Izgradnja SOC-a (4/4): SOC kao srce kibernetičke otpornosti
- Predrag Puharic
- Nov 11
- 2 min read
Od laboratorije do operativnog centra
Nakon što su definisane komponente, alati i procesi, naredni korak u izgradnji SOC-a je prelazak iz laboratorijskog modela (SOC-as-a-Lab) u operativni 24/7 centar. To je trenutak kada tehnologija prestaje biti sama sebi svrha i postaje dio svakodnevnog poslovanja i odlučivanja.
U ovoj fazi ključni izazov više nije instalacija softvera, nego upravljanje kapacitetima, procesima i performansama.
Operativni stubovi modernog SOC-a
Ljudi i kompetencije SOC nije održiv bez jasnih uloga, smjenskog rada (shift model) i kontinuirane edukacije. U manjim organizacijama, jedan analitičar može istovremeno obavljati više funkcija – zato su automatizacija i playbook procedure presudne.
Procesi i dokumentacija Svaki incident mora imati svoj trag: od prijema do zatvaranja. To znači da SOC mora imati:
Incident Response Playbook
RACI matricu (ko radi, ko odobrava, ko informiše)
Komunikacijski plan (interni i eksterni tok informacija)
Tehnologija i integracija Open-source alati koje smo ranije naveli (Wazuh, TheHive, Cortex, MISP, Zeek, Velociraptor) moraju funkcionisati kao integrisani ekosistem, ne kao skup odvojenih servisa.
Mjerenje učinkovitosti: od podataka do odluka
Bez metrika, SOC je samo skup logova.Uspješan SOC mora znati koliko brzo detektuje, analizira i odgovara na incidente.Najčešće korištene metrike uključuju:
Metrika | Značenje | CSEC primjer primjene |
MTTD (Mean Time to Detect) | Prosječno vrijeme detekcije prijetnje | vrijeme od prvog alarma do potvrde incidenta u TheHive-u |
MTTR (Mean Time to Respond) | Prosječno vrijeme reakcije | od potvrde incidenta do zatvaranja slučaja |
Incident Closure Rate (%) | Procenat incidenata zatvorenih u definisanom roku | mjerenje efikasnosti odgovora i timske koordinacije |
Coverage (%) | Pokrivenost kritičnih sistema log monitoringom | koliko procenata servera, mreža i endpointa šalje logove |
Patch Latency (dani) | Vrijeme od objave ranjivosti do zakrpe | podatak iz CSEC CVE Trackera |
False Positive Rate (%) | Odnos između lažnih i stvarnih alarma | kvaliteta SIEM pravila |
CSEC model: kroz povezivanje DecoyNet-a, ShadowServer izvještaja i CVE Trackera, moguće je kvantifikovati i pratiti ove pokazatelje za cijeli akademski i civilni sektor u BiH.
Kultura učenja: incident kao prilika
Svaki incident je lekcija. Najbolji SOC-ovi su oni koji ne kažnjavaju greške nego ih analiziraju, dokumentuju i koriste za unapređenje procedura. To podrazumijeva:
redovne post-incident review sastanke,
prilagođavanje SIEM pravila i alertova,
ažuriranje playbooka i scenarija,
dijeljenje lekcija s drugim timovima (CERT, CSIRT, IT odjeli).
Održivost: SOC kao zajednički resurs
Za Bosnu i Hercegovinu, model održivog SOC-a ne mora biti skup, već zajednički. CSEC može služiti kao hub koji okuplja više institucija - svaka doprinosi podacima, a zauzvrat dobija vidljivost i podršku. Takav model ne samo da smanjuje troškove, već jača povjerenje i otpornost cijelog ekosistema.
Ključna poruka: SOC nije cilj, već instrument. On nije “projekat”, već trajno stanje spremnosti.
Zaključak: otpornost kao sistemska vrijednost
Izgradnja SOC-a nije završena instalacijom alata – ona počinje kad organizacija razvije kulturu reagovanja, dokumentovanja i dijeljenja znanja. CSEC već ima osnovu da postane centar zajedničke kibernetičke otpornosti za BiH, povezujući tehničku infrastrukturu s ljudskim kapacitetima i regionalnim partnerstvima.
Ova serija nije vodič do savršenog SOC-a, nego poziv na kolektivno građenje otpornosti. Kibernetička sigurnost nije pitanje tehnologije – već pitanje povjerenja, učenja i saradnje.