NOC vs SOC: koja je razlika?

NOC SOC razlika svodi se na jednu rečenicu: NOC (Network Operations Center) brine da mreža i sustavi rade i budu dostupni, dok SOC (Security Operations Center) brine da budu sigurni i zaštićeni od napada. NOC tim gleda jesu li serveri, linkovi i aplikacije online i koliko brzo rade. SOC tim gleda pokušava li netko provaliti, ukrasti podatke ili šifrirati sustave. Oba su operativna centra koja rade 24/7, oba prate iste sustave, ali kroz potpuno različite naočale: jedan vidi performanse i ispade, drugi vidi prijetnje i incidente. U nastavku objašnjavamo gdje se točno razlikuju, koje alate koriste, koji su im ciljevi i zašto se najbolje rezultate dobiva kad rade zajedno.

Što je NOC, a što je SOC

Iako zvuče slično i često dijele istu prostoriju ili istog dobavljača usluge, NOC i SOC rješavaju dva različita problema.

NOC: dostupnost i performanse

NOC, odnosno centar za mrežne operacije, postoji da bi sustavi radili bez prekida. Tim u NOC-u prati stanje mreže, servera, linkova prema internetu, virtualizacije i poslovnih aplikacija. Kad nešto padne ili počne raditi sporo, NOC to mora primijetiti prije korisnika i riješiti što brže. Njihova mjera uspjeha je uptime: koliko je sve bilo dostupno tokom mjeseca, koliko je incidenata bilo i koliko je trebalo da se otklone.

Tipičan posao NOC tima izgleda ovako:

• nadzor dostupnosti servera, mreže i aplikacija u realnom vremenu
• reagiranje na ispade, spore linkove i preopterećenje resursa
• upravljanje backupima i provjera da se sigurnosne kopije stvarno rade
• instalacija zakrpa i nadogradnji u dogovorenim terminima
• kapacitetno planiranje: hoće li disk, RAM ili link izdržati sljedeća tri mjeseca
• komunikacija s dobavljačima (internet provajder, hosting, proizvođač opreme)

SOC: sigurnost i prijetnje

SOC, odnosno centar za sigurnosne operacije, postoji da bi vas zaštitio od napadača. SOC tim ne pita prvenstveno radi li server, nego pita radi li server ono što bi trebao ili netko upravlja njime tko nema pravo. Prikupljaju logove sa svih sustava, traže sumnjivo ponašanje, istražuju upozorenja i kad se dogodi incident, vode odgovor: izoliraju zaraženi uređaj, zaustave napad i pomognu u oporavku.

Tipičan posao SOC tima:

• prikupljanje i korelacija logova iz cijele infrastrukture (SIEM)
• nadzor i istraga sumnjivih aktivnosti na uređajima i serverima (EDR)
• otkrivanje napada: phishing, ransomware, krađa lozinki, lateralno kretanje
• odgovor na incidente: izolacija, zaustavljanje, forenzika, oporavak
• lov na prijetnje (threat hunting) i praćenje novih ranjivosti
• izvještavanje o sigurnosnom stanju i usklađenost s propisima

NOC SOC razlika kroz fokus, alate i ciljeve

Najlakše je razliku vidjeti kroz pitanje koje svaki tim postavlja kad stigne upozorenje. NOC pita: zašto je ovo sporo ili palo i kako da to vratim. SOC pita: je li ovo napad, dokle je stigao i kako da ga zaustavim. Isti događaj, na primjer naglo opterećenje servera, NOC će tretirati kao problem performansi, a SOC će prvo provjeriti nije li to znak provale ili rudarenja kriptovaluta na vašoj opremi.

Razlikuje se i tip protivnika. NOC se bori protiv kvarova, ljudskih grešaka i fizike: pregorjelih diskova, prekinutih linkova, loših konfiguracija. SOC se bori protiv ljudi koji aktivno i namjerno pokušavaju nauditi, mijenjaju taktiku i skrivaju tragove. Zato SOC mora razmišljati kao napadač, a ne samo kao administrator.

Kriterij	NOC (mrežne operacije)	SOC (sigurnosne operacije)
Glavni fokus	Dostupnost i performanse	Sigurnost i zaštita od prijetnji
Ključno pitanje	Radi li sve i koliko brzo?	Je li netko upao ili pokušava?
Protivnik	Kvarovi, ispadi, ljudske greške	Napadači, malware, insajderi
Tipični alati	Monitoring (Zabbix, PRTG), ticketing, backup, mrežni alati	SIEM, EDR/XDR, threat intelligence, forenzika
Glavna mjera uspjeha	Uptime, brzina otklanjanja ispada	Vrijeme otkrivanja i zaustavljanja napada
Reakcija na anomaliju	Vrati uslugu u normalu	Provjeri je li napad, izoliraj, istraži
Cilj	Da posao ne stane	Da podaci i sustavi ostanu sigurni

Gdje se preklapaju

NOC i SOC gledaju u veliki dio istih sustava, samo s drukčijim ciljem. Oba prate servere, mrežu i aplikacije. Oba rade s logovima i upozorenjima. Oba moraju imati ljude koji su dostupni izvan radnog vremena, jer i ispadi i napadi ne pitaju je li ponedjeljak ujutro ili subota u tri sata. Zbog tog preklapanja mnoge firme krenu s monitoringom misleći da time imaju i sigurnost pokrivenu, što je česta i skupa zabluda.

Zašto vam trebaju oba i kako se nadopunjuju

Klasičan scenarij iz prakse: u petak popodne server baze podataka počne neuobičajeno raditi, procesor na sto posto, disk se puni. NOC tim to vidi kao problem performansi, restarta servis, oslobodi prostor i usluga se vrati. Posao nastavlja. Ali bez SOC-a nitko ne postavi pravo pitanje: zašto se to dogodilo. Da je SOC gledao iste logove, mogao je primijetiti da je opterećenje izazvao ransomware koji je počeo šifrirati podatke, ili napadač koji eksfiltrira bazu. NOC je riješio simptom, SOC bi otkrio uzrok.

Vrijedi i obratno. SOC može otkriti napad, ali za oporavak treba NOC: vraćanje iz backupa, ponovno postavljanje servera, provjeru da je sve opet operativno. Zato se ta dva centra ne natječu, nego se dopunjuju. NOC drži posao na nogama, SOC ga čuva od neprijatelja, a kad se dogodi ozbiljan incident, surađuju: SOC kaže što se dogodilo i što je zaraženo, NOC vraća sustave u rad na siguran način.

Za većinu malih i srednjih firmi u BiH, Hrvatskoj i regiji nije realno graditi oba centra interno. Treba vam ljudi 24/7, skupi alati, licence i znanje koje se stalno mijenja. Zato sve više firmi uzima te usluge kao vanjski servis (managed). Tako dobijete i nadzor dostupnosti i sigurnosni nadzor bez da zapošljavate cijele timove.

Što ovo znači za vašu firmu

• ako vam je glavna briga da posao ne stane, treba vam NOC funkcija (monitoring, backup, brza intervencija)
• ako vas brine ransomware, krađa podataka i provale, treba vam SOC funkcija (SIEM, EDR, odgovor na incidente)
• u praksi vam trebaju oba, jer dostupan sustav koji je probijen i dalje je problem
• ako nemate kapacitet za interne timove, managed model je najisplativiji put

NeoBit iz Mostara nudi upravo sigurnosni dio te priče: SOC kao uslugu s 24/7 nadzorom, SIEM korelacijom logova, EDR zaštitom uređaja i odgovorom na incidente, uz penetration testing kojim provjeravamo koliko ste otporni prije nego što napadač to provjeri umjesto vas. Ako niste sigurni pokrivate li samo dostupnost, samo sigurnost ili oboje, javite nam se za besplatnu procjenu i zajedno ćemo vidjeti gdje su rupe i koja vam razina nadzora stvarno treba.

Često postavljana pitanja

Koja je glavna razlika između NOC i SOC?

NOC se brine za dostupnost i performanse sustava, dakle da mreža, serveri i aplikacije rade bez prekida. SOC se brine za sigurnost, dakle da nitko neovlašteno ne provali, ukrade podatke ili napadne te sustave. NOC rješava ispade i kvarove, SOC otkriva i zaustavlja napade.

Može li jedan tim raditi i NOC i SOC posao?

Tehnički da, ali u praksi se traže različite vještine i drukčiji način razmišljanja. NOC inženjer razmišlja kao administrator koji vraća uslugu u rad, a SOC analitičar razmišlja kao istražitelj koji traži napadača. Manje firme često spoje funkcije, ali ozbiljniji sigurnosni nadzor traži posebno educiran SOC tim i alate poput SIEM-a i EDR-a.

Treba li mojoj firmi i NOC i SOC?

Za većinu firmi odgovor je da, jer dostupnost i sigurnost su dvije strane istog problema. Sustav koji radi, ali je probijen, jednako je opasan kao i sustav koji je pao. Ako nemate kapacitet za interne timove, najisplativije je uzeti te usluge kao vanjski managed servis.

Pruža li NeoBit SOC uslugu u BiH i regiji?

Da. NeoBit iz Mostara pruža SOC kao uslugu s nadzorom 24/7, SIEM i EDR rješenjima te odgovorom na incidente, kao i penetration testing. Možete nas kontaktirati za besplatnu procjenu i utvrditi koja vam razina sigurnosnog nadzora stvarno treba.

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Threat intelligence: kako predvidjeti cyber napade · Što je MDR (Managed Detection and Response) i kome treba?