Tietoturvasta puhuttaessa ollaan toisinaan liian tuotekeskeisiä ja unohdetaan oleellisin eli asiakkaan tiedon turvaaminen. Jos keskitytään tuotteisiin ja niiden parhaisiin ominaisuuksiin, se ei yleensä palvele asiakasta parhaalla tavalla. Palvelulähtöinen tarkastelu sen sijaan huomioi kokonaisuuden ja mahdollistaa oleelliseen keskittymisen.
Tietoturvassa ei ole tärkeää tietyn tuotteen hankinta, vaan itse kokonaisuus ja sen kehittäminen. Palvelu toki muodostuu hyviksi koetuista tuotteista ja tuotteilla tehtävästä asiantuntijoiden työstä, mutta palvelu voidaan muotoilla asiakkaan tarpeita vastaavaksi kokonaisuudeksi, joka kattaa tietoturvan eri osa-alueet yksittäistä tuotetta huomattavasti kattavammin. Näin pystytään keskittymään juuri siihen, mikä on asiakkaan kannalta oleellista.
Ajatellaan vaikka vanhaa taloa, josta tiedämme, että remonttia pitää tehdä. Meille soittaa kattoremontteja tekevä yritys ja kertoo, miksi juuri katto kannattaa nyt korjata. Seuraavalla viikolla ikkunafirma perustelee, miten paljon säästämme lämmityksessä vaihtamalla uudet ikkunat. Tilaamme kattoremontin ja ikkunat, ja kaikki menee hyvin, kunnes yhtenä päivänä huomataan, että vesiputki on vuotanut ja kastellut rakenteita. Rahaa paloi jo katto- ja ikkunaremontteihin. Toiveissa oli ehkä, että ennen seuraavaa remonttia voisi säästää vähän. Eli varmasti näin jälkiviisaana olisi ollut parempi katsoa taloa kokonaisuutena sekä asiantuntevan kuntoarvion pohjalta laatia suunnitelma remontista ja sen toteutuksesta. Tämä sama pätee tietoturvaan.
Onko oleellista ostaa joku tietty tuote ja luottaa, että se riittää vai kartoittaa tilanne ja sen jälkeen tehdä valinta, miten tietoturvaa kannattaa kehittää?
Ykkösasiat ensin
Kuten esimerkki talon remontoinnista osuvasti havainnollisti, on ensiarvoisen tärkeää tunnistaa juuri asiakkaan tietoturvan kannalta oleelliset asiat ja aloittaa kehittäminen niistä. Palvelua voi myöhemmin kasvattaa ja muovata vaikkapa tarpeiden muuttuessa tai kasvaessa.
Kuten monesti remonteissa, vasara voi hyvinkin pysyä omassa kädessä, mutta kiireet aiheuttavat sen, ettei remonttia ehdi aloittaa tai viedä loppuun. Siksi ammattilaisen tilaaminen on monesti paras ratkaisu. Näin on myös tietoturvassa ja etenkin tietoturvan operoinnissa. Harvalla organisaatiolla on nimittäin mahdollisuuksia ja varaa omaan SOCiin (Security Operation Center). Ei ainakaan joka hetki ympäri vuorokauden, koska tämä vaatisi jo neljän tai viiden tietoturvaosaajan palkkaamisen. Tietoturvan operointi on järkevää ulkoistaa luotettavalle tietoturvakumppanille ja modernille SOC-palvelun tarjoajalle.
MDR on moderni SOC
CSOC-palveluissa on myös eroja. Siinä missä perinteinen ratkaisu vain kerää hälytyksiä ja välittää niitä eteenpäin, moderni CSOC-palvelu myös vastaa hälytyksiin tehden vastatoimenpiteitä (mitigoi havaittuja tietoturvahyökkäyksiä). Hälytyksiin reagoivaa CSOCia voitaisiin kutsua SOCin 2.0-versioksi tai MDR-palveluksi (Managed detection and resonponse). Juurikin ”detect” (havaitsee oikeasti) ja ”response” (vastatoimet) ovat ne palvelun kannalta oleelliset modernit elementit, joilla havaitaan kehittyneetkin hyökkäykset ja vastataan niihin eikä vain hälytetä.
MDR-palveluissa keskitytään tietoturvan kannalta oleelliseen eli yleensä päätelaitteiden, verkkojen ja pilven suojaamiseen (xDR-tuotteet). Yleensä nämä riittävät, mutta ne voivat jättää aukkoja varsinkin, jos SIEM-mahdollisuutta ei ole eikä esimerkiksi käyttäjätunnusten toimintaa ja tiedostojen käyttöä (audit) voida havainnoida tai niiden havainnointi on rajallista.
MDR-palveluun on mahdollista myös liittää tietyin varauksin asiakkaan omia tietoturvatuotteita. Varsinkin Microsoftin 365 E5 -tietoturvapino on täysin tuettu. Mutta tässäkin pätee sama ajatus kuin talon remontoimiseen. Kummalla tavalla työ tulee tehokkaimmin tehtyä, talon asukkaiden omilla työkaluilla vai remonttifirman omilla työkaluilla? Oletammeko säästävämme rahaa ostamalla itse työkalut ja kertomalla remontoijalle, että työ tehdään talon omistajien työkaluilla? Esimerkiksi kaikki EDR- ja NDR-tuotteet eivät ole samantasoisia varsinkaan SOC-palvelua ajatellen, vaan toiminnallisuuksissa on paljonkin eroja. Tämä kannattaa huomioida, kun uudistetaan tietoturvaa.
Kuva 1. MDR-ritari ja tärkeät varusteet. EDR-miekka on ritarin eli SOC-analyytikon tärkein ase. Sillä torjutaan iskuja ja isketään takaisin. SIEM-kilpi antaa suojaa ja peittää haavoittuvat alueet. Kilpi liikkuu käden mukana suojaten edestä, sivulta ja päältä. NDR-kypärä ja muut haarniskan osat suojaavat yllätyksiltä, joita ei muuten havaita tai ehditä reakoimaan, kuten isku takaapäin.
Loihteen CSOC MDR
Palvelumoduulit koostuvat seuraavista tietoturvateknologioista: päätelaitesuojaus EDR (Endpoint Detection and Response), SIEM (Security Incident and Event Management) ja NDR (LAN- ja pilviverkkojen havainnointi Network Detection and Response). MDR-palvelut kuuluvat Loihteen CSOC 24/7/365 -palveluihin.
Kuten kuvan 1 ritarin varustaminen lähtee miekasta, niin myös Loihteen MDR-palvelun varustaminen lähtee miekasta eli päätelaitteiden reagoivasta suojauksesta EDR-palvelusta. Muut varusteet otetaan mukaan tarpeen mukaan.
Esimerkkejä Loihteen MDR 24/7 -palveluista ovat:
• Light: CSOC 24/7/365 + EDR
• Net: CSOC 24/7/365 + EDR + NDR
• Net & Cloud: CSOC 24/7/365 + EDR + NDR + O365 ja Azure AD
• SIEM: CSOC 24/7/365 + EDR + SIEM
• M365: CSOC 24/7/365 + Microsoft 365 -tietoturva
• Full: CSOC 24/7/365 + EDR + SIEM + NDR
PS. Kannattaa ehdottomasti konsultoida tietoturvapalveluiden tarjoajaa ennen kuin tekee päätöstä tietoturvatuotteen hankinnasta. Palveluntarjoajalla on usean vuoden käytännön kokemus tietoturvatuotteista oikeissa tuotantoympäristöissä ja tietoturvatilanteissa. Hintakin voi yllättää positiivisesti.