Viime aikoina olemme kaikki kuulleet paljon erilaisista kyberhyökkäyksistä mediassa. Tämä on johtanut luonnollisesti kasvaneeseen kiinnostukseen perustaa valvontatakeskus (SOC, Security Operations Center) havaitsemaan nopeasti tunkeutumiset järjestelmiin. Jos kumppanina olet tuottamassa ja toimittamassa tätä kokonaisuutta palveluna, saat ohessa tärkeää tietoa asiakkaidesi liiketoiminnasta.
Anders Liman toimii TD SYNNEXn Nordic-tiimissä Business Development Managerina vastuualueenaan Cyber Security ja tietoturva. Pyysimme häntä kertomaan, miksi kumppanina sinun pitäisi tarjota asiakkaillesi SOC-palveluita ja mitä vaihtoehtoja on tällä hetkellä saatavilla.
Mitä hyötyä Security Operations Center palveluna tarjoaa loppuasiakkaille?
"Eri toimijat käyttävät termiä hieman eri tavoin, mutta yleensä voi sanoa, että SOC-valvomo seuraa ja tutkii jatkuvasti yrityksen digitaalista ympäristöä selvittääkseen, onko jokin vialla ja pyrkii havaitsemaan normaalista poikkeavia tilanteita ja tapahtumia. Tämä voi tarkoittaa tietomurtojen havaitsemista esimerkiksi tarkkailemalla käyttäjän toiminnassa poikkeavuuksia, kuten tilannetta, jossa käyttäjä alkaa tehdä normaalista tavanomaisesta käyttäytymisestä poikkeavia tapahtumia, josta voidaan päätellä, että käyttäjän tiliä käyttää joku muu kuin hän itse. Loppuasiakkaalle itselleen hyöty on ilmeinen. Huomaat, että olet hyökkäyksen kohteena ja voit reagoida siihen.”
Mitä seurausta voi olla toimimisesta ilman SOC-palvelua?
"Riskit ovat paljon suuremmat. Ransomware-tyyppiset hyökkäykset ovat herättäneet viime aikoina paljon huomiota. On tärkeä ymmärtää, että tämän tyyppisissä tietomurroissa lunnasvaatimukset tapahtuvat usein hyökkäyksen viimeisessä vaiheessa. Ennen sitä hyökkääjät ovat onnistuneet varastamaan huomattavan määrän tietoa, ja esimerkkinä VansonBournen äskettäin tekemän tutkimuksen mukaan vain neljä prosenttia kiristysohjelmahyökkäyksen uhreiksi joutuneista ja kiristäjille maksaneista uhreista saa kaiken tietonsa takaisin. Siksi on tärkeää tunnistaa hyökkäykset mahdollisimman varhaisessa vaiheessa sekä käynnistää mahdolliset vastatoimet ennen kuin asiat eskaloituvat. Toki SOC-palvelun käyttö aiheuttaa työtä ja kustannuksia mutta ne toimivat vakuutuksen lailla estääkseen vielä suurempien kulujen aiheutumisen, jonka varsinainen tietomurto saattaa aiheuttaa. Arkaluonteisten tietojen joutuminen vääriin käsiin aiheuttaa sekä suoria että epäsuoria kustannuksia, joiden suuruutta ei aina voi ennakolta edes arvioida.”
Mutta eikö tämä ole kaukana siitä mitä asiakkaat haluavat tai tarvitsevat?
"Ei suinkaan, alkuun toki käyttäjät tarvitsevat riittävän suojan hyökkäyksiä vastaan. Mikään järjestelmä ei kuitenkaan saavuta sataprosenttista suojaa, joten SOC-palvelu analysoi ja raportoi tietoturvan tilan ja sen onnistuiko tietomurto aiemmista panostuksista huolimatta. Monet loppuasiakkaat näkevät nykyään esimerkiksi Microsoft Azure Sentinelin kaltaisen ratkaisun edut, mutta sekin tarvitsee asiantuntevat käyttäjät ja valvojat, jotta sen kaikki hyödyt saadaan irti. Seuraavassa vaiheessa sinun on myös oltava valmis toimimaan hyökkäyksessä ennen kuin se aiheuttaa vakavia vahinkoja, esimerkiksi CSIRT-tiimin (Cyber Security Incident and Response Team) kautta.”
Mitä hyötyä kumppani saa tarjoamalla asiakkailleen SOC-palvelua?
"Sen lisäksi, että tuotteistettu palvelu on mahdollista myydä hyvällä marginaalilla riippumatta siitä, minkä tyyppisen ratkaisun valitset toimitukselle, kumppani jolla on tarjota SOC-palvelu saa hyvän käsityksen asiakkaan ympäristöstä. Se tarjoaa mahdollisuuden neuvoa asiakasta ja opastaa, miten he voisivat saavuttaa paremman turvallisuuden esimerkiksi kalasteluviestien estoon. Tämä antaa aina mahdollisuuden toimia luotettavana kumppanina, kasvattaa myyntiä sekä tarjota laajempia lisäarvopalveluita ja siten laajentaa omaa tuote- ja palvelukantaa asiakkaan ympäristössä.”
Mistä osa-alueista SOC-palvelu muodostuu ja millaisia vaihtoehtoja on tarjolla?
"SOC-palvelu koostuu monesta osa-alueesta. Ensimmäinen on tiedonkeruu eli kaikki lokit kerätään nykyisen yrityksen käyttämistä suojatuotteista, kuten päätepisteen suojausjärjestelmistä (esimerkiksi Microsoft Defender tai vastaava), palomuureista, IPS:stä (Intrusion Prevention Systems) ja/tai verkkoyhdyskäytävistä. SIEM-tuotteet (Security Information Event Manager), jollaisia on useilla toimittajilla, tyypillisesti toimii keruupisteenä lokitiedoille. Azure Sentinel on hyvä esimerkki tällaisesta ratkaisusta. SIEM-järjestelmän vastuulla on myös tiedon ja lokitiedostojen yhdistäminen sekä tiedon analysoiminen ennalta määrättyjen sääntöjen mukaisesti. Järjestelmän vastuulla on myös hälytysten muodostaminen epäilyttävässä tilanteessa, jonka jälkeen SOC-valvomon henkilöstö selvittää tilanteen vakavuuden ja hoitaa jatkotoimenpiteet tarvittavien ohjeistusten mukaisesti.
SOC-valvomossa tarvitaan erikoistietämystä monelta alueelta. Sanoisin että alkuun pääsee kolmella valvontahenkilöllä, joiden työaika on tietysti 24/7. Tästä johtuen voidaan sanoa, että tarvitaan 9 henkilöä sekä mahdolliset korvaajat jotta katkoksia henkilöresurssien tähden aiheudu. Kumppanina saat tarvittavat ratkaisut TD SYNNEXlta ja voit rakentaa SOC-palvelun itse näiden tuotteiden avulla. Ehkä kustannustehokkaampi tapa voisi olla hankkia SOC suoraan hallittuna palveluna TD SYNNEXlta. Markkinoilla on myös täyden palvelun tietoturva-toimittajia, jotka voivat räätälöidä SOC-palvelun alusta loppuun kumppanin toiveiden mukaisesti.”
Mitkä ovat eri vaihtoehtojen edut ja haitat?
"Jos SOC-palvelun rakentaa alusta itse, kannattavuus pitkällä aikavälillä mitattuna voi olla houkutteleva. Kustannus alkuvaiheessa on todennäköisesti suurempi, joten tämä vaatii hieman enemmän business case-laskelmien tarkastusta ja rahoitusta. Myös työntekijät täytyy palkata heti alkuun sekä mitoittaa ainakin alkuvaiheen kapasiteetin mukaisesti. Ehkä vinkkinä voisi mainita, että osa SOC-valvomon henkilöstöstä alkuvaiheessa toimivat osa-aikaisesti kustannusten säästämiseksi.
SOC-palvelun tarjoaminen palveluna voi olla alkuun kiinnostava vaihtoehto. Pääset liikkeelle ilman suurempia alkuinvestointeja ja palvelun skaalaaminen on helppoa ja kustannustehokasta. TD SYNNEXn asiantuntijat auttavat sinua käynnistyksessä ja opastavat oikeissa valinnoissa.”
Jos haluat tietää lisää siitä, miten kumppanina voit auttaa asiakkaitasi SOC-palvelun avulla yhdessä TD SYNNEXn kanssa, ota yhteyttä cloudsoftware.fi@techdata.com