Mistä tunnistat kunnollisen SOCin?

Tässä kirjoituksessa pureudumme siihen, millainen on oikeasti hyvä Security Operations Center. Monissa yrityksissä ja organisaatioissa on nimellisesti “SOC”, mutta oikeasti toimintoa ei ole toteutettu tarvittavan hyvin. Todellisuudessa esimerkiksi SOCin operatiivisilla henkilöillä ei ole tarvittavaa koulutusta tai SOC-toiminnosta puuttuu keskitetty tilannekuva valvottavan ympäristön kyberturvallisuuden tilasta.

Kunnollisen SOCin tunnistaa kolmesta hyvin hoidetusta osa-alueesta: ammattitaitoinen henkilökunta, kehittyneet ja ajantasaiset teknologiset apuvälineet sekä toimivat ja hiotut prosessit.

1. Ammattitaitoinen henkilökunta

SOCissa työskenteleviltä analyytikoilta täytyy löytyä tarvittava koulutus, kokemus ja valmiudet edistyneiden tietoturvapoikkeamien havainnointiin ja selvittämiseen. Henkilöiden tulee olla tietoisia siitä kuinka modernit tietoturvauhkat tunnistetaan, kuinka poikkeamien tutkinta suoritetaan ja miten poikkeama ratkaistaan. Pelkkä tuntemus verkkolaitteista, infrastruktuurista ja tietoliikenteestä on hyvä lähtökohta, mutta sen päälle tarvitaan vielä kattava kyberturvallisuusosaaminen.

SOC-henkilöiden koulutusta varten on olemassa erilaisia kursseja ja niistä saatavia sertifikaatteja, kuten GIAC-sertifioinnit. Huolehdi siitä, että SOCin operatiivista toimintaa tekee oikeasti sertifioidut ja osaavat ihmiset.

2. Modernit teknologiat ja järjestelmät apuna

Hyvän SOCin teknologisena sydämenä toimii moderni Security Intelligence -järjestelmä. Tämän järjestelmän avulla IT-ympäristön tilaa voidaan valvoa reaaliajassa ja tunnistaa mahdolliset tietoturvapoikkeamat. Lisäksi järjestelmä auttaa poikkeamien selvittämisessä ja tapahtumaketjujen analysoinnissa.

Ilman tilannekuvaa ja tarvittavia työkaluja SOCin toiminta on käytännössä mahdotonta. Mikäli SOCissa työskentelevä henkilö joutuu manuaalisesti seuraamaan monia eri järjestelmiä ja selvittelemään asioita lokeista käsin on toiminta erittäin hidasta ja aikaavievää. Kyberhyökkäysten monimutkaistuessa entisestään, tarvitsee myös puolustuksella olla käytössä ajantasaiset järjestelmät ja arsenaali.

Huolehdi, että SOCissasi on kehittynyt ja viimeisin Security Intelligence -teknologia, kuten IBM Securityn QRadar.

3. Toimivat ja hiotut prosessit

Toimivassa SOCissa on hyvin määritellyt prosessit ja toimintamallit. Selkeät prosessit antavat vastauksen moniin kysymyksiin, joista tässä muutamia esimerkkejä:

  • Mitä käytännössä tapahtuu, kun tietoturvapoikkeama havaitaan?
  • Miten poikkeaman selvitys etenee?
  • Mitkä ovat SOCin Level 1 ja Level 2 -toimintojen vastuut?
  • Missä vaiheessa poikkeama siirretään selvitykseen IR (incident response)-tiimille?
  • Mikä on asiakkaan rooli selvitysprosessissa?

Kriittisissä poikkeamatilanteissa, kuten tietomurrossa, täytyy toimia nopeasti, jotta vahingot voidaan minimoida ja tilanne palauttaa normaaliksi mahdollisimman pian. Nopea toiminta edellyttää sen, että vastuut ym. ovat selkeästi määriteltyjä ja SOC-työntekijät tietävät oman roolinsa sekä työtehtävänsä.

Varmista ammattitaitoisen henkilökunnan ja oikean teknologian lisäksi, että SOCissasi on selkeästi kuvatut prosessit ja toimintamallit.

Mikäli tarvitset apua SOC:n pystyttämisessä ja edistyksellisen kybervalvonnan järjestelmien käyttöönotossa tai haluat ostaa SOC:n palveluna, ota yhteyttä meihin.