Varnostno operativni center – SOC

pomeni ustrezen nivo zagotavljanja odziva (odzivni časi), omejevanje posledic, odprava posledic, vzpostavitev prvotnega stanja, revizijo incidenta in pripravo ustreznih ukrepov za preprečitev ponovitve.

pomeni uporabo orodij za izvajanje avtomatiziranih skeniranj omrežij, infrastrukturnih sistemov ter aplikacijskih vmesnikov (spletne, mobilne in ostale aplikacije) v informacijskih sistemih.

vključujejo fizični ogled varnosti, procesov in izvedbo simuliranih napadov na infrastrukturne storitve (penetracijski test sistemskega nivoja) in aplikativne storitve (penetracijski test aplikativnega nivoja).

zajema uporabo avtomatiziranih orodij in ročnih tehnik z namenom odkrivanja varnostnih pomanjkljivosti izvorne kode v fazi razvoja programske opreme.

se izvaja v postopkih odziva na incident, s pomočjo avtomatiziranih orodij za statično in dinamično analizo škodljive kode.

je namenjeno definiranju varnostne arhitekture in varnostnih parametrov nastavitev informacijskih sistemov pred vključitvijo v produkcijsko okolje.

uporabnikov, virtualnih članov, kakor tudi članov SOC ekipe o pomenih in pasteh informacijske varnosti.

zajema analitične aktivnosti identifikacije in razumevanja groženj za posamične storitve v IT okoljih iz zornega kota potencialnih napadalcev.

zaobjema poročanje notranjim deležnikom s pošiljanjem periodičnih poročil o izvedenih aktivnostih (obravnavani incidenti, stanje), predstavitev stanja in obravnava dogodkov na sestankih in dogovori o korektivnih ukrepih za dodatno izboljšanje stanja. Hkrati storitev poročanja izvajamo v primeru incidenta, ki zahteva poročanje ustreznim organom (npr. Informacijskemu pooblaščencu, policiji,) odvisno od regulative, ki se tičejo poslovnih procesov naročnika.

Izraz SOC (Security operation center, sl. Varnostno operativni center), ki pojmuje Center za izvajanje varnostnih operacij se na področju varovanja informacij dopolnjuje z izrazi kot so CIRC (Computer Incident Response Center), ASOC (Advanced Security Operation Center) in CERT (Computer Emergency Response Team).

Vloge in naloge v SOC centru so jasno določene. SOC sestavlja prva obrambna linija, v kateri so Tier 1 Alert Analitiki, ki nenehno spremljajo alarme/dogodke, ter zbirajo podatke in kontekst za Tier 2 Incident Responder, ki izvaja poglobljeno analizo s pomočjo podatkov ter določa ali so bili kritični sistemi ogroženi in svetuje pri remediaciji. Skupino dopolnjujemo s Tier 3 – Subject Metter Expert (SME)/Hunter, ki je analitik s poglobljenim znanjem omrežja, endpoint-ov, »Threat Intelligence«, forenzike in »Reverse Engineering«. Njegova naloga je odkrivanje grožnje v omrežju še preden pride do dejanskega napada. Ekipo vodi SOC manager, ki skrbi, da imajo njegovi lovci na voljo vsa sredstva za učinkovito obrambo organizacij, ki nam zaupajo svojo varnost.

Zanesljivost SOC organizacije se meri s kakovostjo, učinkovitostjo in kompetencami 3 ključnih gradnikov. To so ljudje, procesi in tehnologija. Uravnoteženost vseh treh gradnikov zagotavlja učinkovito detekcijo, odziv, predikcijo in prevencijo na sodobne varnostne grožnje.

V SOC uporabljamo tehnologijo oz. avtomatizacijo postopkov s pomočjo naprednih sistemov kot so centralizirani sistem za zbiranje dnevniških zapisov (SIEM), sistem za odkrivanje anomalij v sistemu (ADS – Anomaly Detection System), sistemi za nadzor omrežja (“Network Monitoring”), “Threat Intelligence”, Reverse engineering orodja itd.