What Is a Security Operations Center and Why It Matters
A Security Operation Center (SOC) is a centralized function within a company that leverages IT security people, processes, and technology to monitor and improve an organization’s security while preventing, detecting, analyzing, and responding to cybersecurity incidents.
Today’s SOC is essentially the hub that collects log data from across an organization’s IT infrastructure, including its networks, devices, appliances, and databases and other IT assets across geographies. The increase of advanced cyber threats makes collecting data from diverse sources critical, as each piece of data may provide insight into malicious behavior on the network.
Most SOCs, unfortunately, have difficulty keeping cybercriminals—even the unsophisticated ones—out of the organization. SOC analysts and other IT Security professionals are defending against complex and constantly evolving malware, nation-states with hundreds of hackers, insider threats, and poorly trained employees who fall prey to phishing attacks.
As we consistently hear in the IT security industry, criminals need to find only one way in while the good guys in the SOC must defend countless ways in, limit damage, and most difficult of all, find and remove the malware or malicious code that infiltrated the systems.
In this blog, we’ll explore the qualities and functions of a SOC as well as how organizations can leverage these teams to increase their security maturity.
Defining a Security Operation Center
Fundamentally, the responsibility of the SOC is to defend against unauthorized activity within computer networks, including continuously monitoring activity, threat detection, threat analysis (such as trend and pattern analysis), and response and remediation responsibilities. However, the SOC, particularly incident response professionals and teams, have gone by a variety of titles and acronyms.
Let’s review:
The SOC is usually led by a SOC manager and may include incident responders, SOC Analysts (levels 1, 2 and 3), threat hunters, and incident response managers. The SOC reports to the CISO, who in turn reports to either the CIO or directly to the CEO.
SOCs are constantly evolving to deal with changes in the threat landscape, including:
Hub and Spoke Architecture of the Modern SOC
Today, SOCs are built around a hub-and-spoke architecture, where Security Information and Event Management (SIEM) technology aggregates and correlates log and other data from assets and threat intelligence feeds.
The spokes of this model include a variety of technologies, including
What are the Day to Day Responsibilities of an SOC?
A typical SOC’s responsibilities include the following tasks or elements:
Of these responsibilities, the most time-consuming is the collection, normalization, and analysis of data. Logs, threat intelligence feeds, and other security-related data often overwhelm the security analysts in the SOC as they collect, analyze, and archive tens or hundreds of millions of security events per day.
There are thousands of false alarm events for every legitimate incident. Further, all data breaches are security incidents, but not all security incidents are data breaches. For every breach there are typically hundreds of incidents. For every incident, there are thousands of events. In addition, Firewalls, IDS/IPS and SIEM’s are noisy, meaning they are constantly alerting analysts of security events which analysts must investigate to rule out an incident.
How SOC Analysts Respond to Incidents
Let’s explore a hypothetical.
Suppose the SIEM fires off an alert that someone is trying to access a system or application that they shouldn’t be accessing. At that point, the alert becomes an event. The SOC analyst will investigate the event, trying to determine whether the act was malicious. If the analyst thinks that the IP address is suspicious, or they believe they may be under attack, the system will likely escalate the incident to a higher tier analyst or the incident response team.
Now, as we said earlier, SOC’s investigate many incidents, so they are reluctant to impose countermeasures immediately, because there are usually negative consequences, including:
Further, Watching the adversary is sometimes more effective than performing static forensic analysis on compromised systems. There are a variety of attacks, so analysts will need to gather basic information to understand the threat. Knowing whether there are suspicious entries in the network, excessive login attempts, unexplained new user accounts, or unexpected new files determines how the team should respond.
###################
Qu'est-ce qu'un SOC et pourquoi est-ce crucial pour la sécurité ?
Un centre opérationnel de sécurité (SOC) est une fonction centralisée au sein d'une entreprise qui s'appuie sur le personnel, les processus et la technologie de la sécurité informatique pour surveiller et améliorer la sécurité d'une organisation tout en prévenant, détectant, analysant et répondant aux incidents de cybersécurité.
Aujourd'hui, le SOC est essentiellement la plaque tournante qui recueille les données de connexion de l'ensemble de l'infrastructure informatique d'une organisation, y compris ses réseaux, ses dispositifs, ses appareils, ses bases de données et d'autres actifs informatiques dans toutes les régions du monde. L'augmentation des cybermenaces avancées rend critique la collecte de données provenant de diverses sources, car chaque élément de données peut fournir un aperçu des comportements malveillants sur le réseau.
Malheureusement, la plupart des SOC ont du mal à empêcher les cybercriminels, même les moins avertis, d'entrer dans l'entreprise. Les analystes SOC et les autres professionnels de la sécurité informatique doivent se défendre contre des logiciels malveillants complexes et en constante évolution, contre des États-nations disposant de centaines de pirates, contre des menaces internes et contre des employés mal formés qui sont la proie d'attaques par hameçonnage.
Comme nous l'entendons régulièrement dans le secteur de la sécurité informatique, les criminels ne doivent trouver qu'un seul moyen d'entrer, tandis que les bons éléments du SOC doivent défendre d'innombrables moyens d'entrer, limiter les dommages et, plus difficile encore, trouver et supprimer le logiciel malveillant ou le code malveillant qui s'est infiltré dans les systèmes.
Dans ce blog, nous allons explorer les qualités et les fonctions d'un SOC ainsi que la façon dont les organisations peuvent tirer parti de ces équipes pour accroître leur maturité en matière de sécurité.
Définition d'un centre opérationnel de sécurité
Fondamentalement, la responsabilité du SOC est de se défendre contre les activités non autorisées au sein des réseaux informatiques, y compris la surveillance continue de l'activité, la détection des menaces, l'analyse des menaces (telle que l'analyse des tendances et des modèles), et les responsabilités de réponse et de remédiation. Cependant, le SOC, en particulier les professionnels et les équipes de réponse aux incidents, a connu toute une série de titres et d'acronymes.
Passons-les en revue :
Le SOC est généralement dirigé par un responsable SOC et peut comprendre des répondeurs aux incidents, des analystes SOC (niveaux 1, 2 et 3), des chasseurs de menaces et des responsables de la réponse aux incidents. Le SOC rend compte au CISO, qui à son tour rend compte au CIO ou directement au CEO.
Les SOC sont en constante évolution pour faire face aux changements dans le paysage des menaces, notamment :
L'architecture en étoile du SOC moderne
Aujourd'hui, les SOC s'articulent autour d'une architecture en étoile, dans laquelle la technologie de gestion des informations et des événements de sécurité (SIEM) regroupe et met en corrélation les journaux et autres données provenant des actifs et des flux de renseignements sur les menaces.
Les rayons de ce modèle comprennent une variété de technologies, notamment
Quelles sont les responsabilités quotidiennes d'un SOC ?
Les responsabilités d'un SOC typique comprennent les tâches ou les éléments suivants :
Parmi ces responsabilités, la collecte, la normalisation et l'analyse des données sont celles qui prennent le plus de temps. Les journaux, les flux de renseignements sur les menaces et les autres données liées à la sécurité submergent souvent les analystes de sécurité du SOC, qui collectent, analysent et archivent des dizaines ou des centaines de millions d'événements de sécurité par jour.
Pour chaque incident légitime, il y a des milliers de fausses alarmes. En outre, toutes les violations de données sont des incidents de sécurité, mais tous les incidents de sécurité ne sont pas des violations de données. Pour chaque violation, il y a généralement des centaines d'incidents. Pour chaque incident, il y a des milliers d'événements. En outre, les pare-feu, les IDS/IPS et les SIEM sont bruyants, ce qui signifie qu'ils alertent constamment les analystes sur des événements de sécurité que ces derniers doivent examiner pour écarter la possibilité d'un incident.
Comment les analystes SOC réagissent aux incidents
Explorons une hypothèse.
Supposons que le SIEM émette une alerte indiquant que quelqu'un essaie d'accéder à un système ou à une application auquel il ne devrait pas avoir accès. L'alerte devient alors un événement. L'analyste SOC va enquêter sur l'événement, en essayant de déterminer si l'acte était malveillant. Si l'analyste estime que l'adresse IP est suspecte ou qu'il pense être attaqué, le système transmettra probablement l'incident à un analyste de niveau supérieur ou à l'équipe de réponse aux incidents.
Comme nous l'avons dit précédemment, les SOC enquêtent sur de nombreux incidents et sont donc réticents à imposer des contre-mesures immédiatement, car il y a généralement des conséquences négatives, notamment :
En outre, il est parfois plus efficace de surveiller l'adversaire que d'effectuer une analyse statique des systèmes compromis. Comme il existe une grande variété d'attaques, les analystes devront recueillir des informations de base pour comprendre la menace. Savoir s'il y a des entrées suspectes dans le réseau, des tentatives de connexion excessives, de nouveaux comptes d'utilisateurs inexpliqués ou de nouveaux fichiers inattendus détermine la manière dont l'équipe doit réagir.