Ett Security Operations Center (SOC) är en centraliserad enhet som övervakar och hanterar den egna organisationens eller kunders it-infrastruktur från ett cybersäkerhetsperspektiv. Genom realtidsanalys av miljön identifierar, detekterar och agerar medarbetarna på SOC:en på potentiella hot och säkerhetsincidenter. Arbetet syftar till att proaktivt skydda system, känna igen attacker, som hela tiden blir alltmer sofistikerade, och minimera skador vid cyberattacker.
Vi skyddar våra kunders IT-miljöer mot en rad olika typer av cyberhot, som exempelvis malware, ransomware och phishing-attacker. En viktig del av arbetet är att kontinuerligt samla in information från olika källor så att vi kan förstå och vara bättre rustade att försvara oss mot aktuella hot, Martin Spiik, Head of Managed Security Services på Telia Cygates SOC.
Kollegorna i SOC:en använder en rad olika verktyg för att övervaka, analysera och reagera på säkerhetsincidenter. De samlar in och analyserar loggar från olika system och applikationer för att hitta avvikande mönster som kan tyda på incident.
Vi övervakar nätverkstrafik i realtid för att upptäcka och förebygga intrång och kan föreslå förbättringar för kundernas skyddsmekanismer, säger Martin Spiik.
Olika roller i SOC:en
En SOC är organiserad för att säkerställa en holistisk och effektiv hantering av cyberhot. I ett team behöver man ha en blandning av erfarenheter och färdigheter för att kunna ta hand om olika aspekter av cybersäkerhet. Som exempelvis teknisk kompetens, branschkännedom, förståelse för hotlandskapet och förmågan att snabbt anpassa sig till nya hot och teknologier.
En mångfald av bakgrunder och perspektiv stärker vår förmåga att möta och lösa komplexa cybersäkerhetsutmaningar, berättar Martin Spiik.
- Den som arbetar som Head of Managed Security Services står för ledarskap och strategi och Service Delivery Manager står för operationell kvalitet och arbetsledning. Tillsammans har de en djup förståelse för cybersäkerhetslandskapet, ledarskap och erfarenhet av att driva och utveckla verksamheten.
- En stor del av arbetet i SOC:en är proaktivt, som exempelvis att delta i forum och göra omvärldsanalys. Det proaktiva arbetet genererar olika typer av detektionsregler och en Detection engineer skriver kod som används för att upptäcka matchande mönster i nätverkstrafiken och som kan tyda på intrång.
- En Incident responder arbetar med akut incidenthantering, sårbarhetsbedömning och agerar snabbt för att minimera skador vid säkerhetsincidenter.
- En Security analyst har tekniskt kunnande inom nätverkssäkerhet, applikationssäkerhet och systemhantering och arbetar med att analysera och tolka data från övervakningsverktyg.
- En Threat intelligence analyst har en djup förståelse för aktuella hot, sårbarheter och attacker, samt förmåga att översätta hotinformation till praktiska åtgärder.
- En Security engineer har teknisk expertis inom säkerhetsarkitektur, implementering och underhåll av säkerhetsteknik som används för att stärka den övergripande cybersäkerheten.
- En Digital säkerhetsutredare har erfarenhet av digitalt utredningsarbete och genomför detaljerade utredningar vid säkerhetsincidenter och hanterar bevis.
Om du vill läsa mer om hur våra kollegor i SOC:en arbetar när intrånget är ett faktum tipsar vi om att läsa artikeln SOC – den sista utposten i kampen mot cyberbrottslingarna.