En SOC er kort for “Security Operations Center” på engelsk. Det er meget mere end en kontrolcentral, og en term vi bruger om den del der assisterer de maritime vagter (AMSG), og IT-infrastruktursikkerheden.

I SOCen sidder et team af analytikere, alarmbehandlere og it-folk, der laver risikoanalyser på hele organisationens kommende aktiviteter, og ser på it-infrastruktur, 24/7, for at detektere evt. cybersikkerhedshændelser i realtid og adressere dem så hurtigt og effektivt som muligt.

SOC er ansvarlig for udvælge, drive og vedligeholde organisationens cybersikkerhedsteknologier og løbende analysere trusselsdata for at finde måder at forbedre sikkerhedsdispositioner på alle aktiviteter.

SOCens aktiviteter og ansvar falder i tre overordnede kategorier:

1. Forberedelse, planlægning og forebyggelse;
2. Incident respons planlægning;
3. Regelmæssige tests der sikrer at vi altid er opdaterede.

Nogle af nøgleopgaverne udført af en SOC omfatter:

Aktivbeholdning:

En SOC skal have en udtømmende oversigt over alt, hvad der skal beskyttes. På IT-siden vil der være fokus på datacentret (f.eks. applikationer, databaser, servere, cloud-tjenester, slutpunkter osv.) og alle de værktøjer, der bruges til at beskytte datacentret (firewalls, antivirus/anti-malware/anti-ransomware værktøjer, overvågningssoftware osv.).

Rutinemæssig vedligeholdelse og forberedelse:

For at maksimere effektiviteten af sikkerhedsværktøjer og -foranstaltninger på plads, udfører SOC forebyggende vedligeholdelse, såsom at anvende softwarepatches og opgraderinger og løbende opdatere firewalls, hvidlister og sortlister samt sikkerhedspolitikker og -procedurer. SOC’et kan også oprette systembackups – eller hjælpe med at skabe backuppolitik eller -procedurer – for at sikre forretningskontinuitet i tilfælde af et databrud, ransomware-angreb eller anden cybersikkerhedshændelse.

Hændelsesresponsplanlægning: SOC er ansvarlig for at udvikle organisationens planer for modsvar og opretholdelse af driften i tilfælde af en hændelse – internt eller eksternt.

Vi holder os opdateret:

SOC holder sig opdateret om de nyeste sikkerhedsløsninger og -teknologier og om den seneste trusselsintelligens – nyheder og information om cyberangreb og de hackere, der begår dem, indsamlet fra sociale medier, lukkede kilder og det “dark web”.

En SOC og en Kontrolcentral er ikke det samme

I kontrolcentralen modtager og behandler vi alarmsignaler. Kontrolcentralen kan bruges til forskellige formål, herunder overvågning af sikkerhedssystemer, Alarmer (AIA), TV-OVervågning (TVO), overvågning af trafik og overvågning af bygninger og faciliteter.

Selvom SOC og kontrolcentraler kan have nogle overlap i deres ansvarsområder fx adgangskontrol (ADK), er de to forskellige. SOC fokuserer mere på analysen bagved og fremtidige trusler – herunder IT-trusler, mens kontrolcentralen fokuserer mere på her-og-nu situationer, sikkerhedssystemer og bygnings- og facilitetsovervågning.