Jakob Appelqvist

Jakob Appelquist

Security Operations Center Arkitekt

Primary tabs

Dyrt, svært og tidskrævende

Hvis du spørger 100 mennesker hvad der sker i et Security Operations Center, får du 10 forskellige svar. Det skyldes, at alle har forskellige erfaringer med et SOC - og forskellige behov for, hvad et SOC skal gøre for dem.

At bygge sit eget SOC er både tidskrævende og dyrt, blandt andet fordi der internt ofte mangler erfaring på området. Tilsvarende er det svært at rekruttere medarbejdere med de rigtige kompetencer, både fordi markedet er "tømt" og fordi det er svært at forstå hvad de rigtige kompetencer er.

Desuden kræver det store investeringer at opbygge sit eget SOC - investeringer som det kan være svært at få ledelsens opbakning til, fordi det kan være svært at få øje på et synligt afkast af investeringen.

Så hvad gør du, når det hele er dyrt, svært og tidskrævende? I denne og andre artikler kan du blive klogere på hvorfor du har brug for et SOC, hvordan det fungerer og hvordan dupå månedlig basis kan købe den rigtige SOC-service, baseret på en kortlægning af din organisations behov.

Først vil vi prøve at forklare hvorfor et SOC er nødvendigt, og det gør vi ved at drage paralleller til fysisk sikkerhed.

Sikkerhed er ikke noget nyt

Mennesker har altid benyttet sig af fysisk sikkerhed for at beskytte det, som er vigtigt for dem. Jo vigtigere noget er, desto mere tid og flere ressourcer bruger vi på at beskytte genstanden mod aktuelle trusler.

Hulemennesker beskyttede deres forråd af mad mod dyr, deres familier mod fjender og deres boliger mod skiftende vejr. Din organisation gør formentlig det samme ved at beskytte det forretningskritiske, for eksempel med aflåste døre, brandalarmer, adgangskontrol og procedurer for hvem der må gøre hvad.

Forestil dig, at du en dag møder på arbejde og ser et stort hul i væggen, som fører ind til de informationer, som absolut ikke må falde i de forkerte hænder.

En undersøgelse viser heldigvis, at der ikke er stjålet noget. Hullet blev opdaget inden uvedkommende var kommet ind.

For at undgå tilsvarende situationer i fremtiden, vælger du at bygge stærkere vægge. Men
nogen tid senere opdager du, at låsen på døren til bygningen viser tegn på indbrudsforsøg.  Igen viser en nærmere undersøgelse, at forsøget blev opdaget i tide, og for at være proaktiv sætter du en undersøgelse i gang, som skal identificere eventuelle brister i den fysiske sikkerhed.
Den afslører flere problemer - og påviser, at du skal bruge mere end din årlige omsætning for at opnå komplet beskyttelse.

Du indser hurtigt, at det ikke er økonomisk forsvarligt at beskytte noget med flere penge end hvad det er værd. Og du får en genial idé til hvordan du finder ud af, hvad du skal budgettere med:

Fordi du allerede kender til de svage led i din fysiske sikkerhed, bruger du først og fremmest ressourcer på at finde ud af mere om dem, som forsøger at bryde ind, og om deres evner.

Nu kan du sammenholde dine svage punkter med dine modstanderes evner - og investere i at afværge de største risici. Du installerer overvågningskameraer, bevægelsessensorer, adgangskontrol og sikkerhedsdøre.

Nogen tid senere kommer du på arbejde og opdager, at al virksomhedskritisk information er blevet stjålet - på trods af, at du har prøvet at være et skridt foran dine modstandere og har brugt mange penge på at beskytte dig og på at opdage forsøg på indtrængen.

Her kommer du i tanke om, at du jo tidligere fik installeret overvågningskameraer og andet udstyr til at detektere forsøg på indtrængen. Du undersøger, om udstyret har registreret hvad der er sket, og det viser sig, at det har det.

"Gennem en længere periode har dine modstandere undersøgt bygningens konstruktion for at finde det svageste punkt. Derefter har de skridt for skridt bevæget sig længere og længere ind, for til sidst at nå frem til det forretningskritiske."

Tilsammen giver alle dine investeringer i sikkerhed nogle spor, som viser hvad der er sket. Her går det op for dig, at på trods af alle dine investeringer har du blot forsinket dine modstandere, fordi ingen har reageret på alarmerne.

Ingen har opdaget eller stoppet en mulig indtrængen. Ingen er kommet med forslag til hvordan du kan forhindre, at noget lignende sker igen.

Det går også op for dig, at dine modstanderes evner og kunnen ændrer sig over tid, så det er nødvendigt at foretage investeringer løbende. Derfor ansætter du et vagtfirma til at overvåge sikkerhedsudstyret, reagere på alarmer, informere proaktivt om eventuelle sikkerhedsbrister i systemerne og hurtigt at implementere nye sikkerhedstiltag baseret på de ændrede behov.

Fysisk sikkerhed bliver digital

Forestil dig nu, at du skal sikre alt hvad der er virksomhedskritisk, ikke blot fysisk, men også digitalt.

Du må lære dine modstandere at kende, identificere dine risici og forstå dine behov. Dine risici og dine modstanderes evner ændrer sig, så dine behov ændrer sig også over tid.

Til sammenligning kan overvågningskameraer sidestilles med opsamling af login-oplysninger og overvågning af netværkstrafik. Bevægelsessensorerne kan sammenlignes med beskyttelse mod indtrængen. Adgangskontrol med autentificering, vægge og døre kan sammenlignes med firewalls og netværksswitches.

Alt sikkerhedsudstyr bidrager til, at man kan efterforske hændelser. Men hvis ingen overvåger alarmerne, bliver en indtrængen formentlig først opdaget når det er for sent.

Og det er her, behovet for et SOC kommer til at stå i et klart lys. Det er SOC'et, som reagerer på alarmer, opdager forsøg på indtrængen og de tilfælde, hvor det er lykkedes at trænge ind.
Derfor kan et SOC på et tidligt stadie komme med en forebyggende plan for at stoppe yderligere skade og forhindre lignende angreb i fremtiden.

SOC'et overvåger den eksisterende sikkerhed og kan identificere eventuelle brister og forbedringspotentialer i den nuværende beskyttelse.

Eftersom alle har forskellige behov for beskyttelse, forskellige modstandere og dermed forskellige risici, er svaret på spørgsmålet "hvad gør et SOC?" ofte forskelligt.

Hvordan får du den rigtige hjælp?

CGI hjælper dig i gang ved at analysere trusselsbilledet og kortlægge dine modstanderes formåen. Dermed kan vi overføre truslerne på din organisations risici og forstå dine behov.
Ved at overføre den rette beskyttelse til de rette steder med den rette overvågning, kan vi levere et SOC, som er skræddersyet til dine behov.

CGI tilbyder kontinuerlig overvågning af trusler, risici og behov så vi kan hjælpe dig med at være et skridt foran dine modstandere og lægge et budget for den rette beskyttelse.
Og fordi vi altid dokumenterer værdien af vores services med et datadrevet beslutningsgrundlag, bliver det lettere at forstå den langsigtede værdi af investeringen.

About this author

Jakob Appelqvist

Jakob Appelquist

Security Operations Center Arkitekt

Jakob Appelquist har stor erfaring inden for it-sikkerhed og relaterede tjenester. Erfaringen har han både fra et dybt teknisk perspektiv og fra lederroller. Hos CGI er Jacob SOC Arkitekt, hvor han leder udviklingen af det svenske SOC på et strategisk plan.