On aika tuulettaa SOC-myyttejä

Myytti 1: SOC on kallis

SOC-palvelu on ehkä kallis, jos ajattelee, että 4000 €/kk on paljon rahaa ja sillä saa kaikkea muutakin hyödyllistä – kuten vaikkapa Microsoftin tietoturvapaketin nykyisen M365-tilauksen päälle. Eli työkalut tietoturvaa varten. Mutta valmistuuko talo, jos hankkii vain oikeat työkalut, laitteet ja koneet sekä tilaa materiaalit työmaalle? Vaikka työkalut ovat viimeisen päälle ja materiaalit siisteissä pinoissa, jonkun täytyy tehdä työ.

Entäpä, jos palkkaisi kyberturvaosaajan töihin hyödyntämään tehtyä sijoitusta juuri hankittuun tietoturvapakettiin? Jos 4000 eurosta vähentää työvoimakulut, palkkaa voi maksaa ehkä 2700 €/kk. Saako tällä palkalla hyvän ja kokeneen kyberturvaosaajan? Voin kertoa, että ei saa eikä yksi edes riitä. Tietoturva pitää olla hallussa 24/7. Työkalut ja automaatio auttavat kyllä, mutta kyberturvan valvonta on kovaa työtä – aivan kuten talon rakentaminenkin. Molemmissa työnjälki puhuu puolestaan, ja lopulta näkee mitä säästäminen tuli maksamaan. Eli SOC-palvelu on itse asiassa jopa halpa. Hyvien tietototurvatuotteiden valmistajat mahdollistavat SOC-työn tehostamisen sekä kovan kilpailun, mikä pakottaa SOC-palvelun tarjoajia kehittämään palveluaan koko ajan.

Myytti 2: Valvomo se olla pitää

Monesti SOC yhdistyy mielikuvaan hämyisestä valvomosta, jonka edessä isot sinertävänä hohtavat näytöt luovat analyytikoille monenlaista käppyrää ja tilannekuvaa. Todellisuudessa SOC-analyytikot työskentelevät usein osan aikaa etänä monen muun tietotyöläisen tapaan. Aivan kuten muussakin keskittymistä vaativassa työssä, myös SOC-analyytikon työ voi olla tehokkaampaa, kun sitä voi turvallisesti tehdä myös etänä.

Kyberturvassa keinoäly ja etenkin koneoppiminen on ollut mukana jo pitkään. Automatiikka hoitaa selvät hyökkäykset ja uhat. SOC-analyytikot voivat näin keskittyä havaitsemaan kehittyneimpiä uhkia, joiden jälkiä koneoppimisen algoritmit nostavat esiin. SOC-palvelussa teknologian on tarkoitus vähentää ja tehostaa ihmisen tekemää työtä. Maailmalla käytetyistä kyberhyökkäystaktiikoista ja -tekniikoista kerätään koko ajan tietoa, jota tietoturva-ammattilaiset hyödyntävät havaitakseen kyberhyökkäykset ajoissa.

Automatiikkaa ja integraatioita kehitetään jatkuvasti. Uusiin uhkiin luodaan tunnisteita. Mikäli jossain jokin uhka aktivoituu laajaksi, saa vuorossa oleva analyytikko hälytettyä lisää apua. Apu tulee nopeasti ja turvallisesti etänä eikä suinkaan tarvitse odottaa, että saavutaan fyysisesti valvomoon. Tietoturvalliset tiimityövälineet mahdollistavat analyytikkojen toimimisen tehokkaasti yhdessä myös eri paikkakunnilta. Toki osa SOC-analyytikoista haluaa edelleen tehdä työtä toimistolla valvomossa, mutta se kenellä SOC:ssa on isoimmat monitorit, ei korreloi SOC-palvelun kyvykkyyteen.

Myytti 3: Riittää, että johtajat suojataan

Totta on, että kyberrikolliset kohdistavat enemmän hyökkäyksiä organisaatioiden avainhenkilöihin, mutta heikkoa kohtaa etsitään vielä laajemmin. Tietenkin varastetulla toimitusjohtajan identiteetillä on uskottavampaa ajaa kalastelu- ja huijausoperaatioita kuin jonkin muun työntekijän identiteetillä. Hyökkääjät voivat kuitenkin edetä organisaation tietojärjestelmissä kenen tahansa työntekijän identiteetin ja päätelaitteen avulla. Hyökkääjiä kiinnostaa rahan ansaitseminen, ei tittelit. Harvoin toimitusjohtaja itse hoitaa esimerkiksi laskujen maksuja ja pankkiyhteyksiä.

Kyberhyökkäysten taktiikat ovat monivaiheisia ja monesti hyvinkin kehittyneitä. Hyökkääjä on kärsivällinen ja etsii heikkoja kohtia. Siksi tietoturvan suojauksen ja seurannan täytyy olla riittävän laajaa ja monikerroksellista. Jos identiteetti saadaan murrettua, sen poikkeava käyttäytymien täytyy havaita. Mikäli verkkoon kytketty laite alkaa tutkia verkkoa, myös se pitää havaita, oli se sitten tietoturvaskanneri tai hyökkääjän haltuun saama työasema.

Myytti 4: Itse hankkimalla säästää

Helposti ajatellaan, että voisi säästää hankkimalla itse tietoturvasuojauksen työkalut ja opettelemalla käyttämään niitä. Valitettavasti tämä on onnenkauppaa ja toiveajattelua.

Tietoturva-ammattilaisista on huutava pula. Siksi toimivat ja keskenään integroituvat ja helposti hallittavat moniasiakasympäristöihin soveltuvat työkalut ja ohjelmistot ovat tärkeä osa SOC-palvelua. Niillä tehostetaan työtä ja automatisoidaan rutiineja. Eikä ole niin selvää, että asiakkaan itse hankkimat tietoturvatyökalut edes soveltuvat tähän. Helpointa ja varminta on, kun asiakkaan tietojärjestelmät liitetään käytännössä hyviksi todettuihin tietoturvatyökaluihin, joiden päälle SOC-palvelu on rakennettu.

Mikäli organisaatio tietää, ettei sillä ole mahdollista rakentaa omilla resursseilla SOC-palvelua, kannattaa aina pyytää SOC-palvelun tarjoajilta sekä tarjousta että mielipidettä tietoturvan suojaamiseen. SOC-palvelun tarjoajat ovat vuosia työskennelleet erilaisten tietoturvatyökalujen ja -ohjelmistojen parissa rakentaen rutiineja ja prosesseja niiden päälle.

Myytti 5: Kannattaa ostaa vasta sitten, kun jotain tapahtuu

Vaikka tässäkin vaiheessa SOC-palvelu voi auttaa, niin se on usein myöhäistä ja kallista. Jos esimerkiksi tietoa on jo varastettu, ei sitä yksikään SOC saa enää poistettua rikolliselta. Rikolliset voivat myös toimia maassa, johon Suomen viranomaisten toimet eivät yllä.

Lunnashaittaohjelman kryptaama tieto saadaan toki palautettua varmuuskopiolta, ellei niitäkin ole kryptattu. Verkossa olevat palvelimet ja palvelut voidaan asentaa uudelleen ja käyttäjien työasemat myös. DFIR-tiimit (Digital Forensics & Incident Response) voivat selvitellä hyökkäyksen kulkua ja puhdistaa verkkoa, jotta uudelleen asennetut palvelimet ja työasemat voidaan liittää taas tuotantoon. Tässä kuluu aikaa lukuisia päiviä ja monesti viikkoja. Joissain tapauksissa jo päivän tuotannon seisaus maksaa enemmän kuin monen vuoden SOC-palvelu olisi maksanut. Ja haitta ei välttämättä rajoitu vain organisaatioon itseensä, vaan myös yhteistyökumppaneihin ja asiakkaisiin.

Samoin kuin auton vanhojen talvirenkaiden uusimisessa ei kannata säästää ja odottaa kolaria tai tieltä suistumista, myös SOC-palvelu voi säästää isoja rahoja ja estää onnettomuuden. Hyökkäykset alkavat yleensä jostain pienestä ja laajenevat. Hyvä SOC pystyy pysäyttämään hyökkäyksen jo alkutekijöihin.

SOC:lla kyberturvapalvelut kuntoon kerralla ja kokonaan? Kyllä ja ei. SOC-palvelu voidaan ottaa käyttöön moduuleittain (päätelaitesuojaus, identiteettien suojaus, verkon suojaus, lokien kerääminen jne.), mutta suojaus kannattaa aina suunnitella asiakaskohtaisesti. Näin saadaan rakennettua palvelu, jossa SOC pystyy havaitsemaan riittävästi todennäköisimpiä hyökkäystaktiikoita ja -tekniikoita sekä vastaamaan havaittuihin uhkiin tehokkaasti.