En Security Operations Center (SOC) föder kontinuerligt cybersäkerhetsrelaterade risker med data om hoten mot just din organisation, med detaljerad statistik på organisationens incidenters ursprung och hur dessa incidenter skulle kunna ha förhindrats. Möjligheten för din organisation att analysera data från SOC:en i kombination med vad som är skyddsvärt i verksamheten gör att ni kan prioritera rätt åtgärder i budgeten.
Riskbaserade investeringar
Troligtvis har din organisation över lång tid investerat i verktyg och produkter för att stärka cybersäkerheten. Ni har gjort proaktiva investeringar för att förhindra att säkerhetsincidenter ska inträffa. Troligen har även investeringar gjorts för att förhindra att en uppkommen incident ska inträffa igen, det vill säga reaktiva investeringar. Hur vet ni att ni har investerat rätt? Att verktyg är effektivt konfigurerat? Och framför allt, hur vet ni om larmen som verktyget genererar faktiskt följs upp och åtgärdas? I den här artikeln förklarar jag hur en SOC bör operera och hantera ställda frågor.
Så här hanterar du organisationens risker på ett medvetet sätt
Din organisation hanterar dagligen olika risker, antingen genom en medveten riskhantering där riskens potentiella kostnad mäts mot kostnaden att hantera risken, eller genom reaktiv hantering där uppkommen incident styr investeringarna. En kalkyl med grova gissningar och inaktuell data kan resultera i att felaktiga risker prioriteras och att organisationens budget hamnar på fel ställe.
För att hantera risker relaterade till cybersäkerhet behövs en kartläggning av och förståelse för vad som är skyddsvärt, information om de hot som är riktade mot din organisation och förståelse för nuvarande brister och utmaningar. Exempelvis, om du vet att din organisation är utsatt för phishingattacker som kan skada verksamheten. Att organisationen inte har vare sig kunskap eller verktyg för att hantera phishing, samt att du även vet att det som är skyddsvärt löper stor risk att drabbas negativt av en eventuell phishingattack. Då blir det lättare att motivera en investering för att hantera risken.
Din organisation gör såklart hemläxan och fattar ett databaserat beslut att investera i proaktiv hantering av phishing. Med hjälp av information om hoten och om tidigare incidenter, byggs en förståelse upp gällande vilka krav som ska ställas för att effektivt hantera riskerna. Antagligen blir resultatet att användarnas förståelse av phishing ska tränas upp samt att ett avancerat filter för att proaktivt stoppa phishing ska sättas upp. För att mäta effektiviteten av investeringen så testas och statistikförs användarnas förmåga att upptäcka phishing regelbundet samt utreds och dokumenteras antalet incidenter relaterade till phishing. Hanteringen av risken följs nu upp med kontroller för att mäta hanteringens effektivitet över tid och för att upptäcka om ytterligare åtgärder krävs. En SOC bidrar med kunskap om hur användarna ska testas för att kunna upptäcka den senaste typens phishing, om hur de ska dokumentera eventuella incidenter där någon kontroll brustit samt komma med åtgärdsförslag om ytterligare åtgärder i riskhanteringen krävs.
Hur bör en SOC fungera för att effektivt kunna upptäcka när en kontroll brustit eller är på väg att brista?
Säkerhetsverktyg är ofta larmgenererande eller så går det att bygga larm via verktygets loggar i ett SIEM (Security Information and Event Management solution). För att en SOC effektivt ska kunna hantera larmen behöver larmen centraliseras och prioriteras. De flesta säkerhetsverktyg har idag inbyggd prioriteringsmekanism som informerar en SOC om larmets potentiella prioritering. För att alla verktygs larm ska kunna prioriteras i rätt ordning behöver larmen även centraliseras. En modern SOC bör använda ett verktyg kallat SOAR (Security Orchestration, Automation and Response). Genom att integrera befintliga säkerhetsverktyg i SOAR kan larm inhämtas, prioriteras, automatiseras och utredas. SOC:en har genom centraliseringen av larmen möjlighet att automatiskt jämföra olika larm från olika verktyg för att skapa förståelse gällande omfattningen och om vilka kontroller som antingen brustit eller utsatts för angrepp. Statiska processer och logiska flöden bör automatiseras för att effektivisera utredning av larm och snabbare komma till åtgärd. Åtgärden i sig kan även den automatiseras för att förhindra långsamma manuella processer. Vid ett ransomeware-larm bör till exempel ett system isoleras från de övriga så fort som möjligt för att förhindra spridning. Automatisk berikning av CTI (Cyber Threat Intel), i SOAR på IOC (indicators of compromise), som IP-addresser, filhashar och email-adresser, gör SOC:ens analys snabbare och mer exakt. Har exempelvis en IP-adress som identifierats i en analys setts i andra dåliga sammanhang, blir beslut av åtgärd enklare och mer exakt.
Hur kan du få rätt hjälp?
CGI hjälper dig att komma igång genom att göra en hotbildsanalys som kartlägger dina motståndares förmågor och potentiella angreppsmetoder. CGI kan applicera dessa hot på din organisations risker och därmed förstå behoven. Genom att applicera rätt skydd, på rätt plats, med rätt övervakning, kan vi anpassa en SOC just för din verksamhets behov. CGI erbjuder kontinuerlig övervakning av hot, risk och behov för att hjälpa dig att ligga steget före motståndarna och lägga din budget på rätt skydd. Eftersom vi påvisar värdet av tjänsterna genom datadrivna beslut blir det även enklare att förstå investeringens långsiktiga värde.
