Cybersäkerhet

SOC - den sista utposten i kampen mot cyberbrottslingarna

Ett Security Operations Center (SOC) är en övervakningsstyrka som kontinuerligt tittar på säkerhetshändelser och agerar när cyberbrottslingarna tagit sig förbi försvarets yttre lager. SOC:en på Telia Cygate levererar sin tjänst med säkerhetsklassad personal och över Telias säkra nät som inte kan påverkas utifrån. De har kunder i olika branscher, växer ständigt sin kompetens, och delar kunskap med kollegorna på Telia.

Gunnebostängsel i närbild

Men hur ser det ut på en dag på jobbet för dem som skyddar kundernas it-miljö när det som inte får hända är ett faktum?

12:43

Larmet går!

En säkerhetsprogramvara har upptäckt att en lokal PC gör en portscanning på kundens nätverk.

– Precis som inbrottstjuvar börjar cyberbrottslingar gärna med ett spaningsarbete, och en portscanning är ofta det första tecknet att en cyberattack är på gång, berättar Fredrik Johansson som arbetar som Detection Engineer på Telia Cygate.

12.49

Kontot spärras

Inom loppet av några sekunder efter att regeln har löst ut identifierar en säkerhetsanalytiker IP-adressen för maskinen som gör scanningen och vilken användare som är kopplad till den.

– Genom att agera snabbt kan vi hindra cyberbrottslingarna från att uppnå sitt mål. De kan exempelvis försöka komma åt känslig information, kreditkortsnummer eller kryptera systemet för att kunna begära en lösensumma, säger Huda Khan som arbetar som Service Delivery Manager på Telia Cygate.

Samtidigt lyfter säkerhetsarkitekterna blicken och letar efter andra tecken i miljön på en pågående incident. Kanske att den som ligger bakom intrånget tar sig vidare genom att logga in på en server som kontoägaren har access till?

– Om vi ser flera tecken på att någonting händer eskaleras incidenten. Vår huvudfokus är att ta reda på vad som händer så att vi kan isolera händelsen och stoppa angreppet, säger Huda Khan vidare.

13.05

Intrång detekterat

Vid ett skarpt larm formas en taskforce med olika specialistkompetenser för att snabbt och effektivt svara på intrånget. Experterna börjar utredningsarbetet på platsen där brottet upptäcktes och kartlägger på en tidslinje vad som hänt genom att analysera loggar och nätverkstrafik. Intrånget kan exempelvis bero på att en användare har klickat på en phishinglänk eller att någons kontouppgifter har hamnat i orätta händer.

– Inledningsvis vet vi att intrånget har skett, men frågan är hur de tog sig dit och vad de har gjort därefter. Här är det väldigt tidskritiskt. Vi jobbar för att förstå vad som hände mellan påloggningen och scanningen, och vidare i relationscirkeln och breddar till dess att vi är säkra att vi har isolerat attacken, säger Fredrik Johansson.

– Vi tränar på de olika scenarierna så att vi kan hålla huvudet kallt och hjälpa våra kunder när det är en attack. När det händer blir det oerhört pressat, det kommer frågor från alla håll, och då gäller det att ha is i magen och fatta beslut utifrån fakta, berättar Huda Khan.

Alla larm är inte attacker

Självklart hettar det till på SOC:en vid ett larm, men för det mesta finns det en naturlig förklaring. Det kan vara allt från att kunden har glömt att berätta att de skaffat en programvara för att scanna och kartlägga alla enheter på nätverket, till att en medarbetare som spillt kaffe på tangentbordet råkat flytta ett stort antal filer från en mapp till en annan.

– Utredningsarbete kräver mycket resurser och det är viktigt att snabbt kunna avskriva händelser som på ytan ser ut som hot och kunna förklara varför en regel har löst ut, säger Fredrik Johansson.

– Många av de säkerhetsprodukter som företag och organisationer använder skapar larm som behöver tolkas av någon som förstår kontexten, avslutar Fredrik Johansson.

Huda Khan_Service_Delivery_Manager
Vi tränar på de olika scenarierna så att vi kan hålla huvudet kallt och hjälpa våra kunder när det är en attack. När det händer blir det oerhört pressat, det kommer frågor från alla håll, och då gäller det att ha is i magen och fatta beslut utifrån fakta.

Huda Khan

Service Delivery Manager

Fredrik Johansson_Detection Engineer
Inledningsvis vet vi att intrånget har skett, men frågan är hur de tog sig dit och vad de har gjort därefter. Här är det väldigt tidskritiskt. Vi jobbar för att förstå vad som hände mellan påloggningen och scanningen, och vidare i relationscirkeln och breddar till dess att vi är säkra att vi har isolerat attacken.

Fredrik Johansson

Detection Engineer

Grafik i lila

Få svar från en säkerhetsexpert

Ställ en säkerhetsfråga till oss så utlovar vi ett snabbt svar från någon som kan svara.

Få svar från en säkerhetsexpert