Sikkerhetsoperasjonssenter

Et sikkerhetsoperasjonssenter ( SOC ) er et senter hvorfra det leveres tjenester for sikkerheten til selskapets informasjonssystemer (intern SOC) eller til eksterne kunder; i sistnevnte tilfelle brukes SOC for å tilby Managed Security Services (MSS), og selskapet som leverer dem er definert som Managed Security Service Provider (MSSP). En SOC kan også tilby Incident Response -tjenester , i dette tilfellet utfører den funksjonen til CSIRT ( Computer Security Incident Response Team ), selv om de to funksjonene er logisk og funksjonelt adskilte; noen store selskaper har en egen SOC og CERT.

En SOC tilbyr tre typer tjenester:

• Administrasjonstjenester: alle administrasjonsaktiviteter til sikkerhetsfunksjonene knyttet til IT-infrastrukturen (nettverk, systemer og applikasjoner) er sentralisert av SOC.
• Overvåkingstjenester: IT- og sikkerhetsinfrastrukturen overvåkes i sanntid for raskt å identifisere forsøk på inntrenging, angrep eller misbruk av systemene.
• Proaktive tjenester: Dette er tjenester rettet mot å forbedre beskyttelsesnivået til organisasjonen (sikkerhetsvurderinger, sårbarhetsvurderinger, tidlig varsling, sikkerhetsbevissthet).

Mulige tjenester som tilbys av SOC

• Proaktiv analyse og styring av IT-sikkerhetssystemer og teknologier
• Styring av sikkerhetsenheter
• Rapportering
• Sikkerhetsadvarsel
• DDos-reduksjon
• Sikkerhetsvurdering
• Teknisk assistanse

Generelt er SOC en tjeneste som på et mer generelt nivå kobler seg til styrings- og styringsprosessene til bedriftens IT-infrastruktur.

Proaktiv analyse og styring av informasjonssikkerhetssystemer og teknologier

Tjenesten har som mål 24-timers proaktiv analyse av IT-sikkerhetssystemer og teknologier ( IDS , IPS , brannmur , etc.). Anti-inntrengningssystemene tillater sentralisert styring av IT-sikkerhetspraksis, og tillater identifisering av potensielle IT-angrep fra internett og intranett. På denne måten kan potensielle angrep analyseres og korreleres av kvalifisert personell; for eksempel trenger sikkerhetsanalytikere bare å kjenne funksjonene til overvåkingsverktøyene, i stedet for kompleksiteten til hver sikkerhetsenhet. Dette tillater en sterk spesialisering av hele sikkerhetssenteret. Skalerbarheten til verktøyene som brukes av SOC er en annen faktor av fundamental betydning, eller det må for eksempel ikke innebære en stor operasjonell innvirkning å legge til en ny IDS til de eksisterende.

Sikkerhetsenhetsbehandling

Tjenesten Security Device Management (SDM) er utviklet rundt to hovedprosesser:

• Feilhåndtering
• Konfigurasjonsstyring

Feilhåndtering - Feilhåndtering

Hovedmålet med Fault Management er å garantere kontinuerlig og optimal funksjon av Kundens sikkerhetsinfrastruktur både fra et systemisk synspunkt og fra et sikkerhetssynspunkt. Aktiviteten inkluderer:

• Konstant overvåking av Kundens sikkerhetsutstyr gjennom SOC.
• Feildeteksjon og signalering (problem med billettåpning).
• Identifikasjon av de respektive utbedringstiltakene.
• Gjennomføring av de respektive utbedringstiltakene.
• Gjenoppretting av konfigurasjonene i tilfelle tap av dem etter en feil.

Konfigurasjonsadministrasjon - Konfigurasjonsadministrasjon

Hovedmålet med Configuration Management er å sikre konstant justering av brannmurreglene til kundens behov og gjelder alle enhetene som administreres av SOC. Konfigurasjonsadministrasjon inkluderer aktivitetene med å konfigurere og endre filtrerings- eller autorisasjonspolicyene for passasje av datatrafikk mellom en ekstern kilde og en intern kilde (eller omvendt) definert på grunnlag av:

• Kildeadresse
• Ankomstadresse
• Nettverksprotokoll
• Tjenesteprotokoll
• Trafikklogging

Rapportering

Loggene som kommer fra konsollene eller verktøyene som brukes , blir vanligvis analysert og omhyggelig bearbeidet for å gjøre dem lett forståelige for kundene. Denne rapporteringen er spesielt viktig fordi den, i tillegg til å gi detaljer om eventuelle inntrengingsforsøk fra uautoriserte parter eller hendelser som har skjedd i tidsperioden som rapporten refererer til, kan tillate kunden å iverksette forebyggende tiltak.

Sikkerhetsvarsel - Sikkerhetsvarsel

Sikkerhetsvarslingstjenesten tar sikte på å varsle kunder så snart som mulig om oppdagelsen av nye sårbarheter, slik at nødvendige mottiltak kan iverksettes i tide for å dempe eller avbryte virkningene av de nye sårbarhetene.

DDos Mitigation

DDos-reduksjonstjenesten tar sikte på å dempe konsekvensene av et "Distributed Denial of Service "-angrep rettet mot en kritisk tjeneste som er en del av en kundes nettverksinfrastruktur. Tjenestens oppgave er derfor å garantere, i møte med en rapport mottatt fra en kunde, riktig aktivering av prosedyrene som er nødvendige for å løse sikkerhetshendelsen. Mottiltakene som skal iverksettes evalueres og prosessen med "rengjøring" og omdirigering av trafikk aktiveres. Melding om slutten av angrepet følger.

Sikkerhetsvurdering

Noen tjenesteelementer som vanligvis er en del av sikkerhetsvurderingsaktivitetene er:

• Sårbarhetsvurdering
• Penetrasjonstest

Sårbarhetsvurdering - Sårbarhetsvurdering

Sårbarhetsvurderingen er rettet mot å identifisere kjente sårbarheter ved systemene og tjenestene som er installert på dem. Denne aktiviteten utføres ved hjelp av spesifikke teknologier som er konfigurert, perfeksjonert og tilpasset for hver vurdering.

Penetrasjonstest

Penetrasjonstesten er rettet mot å identifisere og utnytte kjente eller fortsatt ukjente sårbarheter ved systemene, tjenestene og webapplikasjonene installert på dem. Penetrasjonstestprosessen, som utnytter sårbarhetene, er i stand til mer effektivt å fremheve trusselnivået representert av hver av dem og det relative estimatet av virkningene. Denne aktiviteten utføres både gjennom en rekke teknologier som er konfigurert, perfeksjonert og tilpasset for hver vurdering, og gjennom spesifikke manuelle aktiviteter for hver tjeneste, system og applikasjon som analyseres.

Teknisk assistanse

Generelt kan SOC også gi kunder spesialisert teknisk assistanse for alle problemer knyttet til funksjonalitetsproblemer, systembrudd, oppdatering og konfigurasjon av programvare og maskinvare for sikkerhet. Teknisk assistanse for å løse disse problemene kan gis eksternt eller på stedet avhengig av problemene og kontrakten som er fastsatt mellom partene.

SOC relatert profesjonalitet

Fagpersonene som vanligvis deltar i en SOC er følgende:

• CISO (Chief Information Security Officer)
• Sikkerhetssjef
• SOC-sjef
• Sikkerhetsspesialist

Vi må imidlertid ikke blande sammen rollen til CISO og sikkerhetssjefen som typisk opererer på et høyere nivå (av styring ) som en del av selskapets toppledelse. Dette er imidlertid ikke en rigid regel, siden størrelsen og kompleksiteten til selskapet noen ganger gjør at noen av disse tallene opererer på et mer operasjonelt nivå.

Relaterte elementer

• IT-sikkerhet
• Cybersårbarhet
• Sårbarhetsvurdering og redusering
• Bufferoverløp
• Utnytte
• Tigerlaget
• Hacker
• Brannmur
• Antivirus
• Post- og kommunikasjonspolitiet
• Computer Security Incident Response Team (CSIRT)
• Computer Emergency Response Team (CERT)

Eksterne lenker

• Åpne Web Application Security Project (OWASP) på owasp.org . Hentet 4. mai 2019 (arkivert fra originalen 27. mai 2014) .
• Government Cyber ​​Incident Prevention and Management Unit (CERT-SPC) i Public Connectivity System (SPC) , på cert-spc.it .