Fagfolk og ledere i og utenfor IT-bransjen har ofte ulike forestillinger og forventninger til hva en SOC er.

Fordi det eksisterer ulike forståelser av hva en sikkerhetsoperasjon er, finnes det flere leverandører som tilbyr «SOC». Dette innebærer imidlertidig litt forskjellige løsninger hos hver leverandør.  

Vi mennesker har lett for å godta den informasjonen vi får fra andre, enten fordi vi ikke har tilstrekkelig kunnskap eller tid til å gjøre vår egen vurdering av saken.

Hvis du tenker mer over dette lurer du kanskje på:

  • Hvilken plass har en SOC i min bedrift?
  • Hvilke behov er det en SOC egentlig tilfredsstiller?

I denne artikkelen skal jeg diskutere hva som menes med SOC og komme fram til en klarere definisjon.

SOC: Ulike definisjoner – ulike ideologier

Definisjoner og meninger kommer fra tjenesteytere og tjenestemottakere. I tillegg kommer meninger internt mellom fagfolk om hva som er best når det gjelder en sikkerhetsoperasjon og de underliggende funksjonene.

Problemet med forskjellige definisjoner har eksistert siden SOC ble introdusert som tjeneste.

Markedet er fullt av sikkerhetsleverandører som har hver sin måte å drive og reklamere for sikkerhetsoperasjoner på. Derfor kan det bli vanskelig å få grep om hva en «SOC» egentlig er.  

Det finnes også andre forkortelser for en sikkerhetsoperasjon. Et eksempel er SIC – Security Intelligence Center.

Målet med å bruke en annen forkortelse er å formidle en annen ideologi og annen prosess i praksis for operasjonen. Byggeklossene og mulige systemer blir satt sammen på forskjellige måter. Flere av dem kan ha en unik prosess for hvordan alt skal snakke sammen og utføre oppgaver.

Det er ikke alltid lett å formidle ulik betydning uten å bruke et annet begrep. På den måten blir ikke mottakeren bundet av eksisterende forklaringer og forventninger.

Når jeg møter nye mennesker for å snakke om sikkerhetsoperasjon og sikkerhetstjenester, prøver jeg alltid å få en felles forståelse av begreper.

Hva mener de egentlig når de bruker begreper som SOC og hendelseshåndtering?

Uten å etablere en felles forståelse havner man fort i en vanlig fallgruve: Antagelsen om at begreper vi begge bruker betyr akkurat det samme.

Følgende bilde illustrerer godt hvordan man kan kommunisere uten å forstå hverandre.

alt=SOC
Figur 1 – Communicating | https://xkcd.com/1860/

Er det mulig å definere SOC på en enkel måte?  

Du har sikkert opplevd noe lignende. Det er faktisk vanskelig å få andre til å bli enige med dine definisjoner.  

Den enkle forklaringen i reklame er de fleste er enige i. De fleste er enige i at sikkerhetsoperasjonen består av en kombinasjon av mennesker, teknologi og prosesser. Denne kombinasjonen skal gjøre det mulig å identifisere, varsle og reagere på en trussel før skaden oppstår.

En artikkel fra IEEE sier at til tross for SOCens popularitet, mangler det eksisterende akademisk arbeid om emnet og et generelt akseptert syn.

De sier derimot at fokuset ligger hovedsakelig på fragmenter i stedet for å se helhetlig på en sikkerhetsoperasjon.

En bemerkelsesverdig mangel ved akademisk forskning er fokuset på de menneskelige og teknologiske aspektene i en sikkerhetsoperasjon. Her neglisjerer man koblingen av disse to områdene ved spesifikke prosesser som spesielt gjelder ikke-tekniske prosesser, sier artikkelen.

Jeg har møtt dem som ser på sikkerhetsoperasjoner utelukkende som overvåkingssentraler. I en slik forståelse er den eneste oppgaven å informere om mulige angrep og deretter isolere systemer.  

Jeg har også møtt de som ser på SOCen som et enkelt organ som innbefatter alle sikkerhetsoperasjoner. Med et større helhetlig bilde har de en klar prioritering: Større fokus på de store truslene fremfor de små truslene.

Med et så stort gap mellom definisjoner er det vanskelig å plukke ut en forståelse av «SOC» alle er enige i.

Jeg skal prøve å lage et komplett bilde av hva en sikkerhetsoperasjon er. Det skal jeg gjøre ved å trekke fram tre forskjellige organisasjoner og deres beskrivelse. Microsoft, Palo Alto Networks, og IEEE blir brukt som utgangspunkt.

Microsoft Security

Slik lyder Microsofts beskrivelse av hva en SOC er:

En SOC er en sentralisert funksjon eller et team som er ansvarlig for å forbedre en organisasjons sikkerhetsstilling og forebygge, oppdage og reagere på trusler.

De forteller at oppgaven til sikkerhetsoperasjonen er å avdekke cyberangrep. Videre skal den identifisere og håndtere sårbarheter før angripere utnytter dem.

Microsoft beskriver at SOCen består av funksjoner som:

– Kartlegging av systemer og programmer
– Redusere angrepsflate
– Kontinuerlig overvåking
– Trusseletterretning
– Trussel-deteksjon
– Log-håndtering
– Hendelseshåndtering
– Gjenopprette normaltilstand
– Rotårsaksanalyse
– Sikkerhetsforbedring
– Overholdelse av regler

Microsoft forteller videre at sikkerhetsoperasjonen kan ha personer med roller som leder, arkitekter, analytikere, trusseljegere og etterforskere.

De presiserer at dette er typiske roller. Dette betyr at det kan finnes andre roller i sikkerhetsoperasjoner. Dette avhenger av størrelsen på sikkerhetsoperasjonen og de finansielle rammene som er satt.

Microsoft trekker fram disse systemene:
– Administrasjon av sikkerhetsinformasjon og -hendelser (SIEM)
– Automasjonsverktøy (SOAR)
– Varsling og beskyttelse av systemer (XDR)
– Brannmur
– Log-håndteringssystem
– Sårbarhetsidentifisering
– Analyse av bruker- og systemoppførsel

Palo Alto Networks

Palo Alto Networks beskriver sikkerhetsoperasjoner på følgende måte:

Sikkerhetsoperasjonssenter (SOC) er en sentralisert enhet som er ansvarlig for å overvåke og administrere organisasjonens sikkerhetstilstand.

De presiserer at sikkerhetsoperasjonen er ansvarlig for at organisasjonen driftes på en trygg og sikker måte hele tiden. Det betyr at sikkerhetsoperasjonen skal være operasjonell 24/7.

I likhet med Microsoft støtter Palo Alto Networks tanken med at sikkerhetsoperasjonen utfører spesifikke funksjoner.

Oppgaver de trekker frem er følgende:

  • Overvåke og administrere organisasjoners sikkerhetstilstand
  • Utvikle og iverksette sikkerhetsregler og prosesser
  • Bidra med sikkerhetsbevissthetstrening til ansatte
  • Reagere på sikkerhetshendelser
  • Analysere loggdata, nettverkstrafikk og andre kilder for å identifisere mulige trusler og sårbarheter
  • Utføre sårbarhetsrapportering
  • Rapportere om konkrete trusler; trusseletterretning
  • Utvikle og realisere sikkerhetsløsninger

Om arbeidsroller nevner de mange forskjellige oppgaver og fokusområder. De primære rollene Palo Alto Networks trekker frem er leder, analytiker og spesialist.

Nivåer

Palo Alto Networks forklarer at det er forskjellige fokusnivåer for analytiker.

Nivå 1: Jobber med å vurdere risikoen på alarmer, varslinger og hendelser som kommer inn. Analytikeren skal vurdere hvor kritisk det kan påvirke bedriften.

Nivå 2: Håndtere bekreftede hendelser vurdert på nivå 1. De skal foreta en grundigere undersøkelse av sikkerhetshendelsen. Man spør hvilke systemer og brukere er påvirket. Deretter skal de reagere på hendelsen ved å begrense skade.

Nivå 3: Analytikere jobber med de mest kritiske sikkerhetshendelsene. Når det ikke er noen kritisk hendelse, arbeider de med å justere sikkerhetssystemene. Da kan analytikerne enten begrense støy eller avdekke potensielle nye angrep og sårbarheter.

alt=SOC

Bildet ovenfor blir brukt av Palo Alto Networks for å trekke frem samarbeid mellom de forskjellige rollene.

Fagpersoner med forskjellig kompetanse må arbeide godt sammen for at en sikkerhetsoperasjon skal fungere godt. Da er effektiv kommunikasjon viktig.    

Det er to roller det er interessant å trekke fram i bildet over:

(1) En koordinator for sikkerhetshåndtering som fokuserer på hvordan hendelser blir håndtert

(2) En leder for sikkerhetsoperasjonen som er ansvarlig for kommunikasjonen internt og eksternt i operasjonen.

Når det kommer til sikkerhetssystemer så nevner Palo Alto Networks de samme systemene som Microsoft. De legger dog til behovet for et DLP-system (Data Loss Prevention) i sin beskrivelse.

IEEE – Institute of Electrical and Electronics Engineering

Den siste organisasjonen jeg vil trekke fram er IEEE.

IEEE er ikke en leverandør av sikkerhetstjenester, men en organisasjon og samling av mennesker. De beskriver teknologistandarder og produserer teknologiartikler.

De beskriver sikkerhetsoperasjoner på følgende måte:

SOC er en organisatorisk enhet som opererer i sentrum av en sikkerhetsoperasjon. Det er en kompleks struktur for å håndtere og forbedre organisasjonens helhetlige sikkerhetstilstand.

I en av artiklene skriver de at SOCen håndterer forskjellige ansvarsområder. De sier at det er avhengig av hvilken teknologi som er tilgjengelig og hvor moden organisasjonen er. Derfor vil oppbygning av sikkerhetsoperasjonen variere mellom hver leverandør og organisasjon.

De grunnleggende byggeklossene av en sikkerhetsoperasjon er mennesker, prosesser, teknologi, og rammeverkstyring.

Menneskene trenger ulike ferdigheter for å håndtere forskjellige oppgaver innad i operasjonen. Bildet under viser hvordan det er mulig å skille oppgaver som krever forskjellige ferdigheter og fokus.

alt=SOC

Modellen for strukturert samhandling hentet Palo Alto Networks fra IEEE.

Prosess

Når det kommer til prosess, har IEEE en annen artikkel som tar for seg grunnleggende og nødvendige steg som SOCen bør foreta seg for å oppdage og nøytralisere en trussel.

  1. Planlegging: Sette en plan for hvordan en trussel skal bli oppdaget og nøytralisert. Det må tenkes på hvordan data skal innhentes.
  2. Innhenting: Steget hvor relevant data blir sendt til et sentralt lagringssystem (SIEM).
  3. Bearbeiding: Å normalisere dataen så den lettere kan bli håndtert.
  4. Analyse: Analysen kan både være automatisk og manuell. Automatisk analyse innbefatter ofte redusering, aggregering og korrelering. Manuell analyse kan være spesifikke spørringer for å avdekke avvik fra normaltilstand og standard.
  5. Alarm: Når misbruk eller avvik oppdages, må det varsles om.
  6. Respondere: Varselet må tas stilling til ved å respondere på trusselen. Responsen starter med å identifisere om alarmen varsler om en ekte trussel (True-Positive).

IEEE-artiklene nevner ingen flere systemer som ikke allerede er blitt oppgitt. De fokuserer på at det er viktig med tilstrekkelige kilder for å skape et best mulig bilde av hendelser som oppstår i nettverket og på systemer. Følgende bilde visualiserer kategoriseringen av forskjellige datakilder.

alt=SOC

Oppsummering av SOC

En sikkerhetsoperasjon (SOC) er en kompleks struktur av mennesker, prosesser, teknologi og styring. Operasjonen utfører forskjellige oppgaver avhengig av tilgjengelig teknologi, modenhet og definisjon.

Det finnes mange byggeklosser for å lage en sikkerhetsoperasjon. Det er ikke alltid det forklares hvordan det skal settes sammen på en god måte.

Jeg nevner dette fordi jeg har sett dårlig funksjonelle sikkerhetsoperasjoner. De har ikke fokusert på hvordan informasjon blir håndtert av både menneske og maskin.

Informasjonsflyten blir da en sekundærprioritering. Det vil gå utover det helhetlige samarbeidet i sikkerhetsoperasjonen.

Analytikere har forskjellige nivåer.

Husk at nivå 3-analytikere ikke nødvendigvis har en bedre posisjon enn nivå 1. De har tvert imot forskjellige fokusområder og oppgaver som krever ulike ferdigheter og erfaring. Det er viktig å ikke undervurdere nivå 1: Oppgaven er essensiell for å ha en effektiv SOC!

Vær klar over at hvert enkelt menneske har sitt eget bilde på hva en SOC er og bør utføre. Man har forskjellige forventninger til det bildet man har lagd seg. Derfor er det forskjellige leverandører av sikkerhetstjenester.

Det er viktig å avklare forventningene til SOC-tjenesten, enten den leveres internt eller av en ekstern leverandør. Har du en klar forståelse av hva en SOC er?