자산 인벤토리. SOC는 데이터 센터 내부 또는 외부(예: 애플리케이션, 데이터베이스, 서버, 클라우드 서비스, 엔드포인트 등)에서 보호해야 하는 모든 항목과 이들을 보호하는 데 사용되는 모든 도구(방화벽, 바이러스 백신/멀웨어 방지/랜섬웨어 방지 도구, 모니터링 소프트웨어 등)의 전체 인벤토리를 유지관리해야 합니다. 많은 SOC에서 이러한 유지관리에 자산 검색 솔루션을 사용합니다.

일상적인 유지관리 및 준비. SOC는 보안 도구 및 조치의 효율성을 극대화하기 위해 소프트웨어 패치 및 업그레이드를 적용하고 방화벽, 허용 목록과 블랙리스트, 보안 정책 및 절차를 지속적으로 업데이트하는 등 예방적 유지보수를 수행합니다. SOC는 또한 데이터 유출, 랜섬웨어 공격 또는 기타 사이버 보안 인시던트가 발생할 경우 비즈니스 연속성을 보장하기 위해 시스템 백업을 생성하거나 백업 정책 또는 절차를 생성하는 데 도움을 줄 수 있습니다.

인시던트 대응 계획. SOC는 위협이나 인시던트 발생 시 활동, 역할, 책임을 정의하는 조직의 인시던트 대응 계획과 인시던트 대응의 성과를 측정하는 지표 개발을 담당합니다.

정기적 테스트. SOC 팀은 잠재적 위협에 대한 각 리소스의 취약성과 관련 비용을 파악하는 종합적인 평가인 취약성 평가를 수행합니다. 또한 하나 이상의 시스템에 대한 특정 공격을 시뮬레이션하는 침투 테스트를 수행합니다. 팀은 이러한 테스트의 결과를 기반으로 애플리케이션, 보안 정책, 베스트 프랙티스 및 인시던트 대응 계획을 수정하거나 미세 조정합니다.

최신 정보 공유. SOC는 소셜 미디어, 업계 자료 및 다크 웹에서 수집한 최신 보안 솔루션 및 기술, 최신 위협 인텔리전스(사이버 공격 및 관련 해커에 대한 뉴스와 정보)에 대한 정보를 최신 상태로 유지합니다.

24시간 상시 보안 모니터링. SOC는 확장된 전체 IT 인프라(애플리케이션, 서버, 시스템, 소프트웨어, 컴퓨팅 디바이스, 클라우드 워크로드, 네트워크)를 연중무휴 24시간 모니터링하여 알려진 익스플로잇 징후와 의심스러운 활동이 있는지 확인합니다.

많은 SOC에서 핵심 모니터링, 감지 및 대응 기술로  보안 정보 및 이벤트 관리(SIEM)를 사용해 왔습니다. SIEM은 네트워크 상의 소프트웨어 및 하드웨어에서 실시간으로 경고와 원격 측정을 모니터링하고 집계한 다음 데이터를 분석하여 잠재적 위협을 식별합니다. 최근 들어서 일부 SOC에서는 보다 상세한 원격 측정 및 모니터링, 그리고 인시던트 감지 및 대응의 자동화 기술을 제공하는 확장형 감지 및 대응(XDR) 기술도 채택했습니다.

로그 관리. 모든 네트워크 이벤트에 의해 생성된 로그 데이터를 수집하고 분석하는 로그 관리는 자체 범주로 구분될 만큼 충분히 중요한 모니터링의 서브세트입니다. 대부분의 IT 부서가 로그 데이터를 수집하지만 정상 활동이나 기준 활동을 설정하고 의심스러운 활동을 나타내는 이상치를 밝히려면 분석이 필요합니다. 실제로 많은 해커들은 기업이 로그 데이터를 항상 분석하지 않는다고 확신하므로, 이로 인해 바이러스와 멀웨어가 피해자의 시스템에서 몇 주 또는 몇 달 동안 감지되지 않고 실행될 수 있습니다. 대부분의 SIEM 솔루션에는 로그 관리 기능이 포함되어 있습니다.

위협 감지. SOC 팀은 노이즈와 신호를 구분(실제 사이버 위협 및 해커 익스플로잇의 표시와 거짓양성 구분)한 다음 심각도별로 위협을 분류합니다. 최신 SIEM 솔루션에는 이러한 프로세스를 자동화하는 인공지능(AI)이 포함되어 있으며, 시간이 지남에 따라 의심스러운 활동을 더 잘 찾아내기 위해 데이터에서 '학습'합니다.

인시던트 대응. SOC는 위협이나 실제 인시던트에 대응하여 피해를 제한하는 방향으로 전환합니다. 이러한 작업에는 다음이 포함될 수 있습니다.

• 근본 원인 조사. 해커에게 시스템 액세스 권한을 부여한 기술적 취약성과 인시던트의 원인이 된 기타 요인(예: 잘못된 비밀번호 정제화 또는 잘못된 정책 시행)을 확인합니다.

• 손상된 엔드포인트를 종료하거나 네트워크에서 연결 해제

• 네트워크의 손상된 영역을 격리하거나 네트워크 트래픽을 다시 라우팅

• 손상된 애플리케이션 또는 프로세스 일시 중지 또는 중지

• 손상되거나 감염된 파일 삭제

• 바이러스 백신 또는 멀웨어 방지 소프트웨어 실행

• 내부 및 외부 사용자의 암호 폐기

많은 XDR 솔루션을 통해 SOC는 인시던트 대응을 자동화하고 가속화할 수 있습니다.

복구 및 수정. 인시던트가 억제되면 SOC는 위협을 근절한 다음 영향을 받은 자산을 인시던트 이전의 상태로 되돌리는 작업을 수행합니다(예: 디스크, 최종 사용자 디바이스 및 기타 엔드포인트의 초기화/복원/재연결, 네트워크 트래픽 복원, 애플리케이션 및 프로세스의 재시작). 데이터 유출 또는 랜섬웨어 공격이 발생하는 경우 복구에는 백업 시스템으로 전환하고 비밀번호 및 인증 정보를 재설정하는 작업도 포함될 수 있습니다.

사후 분석 및 세분화. 재발 방지를 위해 SOC는 인시던트에서 얻은 새로운 인텔리전스를 사용하여 취약성을 효과적으로 해결하고, 프로세스 및 정책을 업데이트하고, 새로운 사이버 보안 도구를 선택하거나, 인시던트 대응 계획을 수정합니다. 상위 수준에서 SOC 팀은 해당 인시던트가 팀이 대비해야 하는 새로운 또는 변화하는 사이버 보안 추세를 나타내는지를 알아내려고 할 수 있습니다.

규정 준수. 모든 애플리케이션, 시스템, 보안 도구 및 프로세스가 GDPR(Global Data Protection Regulation), CCPA(California Consumer Privacy Act), PCI DSS(Payment Card Industry Data Security Standard) 및 HIPAA(Health Insurance Portability and Accountability Act) 등의 개인정보 보호 규정을 준수하도록 보장하는 것이 SOC의 직무입니다. 인시던트 발생 후 SOC는 사용자, 규제 기관, 법 집행 기관 및 기타 당사자가 규정에 따라 알림을 받고 증빙 및 감사를 위해 필요한 인시던트 데이터를 보관하는지 확인합니다.