IZGRADNJA SOC-a (1/4): Zašto nam treba SOC – i kako početi

Kako nam oktobar, Mjesec cyber sigurnosti, odmiče, želimo iskoristiti priliku da otvorimo seriju tekstova o temi koja se sve češće spominje, ali rijetko konkretno objašnjava – izgradnji Security Operations Centra (SOC-a). U narednim sedmicama, kroz nekoliko objava, predstavit ćemo kako se SOC može postaviti korak po korak – i to korištenjem open-source alata, realno dostupnih resursa i lokalnog znanja.

Šta je SOC i zašto nam treba

Security Operations Centar (SOC) je srce svake ozbiljne kibernetičke odbrane. Njegov zadatak nije samo „gledanje logova“ – već kontinuirano praćenje, otkrivanje i reagovanje na prijetnje u realnom vremenu. U kontekstu organizacija u Bosni i Hercegovini – od akademskih institucija i medija do malih i srednjih preduzeća – SOC predstavlja ključni korak ka sistemskoj otpornosti i ispunjavanju obaveza iz propisa kao što su NIS2 i GDPR (član 32).

Realnost u BiH: ograničeni resursi, ali i veliki potencijal

U BiH još uvijek ne postoji nacionalni okvir koji bi osigurao centralizovano praćenje sigurnosnih incidenata. Međutim, to ne znači da je izgradnja SOC-a nemoguća. Naprotiv – open-source ekosistem danas omogućava pokretanje funkcionalnog SOC-a s minimalnim budžetom. Potrebni su prije svega ljudi, procesi i dobra arhitektura.

Upravo tu se CSEC pozicionira kao most između tehnologije, zajednice i prakse.

Naši postojeći resursi – DecoyNet honeypot mreža, ShadowServer podaci za BiH i CVE Tracker – već čine jezgro jednog operativnog sigurnosnog okruženja. Ovi alati pružaju osnovne izvore podataka koje bi svaki budući SOC mogao koristiti za detekciju, korelaciju i analizu incidenata.

Prvi korak: definisati svrhu i opseg

Izgradnja SOC-a ne počinje instalacijom softvera, nego pitanjem: „Šta želimo zaštititi i zašto?“

Da li je cilj zaštititi akademsku mrežu? NVO sektor? Male biznise? Ili širu infrastrukturu? Odgovor na ta pitanja određuje arhitekturu, veličinu i budžet SOC-a.

Naš pristup: mali koraci, mjerljivi rezultati

U ovoj seriji tekstova prikazat ćemo kako se može započeti s minimalnim, ali funkcionalnim modelom – tzv. SOC-as-a-lab, koji se vremenom može razviti u punopravni operativni centar. Pokazaćemo kako se uz open-source alate (kao što su Wazuh, TheHive, Cortex, MISP, Zeek i Velociraptor) može postići visoka razina vidljivosti i brzine reagovanja – bez visokih licencnih troškova.

Šta slijedi

U drugom tekstu (“Od logova do odgovora: anatomija modernog SOC-a”) objašnjavamo ključne komponente i funkcije SOC-a, a potom prelazimo na konkretan open-source blueprint i praktične preporuke.

Cilj je da kroz ovu seriju demistifikujemo koncept SOC-a i pokažemo da ga je moguće izgraditi – bez puno sredstava i resursa i u BiH.