Millä sertifikaateilla on oikeasti merkitystä kyberturvatyössä?

CSOC-palveluita (kyberturvakeskus) vertaillessa tarjouspyyntöihin kirjataan usein toiveita tai vaatimuksia asiantuntijoiden suorittamista kyberturvasertifikaateista. Tietoturvaan liittyen tarjolla on osaamista todentavia sertifikaatteja laidasta laitaan, mutta miten erottaa ne kaikkein tärkeimmät ja oleellisimmat? Lue blogistamme, mihin sertifikaatteihin kannattaa kiinnittää huomiota, kun valitset CSOC-palvelua ja arvioit SOC-analyytikoiden osaamista.

Kyberturva-alalla sertifikaatit ovat keskeinen tapa todentaa SOC-analyytikoiden osaamista. Sertifikaattien taso ja laajuus kuitenkin vaihtelevat melkoisesti. Osa hoituu melko kevyesti itse opiskellen ja ilmaiseksi. Toisessa ääripäässä ovat yliopistotason viikkoja kestävät kurssit, jotka vaativat runsaasti opiskelua ja sisältävät tuhansia sivuja luettavaa. Osa sertifikaateista on varsin hintavia ja kustannukset liikkuvat satasista tuhansiin euroihin. Osallistujien osaamista mittaavat arvioinnit vaihtelevat edullisimpien kurssien monivalintatehtävistä hintavampien kurssien kattaviin käytännön kokeisiin. Suoritettavia sertifikaatteja tarjoavat niin ohjelmistotalot kuin puolueettomat tahotkin.

Hankinnoista päättävät ja tarjouspyyntöjä laativat konsultit voivat arvottaa hyvin erilaisia asioita, eikä heidän tietämyksensä sertifikaateista ole välttämättä ajan tasalla. Kannattaa huomioida sekin, että asiantuntijoilla voi myös olla todella hyvää osaamista ilman sertifikaattejakin, mutta sertifikaatit ovat hyvä keino todentaa osaamista.

Kokosimme tähän blogiin muutamia keskeisimpiä sertifikaatteja, joita kannattaa tarjouspyyntöihinkin nostaa ja joiden suorittamisen perään kannattaa kysellä.

1) Hyvä perusta: Blue Team Level 1 (BTL1)

SOC-analyytikoiden keskeistä puolustusosaamista eli niin sanotun sinisen tiimin työtä on kyky analysoida tietoturvatapahtumia mahdollisimman nopeasti ja mahdollisimman syvälle. Näin he pystyvät tekemään perustellun päätöksen siitä, onko kyseessä normaali toiminta vai jotakin poikkeavaa. Tähän hyvän pohjan antaa Security Blue Teamin perustason BTL1.

• Antaa perustiedot muun muassa SIEMistä ja forensiikasta
• Edellyttää sisältöjen hallintaa ja 24 tunnin mittaista näyttötyötä laboratoriossa

BTL2 laajentaa ykköstason osaamista esimerkiksi uhkien metsästykseen ja haittaohjelma-analyysiin. Tasoja on kolmanteen portaaseen saakka, jolla keskitytään tiimien johtamiseen ja toiminnan suunnitteluun.

2) IT-ympäristöihin forensiikkaosaamista: GCFA

GCFA (GIAC Certified Forensic Analyst) kattaa saman aihealueen kuin edellä mainittu sertifikaatti, mutta siinä on huomattavasti laajempi teoriapohja. Sertifikaatin koulutuksen järjestää SANS Institute ja sertifikaatin myöntää GIAC (Global Information Assurance Certification). Laadukkaat GCFA-kurssit vaativat osallistujalta viikon kestävän intensiivisen koulutuksen. Kouluttajat ovat alansa huippuja ammattilaisia, jotka tekevät itse alan työtä usein huomattavasti vaativimmissa tehtävissä.

• Valmistaa asiantuntijaa johtamaan tietoturvatapahtuman selvittämistyötä
• Sisältöinä muun muassa järjestelmien forensiikka, uhkien jäljittäminen sekä hyökkäysten analysointi ja jälkihoito

GCFA sopii SOC-analyytikolle, joka vastaa poikkeamien tutkinnasta ja johtaa IR-prosesseja (incident response).

3) OT-ympäristöissä työskenteleville: GICSP & GRID

Yhteistyössä GIAC:in kanssa SANS tarjoaa GRID- (GIAC Response and Industrial Defense) ja GICSP-sertifikaatit (Global Industrial Cyber Security Professional) OT-ympäristöiden tietoturvaosaamisen todentamiseksi.

• GISCP:n sisältöjä ovat olleet suunnittelemassa isot kansainväliset teollisuusautomaatioyritykset
• GRID:n suorittanut SOC-analyytikko kykenee johtamaan tutkintaa OT-ympäristöissä

Nämä sertifikaatit ovat tärkeitä niille tietoturva-ammattilaisille, jotka työskentelevät jonkin teollisuusjärjestelmiin tai kriittiseen infrastruktuuriin liittyvän tahon kanssa.

4) Red team -kosketus: OSCP

OSCP (Offensive Security Certified Professional) on varsin tunnettu sertifikaatti erityisesti vaativuutensa vuoksi. Koe mittaa opittujen asioiden aitoa soveltamista ja 24 tunnin mittaisen kokeen läpäistäkseen on todella osattava vaadittavat asiat. Aikapainetta ja turnauskestävyyttä mittaa myös se, että itse teknisen osuuden lisäksi on kyettävä vielä kirjoittamaan raportti vaativan suorituksen jälkeen.

• Avaa näkökulmia hyökkääjän ajatteluun ja laajentaa siten osaamista huomattavasti
• Iso osa sinisen eli puolustavan tiimin (blue team) osaajista ei toimi ollenkaan punaisen tiimin eli hyökkäävän tiimin (red team) roolissa. Osaamista ja ymmärrystä punaisen tiimin toiminnasta on kuitenkin hyvä olla olemassa

5) Edes yhdellä tiimissä: CISSP

Kannattaa varmistaa, että tiimissä ainakin yhdellä analyytikolla on CISSP (Certified Information Systems Security Professional). Kurssimateriaali on tuhansia sivuja, joten läpäistävän kokeen lisäksi sertifikaatin saavuttaminen vaatii tuhtia työmäärää.

• Kattaa laajasti tietoturvan eri osa-alueita aina kameroista aitoihin ja myös lakikysymykset tulevat käsitellyiksi
• Soveltuu erityisesti tiimivetäjille ja turvallisuusarkkitehdeille
• Muun muassa organisaatioon kohdistuvat tietoturvariskit ja niiden kustannustehokas pienentäminen ovat keskeinen osa CISSP:ssä käsiteltäviä asioita

6) Tiettyjen ohjelmistotalojen sertifikaatit

Nämäkin ovat toki tärkeitä, etenkin jos kyseisellä asiakkaalla on käytössä juuri tietyn yrityksen ohjelmistopalveluita. Täytyy kuitenkin muistaa, että nämä juuri tiettyyn palveluun tai palvelukokonaisuuteen liittyvät sertifikaatit todentavat juuri kyseisten tuotteiden palveluihin liittyvää osaamista eivätkä välttämättä ole sovellettavissa muihin palveluihin.

**

Tässä ei suinkaan ollut kaikki ja lisääkin erittäin mainiota sertifikaatteja voisi luetella. Mitä opimme edellä mainitusta?

CSOC-palveluntarjoajia vertaillessa kannattaa miettiä näitä asioita:

• Millainen osaaminen on juuri omalle organisaatiolle oleellista
• Konsultit ovat kilpailututkissa hyvä apu, mutta varmista, että heidän tietonsa on ajan tasalla
• Ota myös itse selvää, mitkä sertifikaatit ovat tärkeitä. Niitä kannattaa painottaa tarjouspyynnön laatupisteytyksessä
• Keskity sertifikaatteihin, jotka todentavat käytännön osaamista (BTL1, GCFA, GRID), kokonaiskuvaa (CISSP) ja omaan IT- ja/tai OT-ympäristöön sopivia teknisiä taitoja
• Yksittäisten osaajien meriitit ja sertifikaattien merkitys on tärkeää, mutta oleellista on miettiä myös koko SOC-tiimin osaajien kokonaisuutta. Tiimi tulee rakentaa siten, että kunkin analyytikon osaaminen tukee toisiaan ja palvelee kokonaisuutta. T-mallissa tiimin kaikilla jäsenillä on laaja yleisymmärrys monista osa-alueista ja syvä osaaminen yhdestä tai muutamasta ydinalueesta

PS. Loihteella osaajia kannustetaan kouluttautumaan ja suorittamaan tärkeiksi koettuja sertifikaatteja. Näin voimme osoittaa myös asiakkaillemme puolueettomien arviointien kautta osaajiemme kovan tietoturvaosaamisen tason. Viime kädessä osaaminen tulee esiin silloin, kun jotakin tapahtuu. CSOC toimii sinisenä eli puolustavana tiiminä ja se on aina varautunut pahimpaan. Mitä paremmin tiimin osaajat ovat koulutettuja, sitä nopeammin he ovat valmiita isonkin poikkeaman ratkaisemiseen, vaikka takana olisi pidempikin rauhallinen jakso. Tärkeää on myös, että CSOC:ssa jatkuvasti ylläpidetään omaa perusosaamista esimerkiksi haittaohjelmia testaamalla ja hyökkääjän työkaluihin tutustumalla sekä seuraamalla tietoturvan ajankohtaisia tapahtumia maailmalla.

Blogin tekemisissä on hyödynnetty Loihteen CSOC-palvelun asiantuntijoiden osaamista ja näkemyksiä.

Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut, tietoturva tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!