Oletko aikeissa kilpailuttaa SOC-toimijoita (Security Operations Center) ja mahdollisesti vaihtaa uuteen palveluntarjoajaan? Tämä blogi on juuri sinulle. Nappaa talteen vinkit, mitä asioita kannattaa vaihtaessa huomioida.
Asiat muuttuvat, etenkin kyberturvassa. Kuluneen viiden vuoden aikana kyberuhat ovat kasvaneet ja kehittyneet maailmantilanteen kiristyessä. Vastaako nykyinen SOC-palvelusi ajan haasteisiin ja miten kattavasti? Käyn seuraavaksi läpi viisi keskeistä huomioitavaa seikkaa, jotka kannattaa ottaa huomioon, jos olet aikeissa vaihtaa SOC-palvelua.
1. Haluatko asiakas- vai teknologialähtöisen palvelun?
Tämä on ydinkysymys, jota käsittelin perusteellisemmin aiemmassa blogissani. Pääpiirteittäin on siis olemassa kolmenlaisia SOC-palveluita. Organisaatiossa kannattaakin miettiä näiden palvelumallien eroja ja nostaa asia keskusteluun palveluntarjoajien kanssa.
Kiteytetysti valittavissasi on joko tietoturvatuotteiden valmistajien MDR-palvelut, oikean SOC-palvelun tarjoajat tai perinteiset IT-palvelun tarjoajat, jotka tarjoavat myös SOC-palvelua osana IT-palvelua. Millainen nykyinen SOC-palvelusi on ja millaisen toivoisit sen jatkossa olevan?
2. SIEM:llä vai ilman tai kenties hetken aikaa kaksi?
Vaikka SOC-palvelua voidaan nykyään tuottaa myös ilman SIEM-järjestelmää, SIEM on yhä tärkeä osa kokonaisuutta erityisesti organisaatioille, jotka ovat NIS2:n piirissä ja joilla on velvoite lokien keräämiseen ja säilyttämiseen. SIEM tarjoaa keskitetyn lokien hallinnan, analysoinnin ja pitkän aikavälin tutkinnan mahdollisuudet. Sen rooli on kuitenkin pienentynyt AI-pohjaisten XDR- ja EDR-ratkaisujen kehittyessä, sillä ne pystyvät analysoimaan päätelaitteiden telemetriaa ja tuottamaan havaintoja ilman kattavaa lokikeruuta.
Modernissa SOC:ssa SIEM:iä kannattaa hyödyntää erityisesti laajaa ja pitkäaikaista lokitietoa vaativiin käyttötarkoituksiin, kun taas päätelaitteiden suojaus ja uhkien havaitseminen hoituvat tehokkaammin kehittyneillä XDR-/EDR-teknologioilla. Nämä ovat ovat tietoturvatuotteita, joiden keinoäly- ja koneoppimis-algoritmit kykenevät tehokkaasti havaitsemaan kyberuhkiin liittyviä tapahtumia ja poikkeamia automaattisesti ja mahdollistavat myös SOC-analyytikon reagoinnin uhkaan nopeasti. XDR (eXtended Detection & Response) on käytännössä EDR ( Endpoint Detection and Response, päätelaitesuojaus), IDR (Identity Detection & Response, Identiteettien suojaus) ja NDR (Network Detection & Response Verkonsuojaus) tuotteiden integraatio. Hyvä SOC-kumppani osaa valita tarkoituksenmukaisen yhdistelmän näistä ratkaisuista.
SOC-palvelun vaihtaminen monesti tarkoittaa myös SIEM-ratkaisun vaihtumista. SIEM-tuotteiden migraatiot ovat yleensä tuomittu epäonnistumaan, koska yhdenkään SIEM-tuotteen valmistajan prioriteettina ei ole mahdollistaa heidän tuotteensa vaihtamista helposti kilpailijan tuotteeseen. SOC-palvelun vaihtuessa kannattaakin sallia vanhan ja uuden SIEM-ratkaisun toiminta yhtä aikaa riittävän kauan ennen kuin irtisanoo vanhan palvelun. Usein siirtymäaikaa olisi hyvä olla vähintään kolme kuukautta. Mikäli jonkin velvoitteen takia SIEM:n lokitietoa pitää olla tallessa usempi kuukausi, yleensä SIEMistä saa exportoitua lokitietoa ulos tiedostoiksi. Toki tällöin lokitiedon uudelleenkäsittely ei ole aivan helppoa, mutta se on mahdollista. Kyberturvauhkat tulee kuitenkin lähtökohtaisesti kyetä havaitsemaan ja reagoimaan minuuttien ja korkeitaan tuntien sisään, ei kuukausien kuluttua.
3. Huomioi tarvittavien agenttien ja sensoreiden asentaminen sekä liitosten tekeminen
SOC-palvelua vaihtaessa tulee aina jonkin verran asennustyötä. Varsinkin jos IT-ylläpitoa on ulkoistettu, aikatauluja joutuu sovitella, että uuden SOC:n käyttöönotto on sujuvaa. Kannattaakin hyvissä ajoin ilmoittaa kaikille sidosryhmille tulevasta muutoksesta.
4. Varaa palvelun vaihtamiseen riittävästi aikaa
Aikaa muutokselle kannattaa varata organisaation koosta riippuen 2–4 kuukautta sekä huomioida palveluiden sekä erilaisten lisenssien mahdolliset irtisanomiset. Lisäksi tulee keskustella uuden SOC-palvelun tarjoajan kanssa siitä, mitä nykyisiä kyberturvatuotteita voidaan hyödyntää palvelussa.
5. Tarkista todellinen kustannus
Hinta on tietenkin yksi tärkeä SOC-palvelun valintaan vaikuttavat tekijä. Teknologialisenssien hintojen lisäksi selvitä, miten hyvin palveluntarjoaja on ymmärtänyt juuri sinun organisaatioosi liittyvän kyberriskin uhkapinta-alan. Todellinen arvo SOC-palvelulle syntyy nimittäin siitä, miten laajasti se pystyy kattamaan tuon uhkapinta-alan.
Uhkapinta-ala voidaan jakaa kerroksiin, joihin kuuluvat identiteetit, päätelaitteet, palvelimet, verkot, pilvipalvelut, varjo-IT, ohjelmien ja järjestelmien haavoittuvuudet sekä tiedon suojauksen heikkoudet. Huomioi kustannusten osalta, mitä kuuluu kuukausihintaan sekä mistä ja milloin pitää maksaa lisää. Varmista, että budjetoit palvelun todellisen laskutuksen.
SOC-palvelun tulisi olla keskeinen osa organisaatiosi digitaalisten riskien hallintaa. Kilpailuttaessasi SOC-palveluita kysy toimittajilta, mitä riskejä he arvioivat sinun organisaatioosi kohdistuvan ja miten tarjottava SOC-palvelu pystyy niitä kattamaan. Onnistunut SOC-palvelun käyttöönotto on aina tilaajan ja toimittajan välistä yhteistyötä, jossa molemmat ymmärtävät toisiaan. Toimittaja ymmärtää asiakkaan tarpeen, mutta myös tilaaja ymmärtää toimittajan tarpeet, jotta SOC-palvelua voidaan tarjota laadukkaasti. Tästä löytyy ajatuksia aikaisemmasta blogista “SOC-palveluja on kolmenlaisia – minkä niistä valitsisit?”
Blogin kirjoittaja
Tuomas Peltola
Palvelun omistaja
