מרכז תפעול אבטחה (SOC – Security Operations Center) הוא הצוות והפלטפורמה המרכזיים האחראים על ניטור רציף, זיהוי, חקירה ותגובה לאיומי סייבר בכל סביבת ה-IT של הארגון. אפשר לחשוב עליו כחמ״ל ההגנה הסייברנית: שילוב של אנליסטים מיומנים, תהליכים מוגדרים וטכנולוגיה, הפועלים סביב השעון כדי לעצור תקיפות לפני שהן הופכות לאירוע אבטחה. עבור ארגונים ישראליים הפועלים באחת מסביבות האיום האגרסיביות בעולם, ההבנה מה עושה SOC – והאם להקים או להוציא אותו למיקור חוץ – הפכה להחלטה אסטרטגית.
מה עושה בפועל מרכז תפעול אבטחה?
SOC מודרני נשען על שלושה עמודים: אנשים, תהליכים וטכנולוגיה. השכבה הטכנולוגית מתמקדת במערכת SIEM המרכזת לוגים וטלמטריה מעמדות קצה, שרתים, חומות אש, שירותי ענן ומערכות זהות. מעליה פועלים חוקי זיהוי, מודיעין איומים וניתוחים מבוססי בינה מלאכותית. אך כלים לבדם אינם עוצרים תקיפות – האנליסטים המסננים התראות, מבדילים בין התראות שווא לאירועים אמיתיים ומסלימים אותם, הם ההופכים מידע גולמי להגנה. המטרה היא קיצור שני מדדים: זמן הזיהוי הממוצע (MTTD) וזמן התגובה הממוצע (MTTR).
SOC מול SIEM מול MSSP
המונחים מתבלבלים לעיתים קרובות. SIEM היא פלטפורמה טכנולוגית; SOC הוא התפקוד התפעולי – אנשים ותהליכים – המשתמש בה; ו-MSSP הוא ספק המספק שירותי אבטחה כמנוי, הכולל לעיתים SOC מנוהל במלואו.
SOC פנימי מול SOC כשירות
הפעלת SOC פנימי מחייבת גיוס של חמישה עד שישה אנליסטים לכיסוי שלוש משמרות כל השנה, בנוסף לרישוי ותחזוקה של מערכות SIEM ו-SOAR. העלות השנתית הכוללת לארגון בינוני עולה לעיתים על מיליון דולר. שירות SOC מנוהל מספק כיסוי 24/7 דומה כמנוי צפוי. שירות ה-MSSP וה-SOC שלנו בנוי בדיוק למודל הזה – ניטור ברמה ארגונית ללא עלויות צוות פנימי.
למה SOC קריטי בישראל כעת
ישראל מדורגת באופן עקבי בין שלוש המדינות המותקפות בעולם. מערך הסייבר הלאומי הוציא ב-2025 כ-2,480 התראות – פי 2.5 מהשנה הקודמת – כשרובן התראות יזומות לארגונים ספציפיים. "זמן הפריצה" של תוקף עומד כיום על פחות מ-30 דקות. פער כיסוי בסוף השבוע הוא בדיוק החלון שבו אירוע מכוּל הופך לפריצה חמורה.
Persist Security מפעילה SOC מנוהל 24/7 בגיבוי אנליסטים בעלי רקע ביחידות הטכנולוגיה המובחרות של צה״ל, המשלב ניטור רציף עם מודיעין איומים ותגובה לאירועים מהירה. לבחינת הסביבה שלכם, צרו קשר עם הצוות שלנו.
