Tietoturvaoperaatioiden rakentaminen on työlästä
Olemme blogijulkaisuissamme viime aikoina puhuneet paljon tietoturvan kolmiyhteydestä; ihmiset, prosessit ja teknologia. Kirjoittelin asiasta itse viime talvena tässä julkaisussa. Kirjoitelmani toi esiin oman näkemykseni tietoturvaoperaatioiden järjestämisestä suomalaisissa keskisuurissa organisaatioissa. Tärkeintä on löytää tasapaino tietoturvan ylläpitämiseen tarvittavien resurssien välillä; ihmisten, teknologioiden ja prosessien.
Tänä syksynä Mikko kirjoitteli, miten helppoa on ostella teknologiaa ja miten hankala kyberturvan osaajatilanne on tällä hetkellä. Lukaise Mikon blogi resursseista. Mikko avasi näkemyksiään myös Security Incident Management -prosessiin liittyvistä työkirjoista toisessa kirjoitelmassaan. Molemmat kirjoitukset kuvaavat hyvin kuinka työlästä organisaatioiden on rakentaa toimivia tietoturvaa ylläpitäviä operaatioita niiden vaatimien osaamisresurssien ollessa tällä hetkellä hyvin tiukilla.
Kuten aiemmassa kirjoituksessani jo kerroin olen seurannut tietoturvaratkaisujen ja palveluiden toimittamista Suomessa pian neljännesvuosisadan ajan ja päässyt hyvin läheltä seuraamaan tietoturvapalveluiden kehittymistä yhdellä Suomen SOC-palveluiden uranuurtajista. Tässä kirjoitelmassa on tarkoitus hieman ruotia miten resurssitilannetta voi helpottaa ulkoistamalla osan kyberturvaosaamisesta ja mitä sellaiselta ulkoistetulta palvelulta tulisi odottaa.
Terminologian viidakko – mitä ostaa?
Pelkästään termejä tietoturvapalveluihin liittyen vilisee niin paljon, että asiaan vihkiytymättömän päättäjän voi olla vaikea arvioida mihin IT-osaston esille tuomaan akronyymiin budjettia tulisi allokoida. Käydään siis nopeasti läpi tällä aihealueella vilisevät keskeisimmät lyhenteet.
SOC – Security Operations Center “tietoturvan palvelukeskus” on organisaation funktio, joka vastaa operatiivisesti tietoturvahäiriöiden tunnistamisesta, arvioinnista ja niihin liittyvien vasta- ja korjaustoimien käynnistämisestä ja seuraamisesta. Kyse on siis ihmisten aktiivisesta toiminnasta, prosesseista ja teknologiasta yhdessä. Vastuut voivat vaihdella pelkästä kontrollifunktiosta aktiiviseen siivousosastoon.
MDR – Managed Detection and Response on ulkoistettua SOC-palvelua (SOC as a Service).
EDR – Endpoint Detection and Response on usein miten vain päätelaitteiden tapahtumien seurantaan ja suojaukseen tarkoitettu järjestelmä (ennen ”virustorjunta”), jossa ei ole mukana ihmisiä ja prosesseja. Eli yleensä vain teknologiakomponentti, jota organisaatio itse hyödyntää.
XDR – Extended Detection and Response on useampiin tietolähteisiin kuin pelkiin päätelaitteisiin perustuvaa tietoturvatapahtumien seurantaa ja suojausta, jossa ei ole mukana ihmisiä ja prosesseja. Päätelaitteiden lisäksi otetaan verkon palvelut, verkkolaitteet, pilvipalvelut jne. mukaan tietolähteiksi. Tämäkin on yleensä vain teknologiakomponentti, jota organisaatio siis itse hyödyntää.
Asiantuntemusta ja ymmärrystä tarvitaan siis jo perusterminologiaan ja varsinkin hankittavien asioiden arviointiin.
Hitaasti hyvä tulee – vai tuleeko?
Organisaatioiden sisällä IT- ja tietoturva-asiat kehittyvät vähitellen evoluutionomaisesti. Organisaation kasvaessa roolit eriytyvät ja jossain vaiheessa IT-asioita alkaa hoitaa niihin vihkiytynyt henkilö. Kasvu jatkuu ja henkilömäärä lisääntyy, kunnes joku alkaa hoitaa päävastuullisesti tietoturva-asioita ja niin edelleen. Näin se on mennyt menneisyydessä. Tällä hetkellä kyberriskit kaikkia organisaatioita kohtaan, niin isoja kuin pieniäkin, ovat kuitenkin niin korkealla – eikä laskua näy – että organisaation kasvun ja sen mahdollistaman evoluution odottelu voi johtaa yrityksen liiketoiminnan täydelliseen pysähtymiseen, jopa toiminnan päättymiseen kyberriskin toteutuessa.
Pienempienkin organisaatioiden tulisi siis aktiivisesti pystyä nyt ja jatkuvasti reagoimaan tietoturvahäiriöihin. Aiemmassa julkaisussani kuvasin tilanteen hankaluutta. Samoihin lopputuloksiin päätyi myös Mikko omissa kirjoituksissaan, vaikka tarkasteli asiaa yksityiskohtaisemmin ja eri näkökulmista. Päätelmämme on, että usein miten organisaatioiden kannattaa etsiä itselleen sopiva tietoturvapalveluita heille toimittava kumppani, joka tarjoaa operatiivisen tietoturvan palveluita.
Millaista palvelua ja kumppania tulisi lähteä etsimään?
Itse lähtisin etsimään organisaatiolle ”sopivaa” kumppania – helppoa sanoa. Isot organisaatiot voivat etsiä kumppanuutta isoista palveluntarjoajista. Tyypillisesti isommat IT-organisaatiot ovat jäsennelleet omaa toimintaansa pienempiin vastuualueisiin ja tottuneet hoitamaan asioita standardeihin prosesseihin sitoutuen. On käytössä yhteinen kieli – esimerkiksi ITIL – ja tutut funktiot pöydän molemmin puolin. Tiketit soljuvat mukavasti ITSM-järjestelmien välillä integraatioita pitkin – ainakin joskus ;-).
Pienet ja keskisuuret organisaatiot voivat etsiä hieman dynaamisempia ja enemmän itsensä näköisiä kumppaneita palveluiden tarjoajien pienemmästä päästä, jossa asiakkaan läheisyys ja palvelualttius voivat olla korkeampia, mutta prosessimaiset toimintatavat hieman kevyempiä.
Mitä palvelun tulisi sisältää?
Palvelun käyttöönoton tulisi olla selkeä kiinteähintainen prosessi, jonka vastuut, vaiheet, kesto, alku ja loppu tulisi olla selkeästi kuvattuna. Epämääräinen projektisuunnitelma, jossa työmäärät tai aikataulut eivät ole selkeitä voi johtaa pitkäveteiseen SIEM-järjestelmän asenteluun ja mailibingoon, joka ei tuota kuukausiin minkäänlaista lisäarvoa asiakkaalle.
SOC-palvelusta tulisi olla riittävä määrä henkilökuntaa, jotta palvelu on varmasti uskottava, aktiivinen ja reagointikykyinen jatkuvasti 24/7/365. On naiivia ajatella, että vain toimistoaikaan saatu palvelu olisi riittävää. ”Huomenta asiakas! Huomattiin tuossa juuri, että yön aikana teidän tietonne on varastettu ja kryptattu. Eli me aletaan asiaa nyt heti selvittämään …”
Jatkuva yhteyden pitäminen asiakkaan ja palveluntarjoajan välillä on välttämätöntä. Operatiiviseen palvelukeskukseen tulee voida olla yhteydessä jatkuvasti. Tietoturvapalvelun ja asiakkaan omien tietoturvajärjestelyjen tulee jatkuvasti kehittyä vallitsevien uhkatilanteiden mukaisesti. Tässä voivat auttaa asiakkaalle nimetyt palvelupäälliköt ja asiantuntijat, joihin kuten palvelukeskukseenkin voidaan olla yhteydessä jatkuvasti. Erityisen hyvä olisi, jos tällaiset asiat olisivat joko selkeästi hinnoiteltuja tai sisältyisivät palveluun.
Tilannekuvan seuraamiseksi palveluntarjoajan tulisi tarjota asiakkaalle jatkuva näkyvyys operatiiviseen toimintaansa asiakasnäkymän kautta ja tarvittaessa kyky vaihtaa tikettejä järjestelmien välillä. SOC-palvelu ei voi ottaa vastuuta kaikista IT-palveluista eli suuri osa korjaavista toimenpiteistä eri järjestelmissä lankeaa joko asiakkaan itsensä tai asiakkaan IT-palveluiden tarjoajien harteille. Tästä syystä eskalaatiokanavat ja kohteet tulisi olla hyvin selkeästi määritelty ja dokumentoitu. SOC-palvelun tulisi pystyä tukemaan aktiivisesti näitä muita kumppaneita omalla osaamisellaan esimerkiksi, kun IT-ympäristöstä etsitään ja siivotaan uhkia ja/tai aktiivisia haittaohjelmia.
Niin sanottu ensivaste eli esimerkiksi saastuneen päätelaitteen tai vuotaneen käyttäjätilin sulkeminen ovat matalan riskin nopeita toimenpiteitä, joiden olisi hyvä olla osana palvelua.
Tarvittavia teknologioita?
Palvelun tulisi poistaa asiakkaalta tietoturvan seurantaan liittyvien teknologioiden hankkimisen, ylläpitämisen ja erityisosaamisen tuska. Palveluntarjoajan käyttämän teknologian tulisi olla laajasti yhteensopiva asiakkaan valitsemien jo olemassa olevien tietoturvateknologioiden kanssa.
Palveluun tulisi sisältyä lokien kerääminen, säilytys, monitorointi, herätteet, prosessin automaatiot, päätelaiteagentit, skannerit, verkkoliikenteen keräimet sekä asiakasnäkymät tilannekuvaan ja raportointiin. Asiakkaan ei siis tulisi enää tarvita omaa erityisosaamista liittyen esim. SIEM-, SOAR- tai Threat Management-järjestelmiin.
Miten evaluoida?
Palvelun selkeään tuotteistukseen ja sen myötä selkeään hinnoittelumalliin tulee kiinnittää erityistä huomiota. Esimerkiksi tuntiperustaiset komponentit, lokien määrään, incidenttien määrään tai herätteiden määrään perustuvat hinnoittelut ovat muuttujia, joiden käyttämisen tarve pitää pystyä ennalta arvioimaan.
Miten toimija hoitaa omaa tietoturvaansa. Onko palvelu sertifioitu jonkin yleisesti tunnetun standardin mukaisesti? Miten henkilötietojen käsittely on järjestetty?
Miten käyttöönotto on rakennettu? Onko se selkeästä standardoitu prosessi vai asiakaskohtaisesti viritetty projekti?
Miten asiakaskohtaisuus ja asiakasrajapinta on rakennettu?
Millaisia rajauksia palvelussa esimerkiksi asiantuntijoiden käytölle tai lokimäärälle tai palveluun kuuluvien häiriöiden määrälle asetetaan?
Millainen SLA annetaan häiriöiden selvitykselle?
Millainen palveluntarjoajan asiakasmäärä ja asiakkuuksien sijainti on?
Millaisten teknologioiden kanssa palvelu on yhteensopiva? Ovatko modernit pilvi- tai SaaS-palvelut tuettuja?
Millainen asiakasnäkymä palveluun tarjotaan?
Yhteenveto
Komppaan sekä itseäni että Mikkoa kirjoitelmani lopuksi. Organisaatioiden omien tietoturvaosaajien työkuormaa on helpotettava vähentämällä käytössä olevien kyberturvallisuusratkaisujen ja -työkalujen määrää, sekä siirtämällä operatiivista tietoturvan tilannekuvan ja häiriönhallinnan työtä sopiville kumppaneille.
Olemassa olevat globaalit kyberturvan resurssihaasteet ja suomalaisten yritysten koot huomioiden on usein mielekkäintä etsiä sopiva kumppani, joka tarjoaa operatiivisen tietoturvan henkilöstön, työkalut ja prosessit palveluna. Kyberturvaan liittyvät operatiiviset ongelmat voidaan ratkaista moderneilla ja kehittyneillä kyberpalvelukonsepteilla kuten MDR-palveluilla.
Meidän valintamme ja suosituksemme on globaalin kumppanimme Arctic Wolfin modernit, monipuoliset, hyvin tuotteistetut ja kustannustehokkaat SOC as a Service -palvelut. Nämä kiinteähintaiset ja hyvin laajat tietoturvan operointi- ja reagointipalvelut sisältävät tarvittavan henkilöstön, teknologiat ja prosessit, aina 24x7x365.
Kaikkea kyberturvaosaamista ei voi, eikä pidä ulkoistaa. Organisaation omaa kyvykkyyttä kyberturva-asioiden käsittelyssä kannattaa ehdottomasti ylläpitää ja kehittää. Tarjoamamme Security Advisor -palvelut voivat auttaa tietoturva-asioiden modernisoinnissa ja organisaatioiden omien tietoturvaosaajien työkuorman vähentämisessä. Ole meihin yhteydessä vaikka samantien.
