Hvilke værktøjer og teknologier bruges i SOC'er?

I det forrige kapitel så vi, hvor vigtigt det er at have et sikkerhedsoperationscenterteam (SOC). I denne artikel ser vi på de forskellige værktøjer og teknologier, der bruges i SOC'er.

7 værktøjer og teknologier, der er vigtige for et SOC-team

Værktøjer

Værktøj til logindsamling og ‑administration

Hvis du vil udføre en sikkerhedsanalyse skal du først skaffe de relevante oplysninger. Logfiler er den bedste kilde til information om forskellige aktiviteter i dit netværk. Men der genereres millioner af logfiler fra flere enheder i hele netværket hver dag. Det er ineffektivt eller ligefrem umuligt at gennemgrave dem manuelt. Et værktøj til logadministration kan automatisere hele processen med at indsamle, parse og analysere logfiler. Det er normalt inkluderet i en SIEM-løsning.

Security Information and Event Management (SIEM)

En af de mest grundlæggende teknologier, der udgør kernen i et SOC, er et SIEM-værktøj. Logfiler indsamlet fra hele organisationens netværk giver et væld af oplysninger, der skal analyseres for unormal adfærd. En SIEM-platform samler logdata fra heterogene kilder, undersøger dem for at detektere mulige angrebsmønstre og udsender hurtigt en advarsel, hvis der findes en trussel.

Sikkerhedsrelaterede oplysninger præsenteres i form af grafiske rapporter på et interaktivt dashboard til SOC-teamet. Med disse rapporter kan SOC-teamet hurtigt undersøge trusler og angrebsmønstre og få forskellige indsigter fra logtendenser, alt sammen fra en enkelt konsol. Når der opstår en sikkerhedshændelse, kan SOC-teamet også bruge SIEM-værktøjet til at finde rodårsagen til bruddet gennem forensisk loganalyse. De kan dykke ned i logdataene for at undersøge eventuelle sikkerhedshændelser nærmere.

En SIEM-løsning giver et holistisk overblik over din virksomheds netværk.

Sikkerhedsrisikostyring

Cyberkriminelle går primært efter og udnytter sårbarheder, der måske allerede er i dit netværk, til at infiltrere dine systemer, så SOC-teamet skal scanne og overvåge organisationens netværk med jævne mellemrum for eventuelle sikkerhedsrisici. Når noget opdages, skal SOC'et reagere hurtigt, før sikkerhedsrisikoen kan blive udnyttet.

Slutpunktsdetektering og ‑reaktion (EDR)

EDR-teknologi er normalt værktøjer, der primært er fokuseret på at undersøge trusler rettet mod slutpunkter eller værter. De hjælper SOC-teamet ved at fungere som frontlinjeforsvar mod trusler, der er designet til nemt at omgå perimeterforsvaret.

• Detektering af sikkerhedstrusler
• Inddæmning af truslen ved slutpunktet
• Undersøgelse af truslen
• Afhjælpning af truslen, før den spreder sig

EDR-værktøjer overvåger løbende forskellige slutpunkter, indsamler data fra dem og analyserer oplysningerne for eventuelle mistænkelige aktiviteter og angrebsmønstre. Hvis en trussel identificeres, inddæmmer EDR-værktøjet truslen og advarer straks sikkerhedsteamet. EDR-værktøjer kan også integreres med cyberthreat intelligence, trusselsjagt og adfærdsanalyse for at detektere skadelige aktiviteter hurtigere.

Teknologier

Analyse af bruger- og enhedsadfærd (UEBA)

Et andet uvurderligt værktøj for et SOC-team er en UEBA-løsning. UEBA-værktøjer bruger maskinlæringsteknikker til at behandle data indsamlet fra forskellige netværksenheder og udvikle en baseline for normal adfærd for alle brugere og enheder i netværket. Med mere data og erfaring bliver UEBA-løsninger mere effektive.

UEBA-værktøjer analyserer dagligt logfiler fra forskellige netværksenheder. Hvis en hændelse afviger fra baselinen, markeres den som en anomali og analyseres yderligere for potentielle trusler. Hvis en bruger, der normalt logger ind mellem kl. 9 og 18, f.eks. pludselig logger ind kl. 3 om natten, markeres den hændelse som en anomali.

En risikoscore fra 0 til 100 tildeles brugeren eller enheden baseret på forskellige faktorer som handlingens intensitet og afvigelsens hyppighed. Hvis risikoscoren er høj, kan SOC-teamet undersøge afvigelsen og hurtigt træffe afhjælpende foranstaltninger.

Cybertrusselsjagt

Når cybersikkerhedsangreb bliver mere og mere sofistikerede, hvordan kan SOC-teams så være et skridt foran? Cyberkriminelle kan ligge på lur i organisationens netværk og løbende indsamle data og eskalere privilegier uden at blive opdaget i ugevis. Konventionelle detekteringsmetoder er reaktive; trusselsjagt er derimod en proaktiv strategi. Trusselsjagt er god til at detektere trusler, som ofte overses af konventionelle sikkerhedsværktøjer.

Det begynder med en hypotese efterfulgt af en undersøgelse. Trusselsjægere søger proaktivt gennem netværket efter skjulte trusler for at forhindre potentielle angreb. Hvis en trussel detekteres, indsamler de oplysninger om truslen og sender dem videre til de berørte teams, så der straks kan træffes passende foranstaltninger.

Threat intelligence

For at være på forkant med de seneste cyberangreb skal SOC-teamet være opmærksom på alle mulige trusler mod organisationen. Threat intelligence er evidensbaseret viden om trusler, der er opstået eller vil opstå, og som deles af forskellige organisationer. Med threat intelligence kan SOC-teamet få værdifuld indsigt i forskellige skadelige trusler og trusselsaktører, deres mål, tegn, man skal holde øje med, og hvordan man kan afbøde truslerne.

Threat intelligence-feeds kan bruges til at få oplysninger om almindelige indikatorer for kompromittering, såsom uautoriserede IP'er, URL'er, domænenavne og e-mailadresser. Med nye slags angreb, der dukker op hver dag, opdateres trusselsfeeds konstant. Ved at korrelere disse trusselsfeeds med logdata kan SOC-teamet straks blive advaret, når en trusselsaktør interagerer med netværket.