SECURITY OPERATIONS CENTER: definitie, typen, analist, salaris en kader

Gegevens van de infrastructuur, netwerken, cloudservices en apparaten van een organisatie worden gecorreleerd door een security operations center (SOC). Het beheer van de algehele beveiligingshouding van een bedrijf en het bieden van situationeel bewustzijn is de verantwoordelijkheid van een SOC, een coöperatieve groep informatiebeveiligingsspecialisten. Lees meer over de functie van analist bij een security operations center. De verdedigingsstrategiebenaderingen van Security Operations Centers (SOC's) worden gestandaardiseerd door SOC-frameworks. Het helpt bij het minimaliseren van cyberbeveiligingsrisico's en het gestaag verbeteren van de bedrijfsvoering. 

Beveiliging Operation Center

De doelen van SOC-activiteiten zijn het herkennen, monitoren, volgen, analyseren, presenteren en reageren op actuele en potentiële bedreigingen voor het bedrijf. Het dagelijkse beheer van de netwerk- en infrastructuurbeveiliging binnen een organisatie is de verantwoordelijkheid van een Security Operations Center (SOC)-team. Het vinden van beveiligingsincidenten en bedreigingen, het analyseren ervan en het nemen van passende maatregelen zijn de belangrijkste doelen van het SOC-team. 

De beveiligingspraktijken, -procedures en reactie op beveiligingsincidenten van een organisatie worden verenigd en gecoördineerd door een SOC, wat het belangrijkste voordeel is van het in-house runnen of uitbesteden ervan. Een verbeterd beveiligingsbeleid en preventieve maatregelen, snellere detectie van bedreigingen en snellere, effectievere en goedkopere reacties op beveiligingsbedreigingen zijn de typische resultaten hiervan. Bovendien kan een SOC het vertrouwen van de klant vergroten en de naleving door een organisatie van regionale, nationale en internationale privacyregelgeving stroomlijnen en versterken.

Lees ook: BEDRIJFSBEVEILIGINGSSYSTEEM: waar het allemaal om draait, typen en kosten

Vacatures voor Security Operations Center (SOC).

#1. Incidentresponsplanning

De SOC is verantwoordelijk voor het opstellen van het incidentresponsplan van de organisatie, waarin de activiteiten, rollen en verantwoordelijkheden in het geval van een dreiging of incident worden beschreven, evenals de maatstaven waarmee de effectiviteit van een incidentrespons zal worden beoordeeld. 

#2. Actueel blijven

Het SOC blijft op de hoogte van de meest recente beveiligingsinnovaties en -tools, evenals de meest recente bedreigingsinformatie, dat wil zeggen nieuws en details over cyberaanvallen en de hackers die deze uitvoeren die zijn verzameld uit sociale media, zakelijke bronnen en het dark web .

#3. Regelmatig testen

Het SOC-team voert kwetsbaarheidsbeoordelingen uit, diepgaande evaluaties die de gevoeligheid van elke bron voor potentiële gevaren en de bijbehorende kosten bepalen. Bovendien voert het penetratietests uit die bepaalde aanvallen op aanvullende systemen nabootsen. Op basis van de bevindingen van deze tests corrigeert of verbetert het team applicaties, beveiligingsrichtlijnen, best practices en incidentresponsplannen.

#4. Routinematig onderhoud en voorbereiding

 Het SOC voert preventief onderhoud uit, zoals het toepassen van softwarepatches en -upgrades en het routinematig bijwerken van firewalls, whitelists en blacklists, beveiligingsbeleid en procedures om de efficiëntie van de beveiligingstools en -maatregelen te maximaliseren. Het SOC kan ook systeemback-ups maken of helpen bij het ontwikkelen van back-upbeleid of -procedures om de bedrijfscontinuïteit te waarborgen in het geval van een datalek, ransomware-aanval of andere cyberbeveiligingsincidenten.

#5. Bedreigingsdetectie

Het SOC-team scheidt de signalen van de ruis, scheidt de indicaties van echte cyberdreigingen en hacker-exploits van de valse positieven, voordat de bedreigingen worden geclassificeerd op basis van hun ernst. Kunstmatige intelligentie (AI) is een onderdeel van hedendaagse SIEM-oplossingen die deze procedures automatiseert en geleidelijk verbetert in het identificeren van verdachte activiteiten door te "leren" van de gegevens.

Functies van een Security Operations Center

• Beheer en onderhoud: Updates en patches voor beveiligingstools worden opgespoord en afgehandeld.
• Bewaking van gebeurtenislogboeken voor infrastructuur, systemen, apparaten en netwerken om ongebruikelijke of verdachte activiteiten op te sporen.
• Het verzamelen van inlichtingen, evenals het opsporen en voorkomen van potentiële bedreigingen en aanvallen.
• Analyse en onderzoek van incidenten: de oorzaak van een gebeurtenis of dreiging vinden en bepalen hoe diep deze is geïnfiltreerd en bedrijfssystemen heeft beschadigd.
• Reactie op dreiging of aanval: het coördineren van een aanpak om de dreiging of het incident effectief aan te pakken en in te dammen.
• Het herstellen van verloren of gestolen gegevens, het aanpakken van kwetsbaarheden, het bijwerken van waarschuwingstools en het opnieuw evalueren van procedures zijn allemaal onderdelen van herstel en herstel. 

Een instelling die wordt gebruikt voor het centraal bewaken, detecteren, onderzoeken en reageren op cyberaanvallen en andere beveiligingsincidenten, staat bekend als een Security Operations Center (SOC). Een Security Operations Center (SOC) kan een fysieke of virtuele ruimte zijn die wordt beheerd door een intern beveiligingspersoneel of een Managed Security Service Provider (MSSP).

Typen van een Security Operations Center

De meeste bedrijven ontdekken dat het effectief beheren van cyberbeveiliging veel meer vereist dan waartoe hun traditionele IT-team in staat is. Organisaties hebben de keuze tussen het intern bouwen van een SOC of het afsluiten van een contract met een beheerde SOC-provider om aan deze groeiende behoefte te voldoen.

#1. Toegewijd of in eigen beheer

Deze strategie maakt gebruik van een on-site faciliteit en intern personeel. Een speciaal SOC, een gecentraliseerd SOC, bestaat uit een team dat zich uitsluitend richt op beveiliging, infrastructuur en procedures. Afhankelijk van de grootte, risicotolerantie en beveiligingsbehoeften van de organisatie varieert de grootte van een specifiek SOC. 

#2. Gedistribueerde SOC

Een co-managed security operations center, ook wel een MSSP genoemd, wordt gerund door een intern teamlid dat parttime of fulltime wordt ingehuurd om samen te werken met een managed security service provider.

#3. Beheerde SOC

Bij deze methode leveren MSSP's een bedrijf alle SOC-services. Managed Detection and Response (MDR)-partners vormen een extra categorie.

#4. Commando SOC

Met behulp van deze strategie hebben andere centra voor beveiligingsoperaties, die doorgaans toegewijd zijn, toegang tot informatie over bedreigingen en kennis over beveiliging. Het neemt alleen deel aan inlichtingengerelateerde activiteiten en procedures met betrekking tot veiligheid. 

#5. Virtueel SOC

Dit is een toegewijd beveiligingsteam dat niet is gebaseerd op het eigendom van een bedrijf. Het heeft hetzelfde doel als een fysieke SOC, maar dan met personeel op afstand. Er is geen speciale infrastructuur of fysieke locatie voor een virtuele SOC (VSOC). Het is een webgebaseerd portaal dat is gebouwd met behulp van gedecentraliseerde beveiligingstechnologieën, waardoor teams op afstand kunnen werken om gebeurtenissen te monitoren en bedreigingen aan te pakken. 

#6. Gezamenlijk beheerde SOC

Het gezamenlijk beheerde SOC-model maakt gebruik van zowel extern personeel als on-site monitoringtools. Omdat het on-site en off-site componenten combineert, wordt deze strategie ook wel een hybride strategie genoemd. Co-management is een flexibele optie omdat deze onderdelen sterk kunnen verschillen tussen verschillende organisaties.

Voordelen van een Security Operations Center

Hieronder volgen de voordelen van het Security Operations Center

• Verbeterde procedures en responstijden voor incidenten.
• Vermindering van de MTTD (mean time to detect) hiaten tussen de tijd van compromitteren en detectie.
• Analyseren en monitoren van verdachte activiteiten, continue samenwerking en effectieve communicatie.
• Het combineren van hardware- en softwarebronnen om een ​​uitgebreidere beveiligingsstrategie te creëren.
• Gevoelige informatie wordt vrijer gedeeld door klanten en medewerkers.
• Verbeterde verantwoording en controle over beveiligingsoperaties.
• Een gegevensketen is nodig als een bedrijf juridische stappen wil ondernemen tegen degenen die worden beschuldigd van het plegen van cybercriminaliteit.

Security Operations Center-analist

Een essentieel onderdeel van het reageren op cyberbeveiligingsaanvallen wordt gespeeld door een security operations center-analist of SOC-analist. Een security operations center-analist is een cruciaal lid van het moderne beveiligingsteam dat zorgt voor bedrijfscontinuïteit voor organisaties die het belang inzien van het voorkomen van en reageren op cyberaanvallen. 

Een security operations center-analist is een technische expert die verantwoordelijk is voor het opsporen en stoppen van cybergerelateerde aanvallen op bedrijfsservers en computersystemen. Ze ontwikkelen en voeren protocollen uit voor het omgaan met bedreigingen en moeten de nodige wijzigingen aanbrengen om dergelijke gebeurtenissen te stoppen.

• Het analyseren van de gevoeligheid van de infrastructuur van een bedrijf voor bedreigingen en andere taken maakt deel uit van dit werk.
• Op de hoogte blijven van nieuwe ontwikkelingen op het gebied van cybersecurity
• Onderzoeken en vastleggen van mogelijke dreigingen en problemen met informatiebeveiliging
• Evaluatie van nieuwe hardware en software op veiligheid om onnodige risico's te verminderen
• Het opstellen van formele herstelplannen voor rampen, idealiter voordat er zorgen ontstaan. 

Hoe kom ik in aanmerking om een ​​Security Operations Center-analist te worden?

De meeste werkgevers verwachten dat SOC-analisten een bachelor- of associate's degree in computerwetenschappen of computertechniek hebben, evenals aanvullende vaardigheden uit praktijkervaring in netwerk- of informatietechnologierollen. 

Deze vaardigheden omvatten:

•  Uitstekende communicatieve vaardigheden 
• Linux, Windows, IDS, SIEM, CISSP en Splunk goed onder de knie hebben
• Grondige kennis van informatiebeveiliging
• Mogelijkheid om netwerken te verdedigen door verkeer te beveiligen en verdachte activiteiten te detecteren
• Inzicht in het testen op daderschap om de kwetsbaarheid van systemen, netwerken en applicaties te identificeren
• Stop en verminder de gevolgen van beveiligingsinbreuken
• Verzamel, onderzoek en presenteer beveiligingsinformatie voor forensisch computeronderzoek
• Reverse-engineering malware omvat het lezen en identificeren van parameters van softwareprogramma's.

SOC-analisten werken vaak als een team met ander beveiligingspersoneel. Een organisatie moet rekening houden met de mening van de analist van het beveiligingsoperatiecentrum. Hun suggesties kunnen de cyberbeveiliging verbeteren en het risico op verlies door beveiligingsinbreuken en andere gebeurtenissen verkleinen.  

Certificering Security Operations Center Analyst

SOC-analisten volgen vaak een aanvullende opleiding en behalen een licentie voor Certified Security Operations Center Analyst (CSA) om hun vaardigheden te verbeteren, naast een bachelordiploma in computertechniek, informatica of een gerelateerd vakgebied.

Aanvullende relevante certificeringen zijn onder meer:

• Gecertificeerde ethische hacker (CEH)
• Computer Hacking Forensisch Onderzoeker (CHFI)
• EC-Council gecertificeerde beveiligingsanalist (ECSA)
• Gelicentieerde penetratietester (LPT)
• CompTIA Security +
• CompTIA Cybersecurity-analist (CySA+)

Verantwoordelijkheid Van Een Beveiligingsoperaties Analist

Netwerk- en systeembewaking binnen een organisatie. De taak van een security operations center-analist is om het IT-systeem van een organisatie in de gaten te houden. Dit omvat het in de gaten houden van eventuele afwijkingen die kunnen wijzen op een inbreuk of aanval met behulp van beveiligingssystemen, applicaties en netwerken.

#1. Realtime dreigingsevaluatie, identificatie en beperking

De SOC-analist werkt nauw samen met hun team om te bepalen wat er mis is gegaan met het systeem en hoe dit kan worden verholpen nadat een dreiging is gedetecteerd.

#2. Incidentrespons en onderzoek

Alvorens wetshandhavingsinstanties te informeren, zal de SOC-analist, indien nodig, samenwerken met de rest van het team om aanvullend onderzoek naar het incident te doen.

Na elk incident grondig te hebben onderzocht, rapporteren ze ook alle nieuwe informatie over huidige cyberdreigingen of netwerkkwetsbaarheden om, indien mogelijk, toekomstige incidenten te voorkomen door onmiddellijk updates te implementeren. 

#3. Werkt samen met andere teamleden om beveiligingsprocedures, oplossingen en best practices in praktijk te brengen

Om ervoor te zorgen dat het bedrijf veilig en beveiligd kan blijven werken, werken SOC-analisten samen met andere teamleden om ervoor te zorgen dat de juiste protocollen aanwezig zijn. Dit omvat het installeren van nieuwe systemen en, indien nodig, het updaten van bestaande systemen.

#4. Blijf op de hoogte van de meest recente beveiligingsbedreigingen

SOC-analisten moeten op de hoogte blijven van de meest recente cyberdreigingen voor de beveiliging van hun organisatie, of ze nu leren over nieuwe phishing-zwendel of door bij te houden welke kwaadwillenden momenteel hacktools gebruiken. Met deze informatie kunnen ze snel actie ondernemen bij mogelijke problemen voordat ze problemen veroorzaken voor uw bedrijf.

Salaris voor Security Operation Center-analist

Beveiligingsexperts zorgen ervoor dat de medewerkers de nodige opleiding krijgen en alle regels en voorschriften van het bedrijf naleven.

Deze beveiligingsanalisten werken samen met het interne IT-team van de organisatie en bedrijfsbeheerders om beveiligingskwesties te bespreken en te documenteren als onderdeel van hun taken. Beveiligingsanalisten in de Verenigde Staten verdienen gemiddeld $ 88,570 per jaar. (Bron: Glassdoor).

Locatie, bedrijf, ervaring, opleiding en functietitel zijn slechts enkele van de variabelen die van invloed kunnen zijn op het verdienpotentieel.

Vaardigheden van SOC-analisten 

Hoewel er veranderingen in cybertrends kunnen zijn, moet een SOC-analist nog steeds over veel van dezelfde vaardigheden beschikken. Zorg ervoor dat SOC-analisten over deze capaciteiten beschikken als u het meeste wilt halen uit wat zij uw bedrijf te bieden hebben.

• Programmeervaardigheden
• Computer forensics
• Ethisch hacken
• Reverse engineering
• Risicomanagement
• Probleemoplossing
• Kritisch denken 
• Effectieve communicatie 

Security Operations Center-framework

Het SOC-raamwerk, dat wordt geschetst door de overkoepelende architectuur, beschrijft de componenten van het SOC en hun interacties. Het is essentieel om een ​​Security Operations Center-framework op te zetten dat is gebaseerd op een systeem voor het monitoren en vastleggen van incidenten.

Een SOC-framework is de algehele architectuur die de componenten beschrijft die SOC-functionaliteit leveren en hoe ze met elkaar omgaan. Met andere woorden, een SOC-framework moet worden gebouwd op een monitoringsysteem dat beveiligingsgebeurtenissen bijhoudt en registreert.

Kernprincipes van een SOC-raamwerk

#1. Toezicht houden

 Monitoringactiviteit is de meest fundamentele service die een raamwerk voor functionele beveiligingsoperaties kan bieden. Het doel van dergelijke monitoring is natuurlijk om vast te stellen of er een inbreuk heeft plaatsgevonden of momenteel gaande is. Cyberbeveiligingsexperts moeten echter op de hoogte zijn van de situatie om dat oordeel te kunnen vellen. SIEM-tools, gedragsdreigingsanalyses en beveiligingsmakelaars voor cloudtoegang zijn enkele voorbeelden van geautomatiseerde tools en technologieën die kunnen helpen bij monitoring. Hoewel niet altijd, maken deze tools mogelijk gebruik van AI- en machine learning-technologieën.

#2. Analyse

Analyse zou de volgende dienst moeten zijn die een SOC aanbiedt. Het doel van de analyse is om te bepalen of er een op bedrijfsactiviteiten gebaseerde kwetsbaarheid of inbreuk heeft plaatsgevonden. SOC-analisten onderzoeken de alarmen en waarschuwingen die door het monitoringsysteem worden verzonden als onderdeel van de onderzoeksfunctie om te zien of ze overeenkomen met eerder waargenomen aanvalspatronen of exploits van kwetsbaarheden.

#3. Incidentrespons en inperking

De volgende service die door het raamwerk van het beveiligingsoperatiecentrum wordt geleverd, is een reactie op incidenten; hoe dit wordt gedaan, hangt af van het type, de omvang en de ernst van het incident en ook of het SOC intern is of dat de onderneming een contract heeft met een uitbestede SOC-provider die meer hulp nodig heeft dan waarschuwingsmelding.

#4. Auditing en logboekregistratie

Zoals eerder vermeld, speelt de SOC een essentiële, maar vaak over het hoofd geziene, rol bij logboekregistratie en auditing: het bevestigen van naleving en het vastleggen van de reactie op beveiligingsincidenten die kunnen worden gebruikt als onderdeel van een postmortale analyse. Veel SOC-tools bevatten een verbazingwekkende hoeveelheid tijdstempeldocumentatie die compliance-experts en cyberbeveiligingsanalisten nuttig kunnen vinden.

#5. Bedreiging jagen

SOC-analisten hebben nog steeds andere taken te vervullen, zelfs wanneer systemen normaal functioneren, wat betekent dat er geen grote incidenten in de omgeving zijn. Ze beoordelen bedreigingsinformatiediensten om externe bedreigingen te monitoren en te evalueren, en als het derden zijn met meerdere klanten, scannen en analyseren ze klantoverschrijdende gegevens om aanvals- en kwetsbaarheidspatronen te identificeren. SOC-providers, zowel intern als extern, kunnen aanvallers een stap voor blijven door actief op zoek te gaan naar bedreigingen. Ook kunnen zij preventieve maatregelen nemen als er toch een aanslag plaatsvindt.

Ten slotte moet een goed ontworpen raamwerk voor beveiligingsoperaties veel meer aankunnen dan alleen het monitoren van alarmen en waarschuwingen. Het SOC kan helpen bij het indammen van incidenten als het correct is opgezet en beheerd. Bovendien kan het onbetaalbaar inzicht bieden in post-mortem incidenten en preventieve veiligheid bieden. 

Gemeenschappelijke SOC-kaders

#1. NIST

Het National Institute of Standards and Technology (NIST) van de Verenigde Staten publiceert het NIST-raamwerk voor cyberbeveiliging, dat normen en richtlijnen biedt voor het beheer van de levenscyclus van bedreigingen om organisaties te helpen bij het ontwikkelen van beveiligingsplannen en het optimaliseren van de belangrijkste prestatie-indicatoren. Hieronder volgen de vijf door NIST aanbevolen best practices:

• Identificeren
• Beschermen
• Opsporen
• Reageren
• Herstellen

#2. MITER ATT&CK

Adversarial Tactics, Techniques, and Common Knowledge is de afkorting voor deze uitdrukking. Dit raamwerk, ontwikkeld door Mitre Corporation en gepubliceerd in 2013, is gericht op het analyseren van vijandig gedrag om reacties en nieuwe verdedigingsstrategieën te ontwikkelen. Het helpt bij bedreigingsinformatie, detectie en analyse van bedreigingen, red teaming en emulatie van tegenstanders, evenals engineering en beoordeling.   

#3. Cyber ​​Kill-keten

Dit raamwerk, gemaakt door Lockheed Martin, is gebaseerd op het militaire idee om een ​​aanval te organiseren als reactie op de tactieken en zwakke punten van je tegenstander. De kill-keten dient als een basisarchetype door zijn acties te baseren op die van een typische bedreigingsactor. Cyber ​​Kill Chain is een gefaseerde strategie die de volgende stappen omvat:

• verkenning
• Indringing
• Exploitatiefase
• Privilege-escalatie
• Zijwaartse beweging
• verduistering
• Denial of Service
• exfiltratie

#4. Uniforme kill-keten

Om een ​​meer grondige methode te bieden om de risico's van tegenstanders en rangorde te begrijpen, combineert dit raamwerk de MITRE ATT&CK- en Cyber ​​Kill Chain-raamwerken. Het maakt gebruik van de sterke punten van elk raamwerk om gemeenschappelijke hiaten te dichten. Door 18 extra fasen toe te voegen, breidt dit framework de aanvalsketen uit.

Wat doet een Security Operations Center?

Het vermogen van een organisatie om bedreigingen te identificeren, erop te reageren en verdere schade te voorkomen, wordt verbeterd door een beveiligingscentrum, dat alle cyberbeveiligingstechnologieën en -activiteiten verenigt en coördineert.

Wat zijn een NOC en SOC? 

Terwijl Security Operations Centers (SOC's) verantwoordelijk zijn voor het beschermen van het bedrijf tegen online bedreigingen, zijn Network Operations Centers (NOC's) verantwoordelijk voor het onderhoud van de technische infrastructuur van het computersysteem van een bedrijf.

Effectieve netwerkprestaties worden onderhouden door een Network Operations Center (NOC), en bedreigingen en cyberaanvallen worden geïdentificeerd, onderzocht en afgehandeld door een Security Operations Center (SOC).

Wat is het verschil tussen een SOC en een SIEM? 

Het belangrijkste onderscheid tussen een SIEM en SOC is dat de eerste gegevens uit verschillende bronnen verzamelt en correleert, terwijl de laatste gegevens uit verschillende bronnen verzamelt en naar een SIEM stuurt. 

Wat betekent NOC in beveiliging?

Network Operations Centres (NOC's) zijn gecentraliseerde locaties waar computer-, telecommunicatie- of satellietnetwerksystemen XNUMX uur per dag, elke dag van de week, worden bewaakt en beheerd. In het geval van netwerkstoringen dient het als de eerste verdedigingslinie.

Wat zijn de drie soorten SOC's? 

• Gezamenlijk beheerde SOC
• Virtueel SOC
• Toegewijde SOC

Wat zijn de TopSOC? 

• Arctic Wolf-netwerken
• Palo alto-netwerk
• netsurion
• IBM
• CISCO

Conclusie 

Een security operations center, of SOC, is belangrijk omdat bedrijven meer nadruk leggen op cybersecurity. De belangrijkste entiteit die verantwoordelijk is voor de verdediging tegen cyberdreigingen voor uw bedrijf, is uw SOC. Door alle cyberbeveiligingsactiviteiten en -technologieën onder één dak te brengen, verbetert een beveiligingscentrum de capaciteit van een organisatie voor het detecteren, reageren en voorkomen van bedreigingen.

Gerelateerde artikelen

1. INCIDENTBEHEER: gids voor het proces en best practices
2. INTELLIGENTIE CYBERBEDREIGING: betekenis, tools, analist en salaris
3. CYBERVEILIGHEIDSRISICOBEHEER: raamwerk, plan en services
4. Functieomschrijving callcenter: volledige gids (
5. CALLCENTER: Betekenis, Diensten, Software & Training

Referenties 

• cybersecurityforme.com
• IBM
• CompTIA