Hva skjer egentlig i en SOC?
Hva skjer egentlig i et døgnbemannet overvåkningssenter under et dataangrep?
NetNordic SOC leverer kontinuerlig overvåking av virksomheters IT-miljøer – døgnet rundt, hele året. Men hva innebærer egentlig døgnkontinuerlig SOC-overvåking, og hvordan foregår arbeidet i praksis? Vi har tatt en prat med NetNordics sikkerhetsanalytikere, Riku Ihalin og Vivi Karlsson, om deres roller. De delte også et konkret eksempel på en reell sikkerhetshendelse – og hvordan den ble håndtert i NetNordic SOC.
Natt
NetNordic SOC er operativ døgnet rundt. Når dagskiftets sikkerhetsanalytikere avslutter arbeidsdagen, tar nattskiftet over ansvaret for den kontinuerlige overvåkingen av kundemiljøene. Nattetimene er ofte roligere, både i kundenes systemer og i selve SOC-en – men beredskapen er like høy.
Sikkerhetsanalytikernes hovedansvar er å overvåke cybersikkerhetshendelser og varsler i kundemiljøene via NetNordics egenutviklede overvåkingssystem. I tillegg håndterer de kundestøtte og sørger for grundig dokumentasjon – en viktig del av arbeidet som sikrer transparens og legger til rette for en sømløs overgang mellom skiftene.
Morgen
I løpet av dagen er kundevirksomhetene på sitt travleste, noe som betyr at antallet hendelser og varsler i SOC-overvåkingssystemet når en topp i kontortiden. Selv om de fleste cybersikkerhetshendelser er rutinemessige og ikke krever noen tiltak, eskalerer og undersøker analytikerne alt som avviker fra normalen. Teamarbeid er avgjørende, og kollegene er alltid klare til å hjelpe til når det trengs.
NetNordics SOC-team består av mer enn bare sikkerhetsanalytikere. Det inkluderer også Threat Intelligence Analysts, som spesialiserer seg på å identifisere trusseltrender, samt eksperter innen trusseljakt og sårbarhetskartlegging i kundemiljøene. Sammen jobber de for å styrke cybersikkerheten og sikre proaktiv beskyttelse mot trusler.
Dagtid
I løpet av dagskiftet utarbeider analytikerne ulike rapporter og opprettholder jevnlig dialog med kundene gjennom månedlige møter. Rapportering er en sentral del av NetNordic SOC-tjenesten, der samarbeidet med kundene står i fokus for kontinuerlig forbedring. Skriftlig kommunikasjon har høy prioritet – i stedet for å benytte automatisk genererte tekster, utarbeider analytikerne selv grundige og detaljerte analyser for hver enkelt sak.
Kveld
Når dagskiftet avsluttes, senker roen seg i SOC, og nattskiftet tar over overvåkingen av cybersikkerhetshendelser med samme presisjon som dagteamet. Selv om aktiviteten ofte er lavere om kvelden og natten, er hendelsene som oppstår gjerne mer uvanlige og krever grundigere undersøkelser og dypere analyser.
SOC-enhetens primære rolle er overvåking, men ved kritiske hendelser iverksettes umiddelbare tiltak. Analytikerne tar da direkte kontakt med kunden – som regel via telefon – for å sikre rask respons og unngå forsinkelser som kan oppstå ved e-postvarsler. Denne proaktive tilnærmingen gjør det mulig å begrense situasjonen effektivt før den eskalerer.
Sak om dataangrep: Phishing-e-post
Det er en helt vanlig dag i SOC-teamet når de oppdager noe uvanlig: Et varsel indikerer en innlogging fra et uvanlig sted – noen har logget seg inn i miljøet til et finskbasert selskap fra andre siden av kloden. Innloggingen er så uvanlig at SOC-teamet varsler kunden ved å opprette en ticket. Kort tid etter dukker det opp flere mistenkelige hendelser i kundens system. Akkurat idet teamet er i ferd med å ringe kunden, ringer kunden dem – noe er åpenbart galt.
Det viser seg at en av kundens ansatte ubevisst har lagt inn påloggingsinformasjonen sin i en phishing-e-post. Ved hjelp av disse opplysningene får angriperen tilgang til kundens miljø, hvor vedkommende går gjennom dokumenter og sender tusenvis av phishing-e-poster fra den ansattes konto. Phishing-e-poster som sendes fra bedriftens offisielle adresse, er naturligvis mer overbevisende, noe som øker risikoen for omfattende skade.
SOC-teamet griper umiddelbart inn og endrer passordet til den kompromitterte kontoen for å blokkere angriperen. I mellomtiden sletter andre teammedlemmer de utsendte phishing-e-postene og overvåker påloggingsaktivitetene i tilfelle noen allerede har svart på de falske meldingene. Takket være teamets raske respons blir situasjonen raskt under kontroll, og den mistenkelige innloggingsaktiviteten avtar. Den forsterkede overvåkingen fortsetter gjennom natten og helgen.
Forebygging og proaktiv respons er nøkkelen
Det viser seg senere at dette angrepet var en del av en større phishing-kampanje. Takket være SOC-teamets årvåkenhet ble angrepet stoppet på et tidlig stadium. Hadde det ikke blitt oppdaget, kunne skadeomfanget blitt betydelig større. Legitimasjonsopplysninger som er innhentet gjennom phishing, blir ofte solgt til andre cyberkriminelle, noe som betyr at et uoppdaget angrep kan dukke opp igjen mye senere.
NetNordics SOC-drift prioriterer forebygging og styrking av sikkerhetstiltak, og derfor er kritiske hendelser som dette sjeldne. Med rask respons og omfattende overvåking kan NetNordics SOC-kunder være trygge på at cybersikkerheten deres er i eksperthender døgnet rundt, hele året.
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
Den største sikkerhetstrusselen er usynlig!
Hvorfor er sikkerhetskopiering og gjenoppretting av data et viktig tema i dagens samfunn?
DET VIKTIGE HAMSKIFTET- om implementering av teknologi i helse- og omsorgsektoren.
Kontakt Oss
Ring oss gjerne direkte på vårt telefonnummer +47 67 247 365, send oss ​​en epost sales.no@netnordic.com, eller fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!
