PwC konstaterer, at mange mellemstore virksomheder fortsat ikke udnytter mulighederne i en AI-drevet SOC (Security Operations Center) på trods af en fordelagtig økonomi og forbedret sikkerhed ved at omlægge den traditionelle omkostningstunge SOC til en effektiv AI-drevet SOC. Dette kan både skyldes manglende kendskab til forskellige SOC-modeller, tillid til teknologien eller at man er bundet af et ufleksibelt aftalegrundlag med en SOC-udbyder.
Hvad er SOC (Security Operations Center)?
En SOC er en central funktion, der styrker organisationens cybersikkerhed ved at forebygge, opdage og reagere på trusler i realtid. Med avanceret teknologi som SIEM-systemer (Security Information and Event Management), XDR (Extended Detection and Response) og AI samt ekspertise fra fx sikkerhedsanalytikere overvåges identiteter, endpoints, servere, databaser, applikationer, netværk og andre kritiske systemer via en SOC.
De fleste SOC-funktioner opererer 24/7 og kan suppleres med et Global Security Operations Center (GSOC) for at håndtere globale trusler og koordinere indsatsen på tværs af lokale SOC'er.
Forskellige typer af SOC
Organisationer kan etablere deres SOC på flere måder, afhængigt af deres behov og ressourcer. En SOC kan fx være:
- Intern, med en fysisk placering i organisationens miljø.
- Virtuel, hvor personalet arbejder eksternt. Virtuelle SOC'er anvender ofte en kombination af fuldtidsansatte og kontraktansatte.
- Den mest udbredte SOC type blandt mellemstore virksomheder er en udliciteret SOC, også kaldet en Managed SOC eller en SOC as a Service. Her står en SOC service provider for opgaver som forebyggelse, detektion, undersøgelse og respons på trusler. Typisk har organisationen selv én intern tovholder, der løbende samarbejder med den pågældende SOC service provider. En af udfordringerne for mellemstore virksomheder er ofte, at tiltrække og fastholde profiler med de nødvendige kompetencer, samtidig med, at denne type profiler er omkostningstunge, hvorfor en Managed SOC ofte er den bedste løsning.
- En fjerde mulighed er en hybrid SOC, hvor organisationen kombinerer interne SOC analytikere med en ekstern SOC service provider.
Fordele ved en SOC
Stærkt og kontinuerligt sikkerhedsniveau
Cybersikkerhed er en konstant opgave, der kræver løbende overvågning, analyse og planlægning for at håndtere nye sikkerhedsrisici og teknologiske ændringer.
En SOC sikrer:
- Overvågning af sikkerhedsrisici 24/7.
- Optimering af processer og teknologier for at reducere risikoen for angreb.
- En proaktiv tilgang til sikkerhedsforbedringer.
Overholdelse af regler og lovgivning
For at opfylde kravene til databeskyttelse i brancher og lovgivninger som GDPR er det afgørende at have både de rette teknologier og processer på plads. En SOC hjælper med at:
- Holde systemer og processer opdateret i forhold til gældende regler.
- Håndtere sikkerhedsbrud og rapportere dem hurtigt og korrekt.
- Sikre, at data slettes eller håndteres korrekt i overensstemmelse med lovgivningen.
Hurtigere svar på sikkerhedshændelser
En SOC gør det muligt at opdage og reagere hurtigt på cyberangreb ved hjælp af:
- Samlet overvågning af trusler i realtid.
- Veldokumenterede procedurer for incident response.
- Erfarne SOC-analytikere, der minimerer skader og nedetid.
Dette reducerer risikoen for store databrud og de konsekvenser, det medfører.
Reducerede omkostninger ved cyberangreb
Cyberangreb kan være ekstremt dyre, både på grund af nedetid, tab af data og skade på virksomhedens omdømme. Med en SOC kan organisationer:
- Forebygge brud gennem avanceret trusselsdetektion.
- Reagere hurtigt og effektivt, hvilket minimerer omkostningerne ved hændelser.
- Genoprette normal drift hurtigere efter et angreb.
Hvad er en AI-drevet SOC?
AI-drevet SOC ændrer måden, man kan håndtere sine sikkerhedshændelser på. Traditionelt har SOC’er været afhængige af manuelle processer og menneskelige analytikere til at opdage og reagere på trusler. Med AI kan disse opgaver automatiseres, hvilket giver en mere effektiv og præcis håndtering af cyberhændelser.
AI-drevne SOC’er anvender machine learning og avancerede analyser til at gennemgå og korrelere store mængder data og identificere mønstre, som kan indikere trusler.
Det betyder, at systemer kan opdage både kendte og ukendte angreb, hvilket giver en hurtigere og mere præcis vurdering af risikoen. Desuden kan AI i realtid reagere på trusler ved at tage automatiserede beslutninger, som fx at isolere inficerede systemer eller blokere ondsindet trafik, hvilket minimerer skader og stopper trusler væsentligt hurtigere end mennesker er i stand til i en traditionel SOC.
En af de største fordele ved AI-drevet SOC er, at det frigør menneskelige ressourcer, så de kan fokusere på andre kerneopgaver, som kræver strategisk tænkning. Da den menneskelige ressource typisk også er det mest omkostningstunge element i en 24/7 SOC, så positionerer det også en AI-drevet SOC økonomisk fordelagtig. AI’s evne til at automatisere rutineopgaver, korrelere af alarmer og håndtere hændelser betyder, at SOC’er kan håndtere trusler hurtigere og mere effektivt – samtidig med at der opretholdes et højt sikkerhedsniveau og beskyttelse af kritiske systemer.
Fordelene ved en AI-drevet SOC
Selvom det kan virke enkelt i teorien at beskytte en organisation mod cybertrusler, kræver det i praksis avanceret ekspertise og de rette værktøjer til at håndtere de stadigt mere komplekse trusler. Mange virksomheder afsætter derfor store budgetposter til it-sikkerhed, men oplever stadig udfordringer med at håndtere de mange alarmer, der dagligt udløses i systemerne.
En AI-drevet SOC kan gøre en markant forskel. Ved at automatisere overvågningen kan en Managed SOC reagere hurtigere og mere præcist på trusler. Automatiseringen reducerer samtidig behovet for manuelle ressourcer, hvilket gør løsningen mere omkostningseffektiv.
“Ved at automatisere mange af de opgaver, der tidligere blev udført af SOC analytikere enten internt eller gennem en SOC service provider, kan mellemstore virksomheder spare en stor del af den traditionelle SOC udgift, uden at gå på kompromis med sikkerheden – Tværtimod blive bedre sikret til en bedre økonomi.”
Hvordan styrker en AI-drevet SOC identificeringen af cybertrusler?
Grundlæggende kombinerer teknologien automatisering, avancerede algoritmer og integration med eksisterende systemer. Dette muliggør indsamling og analyse af data fra hele virksomheden for at skabe et samlet overblik over sikkerhedssituationen.
Maskinerne er programmeret med specifikke regler og algoritmer, som hurtigt kan analysere store mængder data og logs. Det gør det muligt at identificere unormal adfærd, såsom "impossible travel"-scenarier, hvor en bruger logger ind fra to geografisk adskilte steder inden for kort tid – et muligt tegn på sikkerhedsbrist.
AI-drevet overvågning kan også forbedre reaktionen på trusler. Alarmer sorteres automatisk efter hvor kritisk alarmerne er, og mindre kritiske trusler håndteres af AI, som fx kan isolere en maskine eller lukke et endpoint for at forhindre skade. I kritiske tilfælde involveres virksomhedens sikkerhedsanalytikere, men AI sørger for, at de kun skal håndtere de vigtigste alarmer.
“Denne form for overvågning har tidligere været ufrivilligt forbeholdt de store virksomheder, da den har været for omkostningstung ift. licensstrukturer og har stillet for store krav til den omkringliggende infrastruktur og intellektuelle kapital. Med den rette sammensætning af AI-drevet security tech stacks, hjulpet på vej af en ekstern security partner med den rette tekniske tyngde og i tæt samspil med få interne ressourcer kan selv mindre organisationer nu få råd til samme høje sikkerhed, som før var forbeholdt de helt store organisationer,” forklarer Nithu Siva.
En anden fordel ved en AI-drevet SOC er skalerbarheden. Løsningen kan løbende tilpasses behovene, uden nødvendigvis at kræve større investeringer i infrastrukturen. På den måde bliver det muligt at optimere it-sikkerheden og samtidig sikre, at systemet kan følge med væksten.
Sådan hjælper PwC mellemstore kunder via AI-drevet SOC
PwC’s lokale og globale SOC-teams hjælper løbende mellemstore og større virksomheder med alt fra strategi, teknologi, licensforhandling- og sammensætning, implementering og løbende service. PwC udnytter derved den lokale og globale indsigt i trusselsbilledet til løbende at forbedre detection og respons procedurer. Det sikrer, at PwC’s Managed SOC service kontinuerligt er på forkant med nye trusler.
”Vi tager udgangspunkt i et ”as is” billede og bygger strategien op efter en fælles dialog med vores kunder omkring ambitionsniveau, økonomi og pragmatik. Sammen udarbejder vi en business case, der synliggør besparelser og fordele ved investeringen både operationelt, teknologisk og monetært. PwC’s eksistensberettigelse i den sammenhæng er ofte værdifuld, idet vi som organisation historisk har været effektive i at formidle teknologisk innovation i en forretningskontekst, der resonerer med C-level og bestyrelser.”
Gennem vores partnerskab med Palo Alto Networks får vores kunder adgang til avanceret sikkerhedsteknologi. PwC’s løsninger bygger bl.a. på Cortex XDR og PwC’s egen XSOAR platform, som giver fuldt overblik over, og korrelerer, trusler på tværs af netværk, endpoints, cloud, eksterne datakilder og dertil proaktivt isolerer og forhindrer angreb bl.a. via PwC’s playbooks og responsprocedurer.
Vores analytikere og eksperter opsætter overvågnings- og responsprocedurer, så løsningen tilpasses kundernes behov. Mindre alarmer håndteres automatisk, mens kritiske alarmer, defineret af både PwC og kunden, sendes videre til PwC, der håndterer hændelsen.
Webinarrække om cybersikkerhed
Få indsigt i nyeste tendenser, trusler og lovkrav samt praktiske værktøjer, der styrker it-sikkerheden.
Kontinuerlig og automatiseret overvågning og beskyttelse
PwC's Managed Security Operation (MSO) beskytter data og it-systemer mod cybertrusler vha. AI og automatisering.
