Viime aikoina on käyty keskustelua vastakkainasettelunkin hengessä CSOC:n ja MDR:n (Managed Detection and Response) välillä. Mitä yhteistä ja mitä eroa näillä ratkaisuilla oikeastaan on ja kumpi selviytyy vertailussa voittajana?
Lyhenteiden labyrintti -webinaarissa sekä siihen liittyvässä blogissa pureuduttiin kyberturvan termistöön. Tämä blogi jatkaa osaltaan siitä, mihin edellinen jäi syventymällä erityisesti CSOC:n ja MDR:n käsitteisiin. Mitä nämä termit pitävät sisällään ja mistä johtuu niiden välinen vastakkainasettelu? Taustalla on pitkälti kilpailutilanne eli se, että isot kansainväliset tietoturvatuotteiden valmistajat ovat tulleet markkinoille omilla CSOC- eli MDR-palveluillaan.
Perinteinen vai moderni CSOC?
Toisinaan kyberturvakeskus eli CSOC mielletään vanhanaikaiseksi lokivarastoksi kankeine sääntöineen. Moderni CSOC toimii kuitenkin myös MDR:n kaltaisilla periaatteilla. Ero CSOC-palvelun ja ison valmistajan MDR-palvelun välillä on ennen kaikkea se, mikä palvelun tuottamisessa on keskiössä.
CSOC-palvelun ytimessä ovat ihmiset eli tietoturvan huippuammattilaiset (analyytikot ja tietoturva-asiantuntijat). MDR-tuotteissa puolestaan keskiössä on tuote tai tuoteperhe, johon voidaan hankkia eri puolilla maailmaa toimivaa kyseiseen tuotteeseen liittyvää tietoturvan valvontaa ja reagointia MDR-option kautta. CSOC-palvelussa tuotteet valitaan tehostamaan tietoturva-ammattilaisten työtä. Nämä tuotteet voidaan sovittaa erilaisten asiakkaiden tarpeisiin sopiviksi. MDR sen sijaan rajoittaa helposti suojauksen ja valvonnan tietyn tuotteen ehdoille. CSOC-palvelussa kumppanuus ja asiakassuhde on tärkeää ja sitä kyetään huolehtimaan. MDR-palvelussa asiakas on yksi tuhannesta ja palvelua tuotetaan yleensä useasta paikasta eri puolelta maailmaa (follow the sun -periaate).
Ja mitä tulee niihin lokeihin… Lokit ovat toki historiatietoa, mutta eivät suinkaan vanhanaikaista sellaista. Lokitiedoilla on usein isokin merkitys esimerkiksi jonkin hyökkäyksen selvittelyissä ja toisaalta jo monien regulaatioidenkin takia niitä edelleen tarvitaan.
MDR:llä on paikkansa
Valmistajien MDR-palvelut voivat olla hyviäkin, en tarkoita sitä. Asiakkaan kannattaa kuitenkin tarkoin harkita, mitä tietoturvapalveluilta haetaan. On aina hyvä olla varmistunut siitä, mitä oikeastaan on ostamassa ja mitä termien taakse kätkeytyy. Yleisellä tasolla voidaan ajatella, että keinoäly eli AI on tehokkain tapa havaita kyberhyökkäyksiä. Tekoälyssä on kuitenkin myös puutteita ja haavoittuvuuksia, joita hyökkääjät pyrkivät hyödyntämään. Siksi ihmisillä eli tietoturva-asiantuntijoilla ja perinteisilläkin havainnointitavoilla on edelleen paikkansa. AI:n toiminta on suurimmalle osalle ihmisistä mysteeri, joten sitä voi olla vaikea kyseenalaistaa. Luotettavan tietoturvakumppanin asiantuntijoiden kanssa tätä mysteeriä voidaan hälventää. Valmistajienkin MDR:ssä on myös tietoturva-asiantuntijat tulkitsemassa hälytyksiä, mutta yleensä vain AI:n tuottamia hälytyksiä. Jos AI ei huomaa, niin se jää helposti MDR:n tietoturva-asiantuntijaltakin huomaamatta. Ratkaiseva kysymys on lopulta se, onko toiveissa saada valvontaa ja reagointia vai tietoturvaa jatkuvasti kehittävää kumppanuutta.
Me Loihteella olemme lähteneet jo noin kymmenen vuotta sitten kehittymään perinteisestä SIEM- ja lokipohjaisesta SOC-palvelusta ensin päätelaitesuojauksen (EDR, Endpoint Detection and Response) tuotevalintojen kautta. Tämän jälkeen olemme pystyneet vakiinnuttamaan 24/7-valvonnan. Kehittyviä uhkien havainnointia varten etsimme toimivat ratkaisut verkkotapahtumien havainnointiin (NDR, Network Detection and Response) ja identiteettien havainnointiin (IDR, Identity Detection and Response). Pilvipalveluihin havainnointia tehostamme CDR-ratkaisuilla (Cloud Detection and Response). Olemme siis toimineet vuosia modernina CSOC-palvelun tarjoajana, joka valvoo, havaitsee ja reagoi uhkiin sekä hallinnoi palveluun kuuluvia XDR-tuotteita (Extended Detection and Response = EDR+NDR+IDR+CDR).
Moderni CSOC on siis myös MDR. Tosin esimerkiksi me Loihteella poikkeamme valmistajien MDR:stä siten, että mukana tulee kokeneita suomea (ja myös englantia) puhuvia tietoturva-ammattilaisia. Asiakkaalle nimetään CSOC-kontaktihenkilö tekemään tietoturvakumppanuutta asiakkaan tarpeiden – ei teknologian – pohjalta. Ja palvelussa tarjoamamme teknologiat ovat käytännössä koeteltu ja toimiviksi havaittuja.
Modernissa CSOC:ssa asiakkaalle sovitettu XDR-kokonaisuus on mukana tehostamassa analyytikon työtä asiakkaan tarpeiden pohjalta. Voit siis oikeastaan saada molemmat! CSOC:n etuna on myös se, että se ei ole staattinen ratkaisu, vaan palvelu muotoutuu asiakastarpeisiin ja asetettuihin tietoturvatavoitteisiin. Valmistajien MDR-palvelut ovat puolestaan, kuten todettu, hyvin teknologiakeskeisiä ja tarvitset kuitenkin lisäksi sen perinteisen CSOC:ia vastaavan kumppanin, jonka kanssa kehität tietoturvaa eteenpäin, teidän tarpeiden pohjalta.
Erot tiivistetysti:
MDR:
+ Tarjoaa kustannustehokkaasti valvontaa ja reagointia
+ Modernia XDR-teknologiaa
- Staattinen
- Teknologiakeskeinen
CSOC:
+ Aito tietoturvakumppanuus
+ Asiakastarpeisiin mukautuva
+ Kustannustehokkuus syntyy asiakkaalle sopivasta kokonaisuudesta (osaaminen+XDR+SIEM+kumppanuus)
+ Ihmiskeskeinen, ei perustu vain teknologiaan
+ Moderni CSOC hyödyntää myös AI-pohjaisia DR-teknologioita
Blogin kirjoittaja
PS. Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!
