What Is a Security Operations Center and Why It Matters

What Is a Security Operations Center and Why It Matters

A Security Operation Center (SOC) is a centralized function within a company that leverages IT security people, processes, and technology to monitor and improve an organization’s security while preventing, detecting, analyzing, and responding to cybersecurity incidents.

Today’s SOC is essentially the hub that collects log data from across an organization’s IT infrastructure, including its networks, devices, appliances, and databases and other IT assets across geographies. The increase of advanced cyber threats makes collecting data from diverse sources critical, as each piece of data may provide insight into malicious behavior on the network.

Most SOCs, unfortunately, have difficulty keeping cybercriminals—even the unsophisticated ones—out of the organization. SOC analysts and other IT Security professionals are defending against complex and constantly evolving malware, nation-states with hundreds of hackers, insider threats, and poorly trained employees who fall prey to phishing attacks.

As we consistently hear in the IT security industry, criminals need to find only one way in while the good guys in the SOC must defend countless ways in, limit damage, and most difficult of all, find and remove the malware or malicious code that infiltrated the systems.

In this blog, we’ll explore the qualities and functions of a SOC as well as how organizations can leverage these teams to increase their security maturity. 

Defining a Security Operation Center

Fundamentally, the responsibility of the SOC is to defend against unauthorized activity within computer networks, including continuously monitoring activity, threat detection, threat analysis (such as trend and pattern analysis), and response and remediation responsibilities. However, the SOC, particularly incident response professionals and teams, have gone by a variety of titles and acronyms.

Let’s review:

  • Security Operations Center (SOC)
  • Cybersecurity Operations Center (CSOC)
  • Computer Security Incident Response Team (CSIRT)
  • Computer Incident Response Team (CIRT)
  • Computer Incident Response Center (CIRC)
  • Computer Security Incident Response Center (CSIRC)
  • Computer Emergency Response Team (CERT)

The SOC is usually led by a SOC manager and may include incident responders, SOC Analysts (levels 1, 2 and 3), threat hunters, and incident response managers. The SOC reports to the CISO, who in turn reports to either the CIO or directly to the CEO.

SOCs are constantly evolving to deal with changes in the threat landscape, including:

  • The rise of advanced persistent threat (APT’s) and the evolution in the cybercriminal’s tactics, techniques, and procedures (TTPs)
  • The organization’s shift to IT consolidation and the cloud
  • The massive growth of mobile and BYOD which blur the defense borders for the IT security organization
  • The transition from the cybercriminals use of network-based buffer overflow attacks to client-side attacks or website attacks
  • The lack of qualified personnel and often budget for the SOC to meet achieve its mission

Hub and Spoke Architecture of the Modern SOC

Today, SOCs are built around a hub-and-spoke architecture, where Security Information and Event Management (SIEM) technology aggregates and correlates log and other data from assets and threat intelligence feeds. 

The spokes of this model include a variety of technologies, including

  • Vulnerability scanning and assessment solutions
  • Governance, risk and compliance (GRC) systems for compliance management
  • Application and database scanners
  • Intrusion detection and prevention systems (IDS/IPS)
  • Firewalls or next-gen firewalls (NGFW)
  • User and entity behavior analytics (UEBA)
  • Endpoint detection and remediation (EDR)
  • Threat intelligence platforms (TIP). 

What are the Day to Day Responsibilities of an SOC?

A typical SOC’s responsibilities include the following tasks or elements:

  • Operating security tools, including the SIEM, IDS/IPS, EDR, TIP’s, and many other new security technologies.
  • Prevention of security incidents through proactive threat analysis, network and host scanning for system and software vulnerabilities, countermeasure deployment coordination, security policy and architecture consulting
  • Monitoring, detection, and analysis of potential intrusions in real-time using historical baselining and trending on security log and other security data
  • Incident response through coordinating resources and directing the use of timely and appropriate countermeasures
  • Providing situational awareness and reporting on cybersecurity status, incidents, and trends in adversary behavior to appropriate organizations

Of these responsibilities, the most time-consuming is the collection, normalization, and analysis of data. Logs, threat intelligence feeds, and other security-related data often overwhelm the security analysts in the SOC as they collect, analyze, and archive tens or hundreds of millions of security events per day. 

There are thousands of false alarm events for every legitimate incident. Further, all data breaches are security incidents, but not all security incidents are data breaches. For every breach there are typically hundreds of incidents. For every incident, there are thousands of events. In addition, Firewalls, IDS/IPS and SIEM’s are noisy, meaning they are constantly alerting analysts of security events which analysts must investigate to rule out an incident. 

How SOC Analysts Respond to Incidents

Let’s explore a hypothetical.

Suppose the SIEM fires off an alert that someone is trying to access a system or application that they shouldn’t be accessing. At that point, the alert becomes an event. The SOC analyst will investigate the event, trying to determine whether the act was malicious. If the analyst thinks that the IP address is suspicious, or they believe they may be under attack, the system will likely escalate the incident to a higher tier analyst or the incident response team.

Now, as we said earlier, SOC’s investigate many incidents, so they are reluctant to impose countermeasures immediately, because there are usually negative consequences, including:

  • Blocking benign activity may impact legitimate business
  • Overreacting to an attack could lose forensic evidence by disconnecting communication or shutting down target equipment
  • Countermeasures may alert the attacker who will then try and cover their tracks. This makes it harder to understand the extent and severity of the attack
  • A response action could impact an organization’s mission more than the incident itself

Further, Watching the adversary is sometimes more effective than performing static forensic analysis on compromised systems. There are a variety of attacks, so analysts will need to gather basic information to understand the threat. Knowing whether there are suspicious entries in the network, excessive login attempts, unexplained new user accounts, or unexpected new files determines how the team should respond.

Learn how to improve the effectiveness of your SOC in the full article.

###################

Qu'est-ce qu'un SOC et pourquoi est-ce crucial pour la sécurité ?

Un centre opérationnel de sécurité (SOC) est une fonction centralisée au sein d'une entreprise qui s'appuie sur le personnel, les processus et la technologie de la sécurité informatique pour surveiller et améliorer la sécurité d'une organisation tout en prévenant, détectant, analysant et répondant aux incidents de cybersécurité.

Aujourd'hui, le SOC est essentiellement la plaque tournante qui recueille les données de connexion de l'ensemble de l'infrastructure informatique d'une organisation, y compris ses réseaux, ses dispositifs, ses appareils, ses bases de données et d'autres actifs informatiques dans toutes les régions du monde. L'augmentation des cybermenaces avancées rend critique la collecte de données provenant de diverses sources, car chaque élément de données peut fournir un aperçu des comportements malveillants sur le réseau.

Malheureusement, la plupart des SOC ont du mal à empêcher les cybercriminels, même les moins avertis, d'entrer dans l'entreprise. Les analystes SOC et les autres professionnels de la sécurité informatique doivent se défendre contre des logiciels malveillants complexes et en constante évolution, contre des États-nations disposant de centaines de pirates, contre des menaces internes et contre des employés mal formés qui sont la proie d'attaques par hameçonnage.

Comme nous l'entendons régulièrement dans le secteur de la sécurité informatique, les criminels ne doivent trouver qu'un seul moyen d'entrer, tandis que les bons éléments du SOC doivent défendre d'innombrables moyens d'entrer, limiter les dommages et, plus difficile encore, trouver et supprimer le logiciel malveillant ou le code malveillant qui s'est infiltré dans les systèmes.

Dans ce blog, nous allons explorer les qualités et les fonctions d'un SOC ainsi que la façon dont les organisations peuvent tirer parti de ces équipes pour accroître leur maturité en matière de sécurité.

Définition d'un centre opérationnel de sécurité

Fondamentalement, la responsabilité du SOC est de se défendre contre les activités non autorisées au sein des réseaux informatiques, y compris la surveillance continue de l'activité, la détection des menaces, l'analyse des menaces (telle que l'analyse des tendances et des modèles), et les responsabilités de réponse et de remédiation. Cependant, le SOC, en particulier les professionnels et les équipes de réponse aux incidents, a connu toute une série de titres et d'acronymes.

Passons-les en revue :

  • Centre d'opérations de sécurité (SOC)
  • Centre d'opérations de cybersécurité (CSOC)
  • Équipe de réponse aux incidents de sécurité informatique (CSIRT)
  • Équipe de réponse aux incidents informatiques (CIRT)
  • Centre de réponse aux incidents informatiques (CIRC)
  • Centre de réponse aux incidents de sécurité informatique (CSIRC)
  • Équipe d'intervention en cas d'urgence informatique (CERT)

Le SOC est généralement dirigé par un responsable SOC et peut comprendre des répondeurs aux incidents, des analystes SOC (niveaux 1, 2 et 3), des chasseurs de menaces et des responsables de la réponse aux incidents. Le SOC rend compte au CISO, qui à son tour rend compte au CIO ou directement au CEO.

Les SOC sont en constante évolution pour faire face aux changements dans le paysage des menaces, notamment :

  • la montée des menaces persistantes avancées (APT) et l'évolution des tactiques, techniques et procédures (TTP) des cybercriminels
  • le passage de l'organisation à la consolidation informatique et à l'informatique en nuage
  • La croissance massive du mobile et du BYOD qui brouille les frontières de la défense pour l'organisation de la sécurité informatique.
  • la transition des attaques par débordement de mémoire tampon basées sur le réseau vers des attaques côté client ou des attaques de sites web, utilisées par les cybercriminels
  • Le manque de personnel qualifié et souvent de budget pour que le SOC puisse remplir sa mission.

L'architecture en étoile du SOC moderne

Aujourd'hui, les SOC s'articulent autour d'une architecture en étoile, dans laquelle la technologie de gestion des informations et des événements de sécurité (SIEM) regroupe et met en corrélation les journaux et autres données provenant des actifs et des flux de renseignements sur les menaces.

Les rayons de ce modèle comprennent une variété de technologies, notamment

  • les solutions d'analyse et d'évaluation des vulnérabilités
  • les systèmes de gouvernance, de risque et de conformité (GRC) pour la gestion de la conformité
  • les scanners d'applications et de bases de données
  • les systèmes de détection et de prévention des intrusions (IDS/IPS)
  • les pare-feu ou les pare-feu de nouvelle génération (NGFW)
  • Analyse du comportement des utilisateurs et des entités (UEBA)
  • Détection et remédiation des points d'extrémité (EDR)
  • plateformes de renseignement sur les menaces (TIP).

Quelles sont les responsabilités quotidiennes d'un SOC ?

Les responsabilités d'un SOC typique comprennent les tâches ou les éléments suivants :

  • Exploitation des outils de sécurité, y compris le SIEM, l'IDS/IPS, l'EDR, les TIP et de nombreuses autres nouvelles technologies de sécurité.
  • Prévention des incidents de sécurité grâce à une analyse proactive des menaces, une analyse du réseau et de l'hôte pour détecter les vulnérabilités des systèmes et des logiciels, une coordination du déploiement des contre-mesures, des conseils en matière de politique et d'architecture de sécurité
  • Surveillance, détection et analyse des intrusions potentielles en temps réel à l'aide de l'historique et des tendances des journaux de sécurité et d'autres données de sécurité.
  • Réponse aux incidents en coordonnant les ressources et en dirigeant l'utilisation de contre-mesures opportunes et appropriées.
  • Fournir une connaissance de la situation et des rapports sur l'état de la cybersécurité, les incidents et les tendances dans le comportement des adversaires aux organisations appropriées.

Parmi ces responsabilités, la collecte, la normalisation et l'analyse des données sont celles qui prennent le plus de temps. Les journaux, les flux de renseignements sur les menaces et les autres données liées à la sécurité submergent souvent les analystes de sécurité du SOC, qui collectent, analysent et archivent des dizaines ou des centaines de millions d'événements de sécurité par jour.

Pour chaque incident légitime, il y a des milliers de fausses alarmes. En outre, toutes les violations de données sont des incidents de sécurité, mais tous les incidents de sécurité ne sont pas des violations de données. Pour chaque violation, il y a généralement des centaines d'incidents. Pour chaque incident, il y a des milliers d'événements. En outre, les pare-feu, les IDS/IPS et les SIEM sont bruyants, ce qui signifie qu'ils alertent constamment les analystes sur des événements de sécurité que ces derniers doivent examiner pour écarter la possibilité d'un incident.

Comment les analystes SOC réagissent aux incidents

Explorons une hypothèse.

Supposons que le SIEM émette une alerte indiquant que quelqu'un essaie d'accéder à un système ou à une application auquel il ne devrait pas avoir accès. L'alerte devient alors un événement. L'analyste SOC va enquêter sur l'événement, en essayant de déterminer si l'acte était malveillant. Si l'analyste estime que l'adresse IP est suspecte ou qu'il pense être attaqué, le système transmettra probablement l'incident à un analyste de niveau supérieur ou à l'équipe de réponse aux incidents.

Comme nous l'avons dit précédemment, les SOC enquêtent sur de nombreux incidents et sont donc réticents à imposer des contre-mesures immédiatement, car il y a généralement des conséquences négatives, notamment :

  • Le blocage d'une activité bénigne peut avoir un impact sur les activités légitimes
  • Une réaction excessive à une attaque peut entraîner la perte de preuves médico-légales en déconnectant la communication ou en arrêtant l'équipement cible.
  • Les contre-mesures peuvent alerter l'attaquant qui tentera alors de brouiller les pistes. Il est alors plus difficile de comprendre l'étendue et la gravité de l'attaque.
  • Une action de réponse peut avoir un impact sur la mission d'une organisation plus important que l'incident lui-même.

En outre, il est parfois plus efficace de surveiller l'adversaire que d'effectuer une analyse statique des systèmes compromis. Comme il existe une grande variété d'attaques, les analystes devront recueillir des informations de base pour comprendre la menace. Savoir s'il y a des entrées suspectes dans le réseau, des tentatives de connexion excessives, de nouveaux comptes d'utilisateurs inexpliqués ou de nouveaux fichiers inattendus détermine la manière dont l'équipe doit réagir.

Découvrez comment améliorer l’efficacité de votre SOC dans l’article complet.

To view or add a comment, sign in

Others also viewed

Explore topics