají být naléhavějšími.
Centralizovaný tým SOC pomáhá zajistit nepřetržité vylepšování procesů a technologií, což snižuje riziko úspěšného útoku.
Dodržování předpisů o ochraně osobních údajů
Obory, státy, země a oblasti mají různé předpisy, které řídí shromažďování, ukládání a používání dat. Řada z nich vyžaduje, aby organizace na žádost zákazníka nahlásily únik dat a odstranily osobní údaje. Správné procesy a postupy jsou stejně důležité jako správné technologie. Členové SOC pomáhají organizacím dodržovat předpisy tím, že přebírají vlastnictví udržování technologií a datových procesů v aktuálním stavu.
Rychlá reakce na incidenty
Na tom, jak rychle dojde ke zjištění a odražení kybernetického útoku, opravdu záleží. Díky správným nástrojům, lidem a informacím můžete mnoho porušení zabezpečení zastavit dřív, než způsobí jakékoli škody. Nežádoucí osoby jsou ale vychytralé – skrývají se, kradou obrovské objemy dat a eskalují svá oprávnění předtím, než si kdokoli všimne. Bezpečnostní incident je také velmi stresující událost – zejména pro osoby, které nemají s reakcí na incidenty zkušenosti.
Díky sjednocené analýze hrozeb a dobře zdokumentovaným postupům můžou týmy SOC rychle detekovat útoky, reagovat na ně a provádět zotavení.
Snížení nákladů na porušení zabezpečení
Úspěšné porušení zabezpečení může být pro organizace velmi nákladné. Obnovení často vede k výraznému výpadku služeb a řada firem krátce po incidentu přijde o zákazníky nebo mají problémy se získáním nových účtů. Díky předstihu před útočníky a rychlým reakcím pomáhá tým SOC organizacím ušetřit čas a peníze při návratu do normálního provozu.
Osvědčené postupy pro týmy SOC
Protože mají týmy SOC velkou zodpovědnost, musí být efektivně uspořádány a spravovány, aby se dosáhlo kýžených výsledků. Organizace se silnými týmy SOC implementují následující osvědčené postupy:
Strategie sladěná s podnikáním
I ty nejlépe financované týmy SOC musí rozhodovat o tom, kam soustředit svůj čas a peníze. Organizace obvykle začínají posouzením rizik, aby identifikovaly nejrizikovější oblasti a největší příležitosti pro firmu. To pomáhá identifikovat, co je potřeba chránit. SOC také potřebuje porozumět prostředí, ve kterém se nacházejí prostředky. Mnoho firem má složitá prostředí s některými daty a aplikacemi umístěnými v místním prostředí a některými v různých cloudech. Strategie pomáhá určit, jestli musí být odborníci na zabezpečení k dispozici nepřetržitě každý den a jestli je lepší mít vlastní interní tým SOC, nebo si najmout profesionální službu.
Talentovaní a dobře proškolení zaměstnanci
Klíčem k efektivnímu SOC je vysoce zkušený personál, který se neustále zlepšuje. To začíná hledáním nejlepších talentů, což ale může být složité, protože na trhu odborníků na zabezpečení je obrovská konkurence. Mnoho organizací se snaží předejít mezerám v dovednostech tím, že hledá lidi s různými odbornými znalostmi, jako jsou monitorování systémů a informací, správa výstrah, detekce a analýza incidentů, proaktivní vyhledávání hrozeb, etické hackování, kybernetická forenzní analýza a zpětná analýza. Nasazují také technologii, která automatizuje úlohy, aby byly menší týmy efektivnější a zlepšil se výkon analytiků na juniorských pozicích. Investice do pravidelného školení pomáhají organizacím zachovat si klíčové zaměstnance, zaplnit mezery v dovednostech a pomáhat lidem v rozvoji kariéry.
Komplexní přehled
Vzhledem k tomu, že útok může začít na jednom koncovém bodě, je důležité, aby měly týmy SOC přehled o celém prostředí organizace, včetně všeho, co spravuje třetí strana.
Správné nástroje
Událostí zabezpečení se může vyskytnout tolik, že mohou být týmy snadno zahlceny. Efektivní SOC investují do dobrých nástrojů zabezpečení, které dobře spolupracují a využívají umělou inteligenci a automatizaci ke snížení významných rizik. Interoperabilita je klíčem k tomu, aby se předešlo mezerám v pokrytí.
Nástroje a technologie SOC
SIEM (Security Information and Event Management)
Jedním z nejdůležitějších nástrojů v SOC je cloudové řešení SIEM, které agreguje data z několika řešení zabezpečení a souborů protokolů. Díky analýze hrozeb a umělé inteligenci pomáhají tyto nástroje týmu SOC detekovat vyvíjející se hrozby, urychlit reakci na incidenty a udržet si náskok před útočníky.
Orchestrace, automatizace a reakce zabezpečení (SOAR)
SOAR automatizuje opakované a předvídatelné úlohy rozšiřování, reakce a nápravy, čímž uvolňuje čas a prostředky pro podrobnější prověřování a proaktivní vyhledávání.
Rozšířená detekce a reakce (XDR)
XDR je nástroj SaaS (software jako služba), který nabízí holistické a optimalizované zabezpečení díky integraci bezpečnostních produktů a dat do zjednodušených řešení. Organizace používají tato řešení k proaktivnímu a efektivnímu řešení vyvíjejících se hrozeb a složitých problémů se zabezpečením napříč multicloudovým hybridním prostředím. V porovnání se systémy, jako je EDR, rozšiřuje XDR rozsah zabezpečení a integruje ochranu pro širší škálu produktů, mezi něž patří koncové body, servery, cloudové aplikace, e-maily a další. Na tomto základě XDR kombinuje prevenci, detekci, prověřování a reakci, poskytuje viditelnost, analýzy, korelované výstrahy při incidentech a automatizované reakce s cílem zlepšit zabezpečení dat a bojovat proti hrozbám.
Brána firewall
Brána firewall monitoruje provoz do a ze sítě a povoluje nebo blokuje provoz na základě pravidel zabezpečení definovaných týmem SOC.
Správa protokolů
Řešení pro správu protokolů, které je často součástí SIEM, protokoluje všechna upozornění pocházející ze všech částí softwaru, hardwaru a koncového bodu spuštěného v organizaci. Tyto protokoly poskytují informace o síťové aktivitě.
Tyto nástroje kontrolují síť a pomáhají identifikovat slabá místa, která by mohl útočník zneužít.
Analýza chování uživatelů a entit
Analýza chování uživatelů a entit, která je integrovaná do mnoha moderních nástrojů zabezpečení, využívá umělou inteligenci k analýze dat shromážděných z různých zařízení, aby vytvořila standardní hodnoty normální aktivity pro každého uživatele a entitu. Když se událost odchýlí od standardních hodnot, označí se příznakem pro další analýzu.
SOC a SIEM
Bez SIEM by bylo pro tým SOC mimořádně obtížné dosáhnout svého cíle. Moderní SIEM nabízí:
- Agregace protokolů: SIEM shromažďuje data protokolů a koreluje upozornění, které analytici používají k detekci a proaktivnímu vyhledávání hrozeb.
- Kontext: Protože SIEM shromažďuje data napříč všemi technologiemi v organizaci, pomáhá kontext najít spojení mezi jednotlivými incidenty a identifikovat sofistikované útoky.
- Méně výstrah: Díky analýze a umělé inteligenci ke korelaci upozornění a identifikaci nejzávažnějších událostí dokáže SIEM snížit počet incidentů, které musí lidé zkontrolovat a analyzovat.
- Automatizované reakce: Integrovaná pravidla umožňují SIEM identifikovat pravděpodobné hrozby a blokovat je bez zásahu lidí.
Je také důležité si uvědomit, že samotný SIEM k ochraně organizace nestačí. Uživatelé musí integrovat SIEM s jinými systémy, definovat parametry pro detekci na základě pravidel a vyhodnocovat upozornění. Proto je definování strategie SOC a nábor správných zaměstnanců zásadní.
Řešení SOC
K dispozici je celá řada řešení, která pomáhají týmu SOC chránit organizaci. Nejlepší z nich spolupracují a poskytují kompletní pokrytí napříč místním prostředím a několika cloudy. Microsoft Security poskytuje komplexní řešení, která pomáhají týmům SOC eliminovat mezery v pokrytí a získat celistvý přehled o jejich prostředí. Microsoft Sentinel je cloudová sada řešení SIEM, která se integruje s řešeními rozšířené detekce a reakce v programu Microsoft Defender a poskytuje analytikům a proaktivním vyhledávačům hrozeb data, která potřebují k nalezení a zastavení kybernetických útoků.
Další informace o zabezpečení od Microsoftu
Microsoft SIEM a XDR
Získejte integrovanou ochranu pro všechna zařízení, identity, aplikace, e-mail, data a cloudové úlohy.
Microsoft Defender XDR
Zastavte útoky pomocí ochrany před internetovými útoky mezi doménami s využitím Microsoft XDR.
Microsoft Sentinel
Odhalujte sofistikované hrozby a rychle na ně reagujte pomocí snadno použitelného a výkonného řešení SIEM, které využívá cloud a umělou inteligenci.
Analýza hrozeb v programu Microsoft Defender
Pomozte identifikovat a eliminovat útočníky a jejich nástroje díky bezkonkurenčnímu pohledu na vyvíjející se hrozby.
Microsoft Defender Správa externí potenciální oblasti útoku
Získejte nepřetržitý přehled nad rámec brány firewall, který vám pomůže objevit nespravované prostředky a slabá místa v rámci vašeho multicloudového prostředí.
Časté otázky
-
Síťové provozní centrum (NOC) se zaměřuje na výkon a rychlost sítě. Nejenže reaguje na výpadky, ale také proaktivně monitoruje síť a identifikuje problémy, které by mohly zpomalit provoz. SOC rovněž monitoruje síť a další prostředí, ale hledá důkazy kybernetického útoku. Vzhledem k tomu, že incident zabezpečení může narušit výkon sítě, musí funkce NOC a SOC koordinovat aktivitu. Některé organizace mají SOC v rámci svého NOC, aby podpořily spolupráci.
-
Týmy SOC monitorují servery, zařízení, databáze, síťové aplikace, webové stránky a další systémy, aby odhalily potenciální hrozby v reálném čase. Proaktivně se věnují také zabezpečení, protože mají přehled o nejnovějších hrozbách a identifikují a řeší zranitelnosti systému nebo procesu dříve, než je útočník zneužije. Pokud dojde k úspěšnému útoku na organizaci, je tým SOC zodpovědný za odstranění hrozby a případnou obnovu systémů a záloh.
-
SOC se skládá z lidí, nástrojů a procesů, které pomáhají chránit organizaci před kybernetickými útoky. K dosažení svých cílů plní následující funkce: inventář všech prostředků a technologií, běžnou údržbu a připravenost, průběžné monitorování, detekci hrozeb, analýzu hrozeb, správu protokolů, reakci na incidenty, obnovení a nápravu, vyšetřování příčin, zdokonalování zabezpečení a správu dodržování předpisů.
-
Silné SOC pomáhá organizaci účinněji a efektivněji řídit zabezpečení tím, že sjednocuje obránce, nástroje pro detekci hrozeb a bezpečnostní procesy. Organizace, které mají SOC, jsou schopny zlepšit své procesy zabezpečení, rychleji reagovat na hrozby a lépe řídit dodržování předpisů než společnosti bez SOC.
-
SOC (Security Operations Center) jsou lidé, procesy a nástroje zodpovídající za ochranu organizace před kybernetickými útoky. SIEM (Security Information and Event Management neboli správa akcí a informací o zabezpečení) je jedním z mnoha nástrojů, které SOC používá k udržování přehledu a reagování na útoky. SIEM agreguje soubory protokolů a pomocí analýzy a automatizace odhaluje věrohodné hrozby členům SOC, kteří pak rozhodují, jak reagovat.
Sledujte Microsoft