Et Security Operations Center (SOC) er en central funktion i en virksomheds cyberstrategi og den del af organisationen, som bl.a. er ansvarlig for Incident Response (IR).
Denne funktion optager i gennemsnit op mod 28% af virksomhedens it-sikkerhedsbudget og opererer med følgende mekanismer:
Relativt få virksomheder driver et SOC (under halvdelen af alle adspurgte i de seneste undersøgelser, men ifølge flere andre kilder måske kun 30%). Dette kan skyldes manglende fokus på den vigtige funktion eller cybersikkerhed generelt, samt en generel opfattelse af, at et SOC er dyrt og måske unødvendigt. Men et SOC kan drives på flere forskellige måder, som kan være med til at påvirke omkostningen, fx:
En stor del af et SOC er erfaringen med relevante opgaver og kombinationen af viden og de rette medarbejdere. Det er vanskeligt for SMV at tiltrække og fastholde denne type af kompetence, og derfor vælger SMV typisk at outsource denne funktion (eller helt at undlade funktionen). De roller, der typisk findes i et SOC, er:
Selvom det kan synes kostbart (flertallet af SOC’er har mellem 2 og 25 medarbejdere) og besværligt at have et SOC, så er der er række indlysende fordele:
Eksempler på bedste praksis for opsætning af et SOC er beskrevet i NIST SP 800-61 R2 og mere kortfattet på AppKnox:
- SIEM-system
- GRC-system
- Sårbarhedshåndtering
- Trusselsfeeds
- WiFi IDS/IPS
- IDS/IPS
- NGFW
- Pentest-værktøjer.
Undersøgelser fra b.la. SANS lister følgende emner som værende nogle af de vigtigste årsager til, at SOC ikke er implementeret korrekt/funktionelt (flere svar er mulige):
Et SOC kan vurderes på modenhedsniveau, og omkostningerne til SOC afhænger af dette niveau. Det inddeles typisk i nedenstående kategorier, og du kan vurdere din virksomheds SOC efter vores Cybersnack, som udleveres gratis på vores webinar om SOC den 20. maj kl. 10-11.30. Eksemplet herunder er vurderet på basis af en amerikansk virksomhed på østkysten med 5.000 medarbejdere i 2018. Beløb er angivet danske kroner omregnet til nutidskursen for amerikanske dollars.
- Ingen processer
- Reaktivt af natur.
- Ingen formel IR-proces
- Compliance-drevet
- Værktøjer: 1,6 mio., medarbejdere: 7,3 mio. og engangsudgifter: 0,6 mio.
- Reaktive og manuelle arbejdsgange
- Basal overvågning og modsvar
- Værktøjer: 2,2 mio., medarbejdere: 12,6 mio. og engangsudgifter: 1,6 mio.
- Målrettet automatisering af undersøgelses- og mitigeringsarbejdsgang
- Konsistent brug af bedste praksis vedr. SOC
- Værktøjer: 6,8 mio., medarbejdere: 23,6 mio., og engangsudgifter: 2,5 mio.
- Avanceret og dokumenteret modsvar
- Automatiseret trusselsvurdering, undersøgelse og mitigering
- Hele processen fra opdagelse til mitigering er automatiseret
- Værktøjer: 11,8 mio., medarbejdere: 27,0 mio. og engangsudgifter: 4,9 mio.
Inspiration hentet fra Varoris, LogRhythm og eXpel.
Vil du høre mere om, hvordan Deloitte kan hjælpe dig med SOC-funktionen, så er du velkommen til at kontakte Christian Schmidt på mail eller telefon: +45 3093 6009. Du kan også se mere på vores hjemmeside.