Dyrt, svårt och tidskrävande

Ställer du 100 personer frågan vad en Security Operations Center (SOC) gör kommer 100 olika svar ges. Detta eftersom att alla har olika erfarenheter av en SOC och olika behov av vad en SOC bör göra för dem. Att bygga en egen SOC är tidskrävande och dyrt då erfarenhet internt ofta saknas. Rekrytering av kunnig personal inom området är svårt då marknaden är tömd på rätt kompetens och det är utmanande att förstå vad rätt kompetens är. Uppbyggnaden av en egen SOC kräver också stora investeringar direkt där synlig avkastning saknas varav motivering av investering uppåt i ledet kan vara svår att få igenom.

Hur gör du då om allt är dyrt, svårt, och tidskrävande? I denna artikelserie förenklas konceptet SOC, förklaras varför en SOC behövs, hur en SOC fungerar samt hur man på månadsbasis kan köpa rätt SOC-tjänst baserat på kartlagda behov. Följande artikel, den första, fokuserar på att via paralleller med fysisk säkerhet förklara varför en SOC behövs.

Säkerhet är inget nytt

Människan har sedan begynnelsen använt fysisk säkerhet för att skydda det som är viktigt. Ju viktigare någonting är desto mer tid och resurser har spenderats på att skydda objektet från aktuella hot. Grottmänniskor skyddade sitt matförråd från djur, sina familjer mot fiender och sina hem mot olika väder. Din organisation gör troligen detsamma genom att fysiskt skydda det verksamhetskritiska, till exempel genom låsta dörrar, brandvarnare, inpasseringssystem, larm och rutiner kring vem som får göra vad. Tänk dig att du en dag kommer till din arbetsplats och ser att det är ett stort hål i väggen som leder in till det verksamhetskritiska. Information som absolut inte får komma i fel händer.

Efter forensisk utredning visar det sig att ingenting är stulet utan att hålet upptäcktes i rätt tid, innan obehöriga kunde ta sig in. För att möta framtida liknande situationer väljer du att installera starkare väggar. En tid senare upptäcker du att låset på dörren in till byggnaden påvisar inbrottsförsök. Utredning visar att det ännu en gång upptäcktes i tid. För att vara proaktiv tillsätter du en utredning för att identifiera brister i den fysiska säkerheten. Resultatet av utredningen påvisar att flertalet brister finns och att du skulle behöva spendera mer än din årliga omsättning på fysisk säkerhet för att bygga ett komplett skydd.

”Tänk dig att du en dag kommer till din arbetsplats och ser att det är ett stort hål i väggen som leder in till det verksamhetskritiska. Information som absolut inte får komma i fel händer.”

Du inser snabbt att det inte är ekonomiskt försvarbart att skydda någonting med mer pengar än det är värt. För att förstå vad du ska lägga din budget på först får du en briljant ide. Nu när du vet om bristerna i din fysiska säkerhet lägger du först resurser på att ta reda på mer om dem som försöker bryta sig in och om deras kunskaper. Du kan nu jämföra dina brister med dina motståndares förmåga och investera pengar i att avvärja de största riskerna. Övervakningskameror, rörelsedetektorer, inpasseringssystem och säkerhetsdörrar installeras.

En tid senare kommer du till jobbet och inser att allt verksamhetskritiskt material har blivit stulet. Detta även fast du försökt ligga steget före dina motståndare och spenderat en stor mängd pengar på skydd och detektion. Du kommer på att du tidigare installerat övervakningskameror och annan detekteringsutrustning. Du går för att se om dessa fångat händelseförloppet, vilket det visar sig att utrustningen har. Under en längre period har det pågått en operation där dina motståndare undersökt byggnadens konstruktion för att upptäcka dess svagaste punkt. De har sedan steg för steg tagit sig längre in för att till slut nå det verksamhetskritiska.

Alla dina säkerhetsinvesteringar innehåller tillsammans spår av vad som hänt. Här inser du att trots dina investeringar i säkerhet, har du endast fördröjt dina motståndare eftersom du inte haft någon som reagerat på larmen. Ingen har heller upptäckt samt stoppat ett eventuellt intrång och kommit med åtgärdsförslag för att förhindra liknande intrång i framtiden. Du inser även att dina motståndares förmågor ändras över tid och att investeringar behöver göras kontinuerligt. Ett vaktbolag anlitas för att kontinuerligt övervaka säkerhetsutrustningen, reagera på larm, proaktivt informera om eventuella brister i systemen samt för att snabbt kunna installera ny säkerhet baserad på förändrade behov.

Fysisk säkerhet blir digital

Tänk dig nu att du ska säkra det verksamhetskritiska, inte bara fysiskt men även digitalt. Principerna är liknande. Du behöver lära känna dina motståndaren, identifiera dina risker och förstå dina behov. Dina risker och motståndarnas förmåga förändras vilket gör att även behoven förändras över tid.

”Under en längre period har det pågått en operation där dina motståndare undersökt byggnadens konstruktion för att upptäcka dess svagaste punkt. De har sedan steg för steg tagit sig längre in för att till slut nå det verksamhetskritiska.”

Jämförelsevis kan övervakningskameror liknas med logginsamling och nätverkstrafikinspelning. Rörelsedetektorerna kan liknas med ett intrångsskydd. Inpasseringssystemet med autentiseringsmekanismen samt väggar och dörrar med brandväggar och nätverksswitchar. All säkerhetsutrustning bidrar till den forensiska förmågan, men finns det ingen som övervakar larmen kommer ett intrång troligen först att upptäckas när det är för sent.

”Du behöver lära känna dina motståndaren, identifiera dina risker och förstå dina behov. Dina risker och motståndarnas förmåga förändras vilket gör att även behoven förändras över tid.”

Det är nu behovet av SOC uppenbaras. SOC:en är det som reagerar på larm, upptäcker försök till intrång samt lyckade intrång. SOC:en kan därför vid ett tidigt skede komma med en åtgärdsplan för att stoppa vidare skada och förhindra liknande attacker i framtiden. SOC:en övervakar befintlig säkerhet och kan upptäcka brister samt förbättringspotential i nuvarande skydd. Eftersom alla har olika behov av skydd, olika motståndare och därmed olika risker blir svaret därför ofta olika på frågan ”Vad gör en SOC?”.

Hur kan du få rätt hjälp?

CGI hjälper dig komma igång genom att göra en hotbildsanalys som kartlägger dina motståndares förmågor. CGI kan därmed applicera hoten på din organisations risker och därmed förstå behoven. Genom att applicera rätt skydd, på rätt plats, med rätt övervakning, kan vi anpassa en SOC just för dig och dina behov. CGI erbjuder kontinuerlig övervakning av hot, risk och behov för att hjälpa dig att ligga steget före motståndarna och lägga din budget på rätt skydd. Eftersom vi påvisar värdet av tjänsterna genom datadrivna beslut blir det även enklare att förstå investeringens långsiktiga värde.

Läs också artikeln: Hur fungerar en SOC?

Läs artikeln