SOC eli Security Operations Center ei ole vain yksi palvelumalli, vaan niitä on oikeastaan yhtä monta kuin on tarjolla olevaa palvelua. Pääpiirteissään eri palvelumallit voidaan kuitenkin jakaa kolmeen keskeiseen ryhmään. Näiden eri vaihtoehtojen hyötyjä ja sisältöjä kannattaa punnita tarkkaan.
Vaihtoehto A:
Tietoturvatuotteiden valmistajien MDR-palvelut (Managed Detection and Response)
Tämä palvelumalli nojaa vahvasti valmistajan tietoturvatuotteisiin, kuten päätelaitesuojaustuotteisiin (EDR = Endpoint Detection and Response). Käytännössä voit lisenssipäivityksellä hankkia valmistajan SOC-palvelun, joka hallinnoi tuotetta, analysoi ja reagoi soveltuvien tietoturvatuotteiden hälytyksiin. Nämä isot MDR-SOC:it toimivat maailmalla ja palvelevat satoja ja tuhansia asiakkaita.
Yleensä nämä ovat hinnaltaan halpoja, mutta samalla palvelun prosessit ovat usein kankeita, eikä kaikkia asiakkaan erityispiirteitä voida ottaa huomioon. Painotus on vahvasti tekniikassa ja asiakkaan pitää tehdä kompromisseja kyberriskien hallintaan ja varmistaa, että itsellä on kyvykkyyttä huolehtia MDR:n ulkopuolelle jäävistä kyberriskeistä. MDR-hälytykset vaativat monesti myös asiakkaan omaa reagointia, vaikka palvelu olisikin 24/7. Hälytys on nimittäin tehoton, jos siitä ei seuraa toimenpiteitä.
Vaihtoehto B:
Oikean SOC-palvelun tarjoajat
Nämä eivät ole niin tiukasti tietyn teknologian ja valmistajan tuotteiden ominaisuuksien rajoissa, vaan palvelu on rakennettu soveltaen erilaisia tuotteita ja teknologiota. Palvelu rakentuu siten kullekin asiakkaalle sopivista ja tarpeellisista moduuleista sekä asiantuntijoiden osaamisesta, prosesseista ja integraatioista palvelun tuottamista tehostaviin järjestelmiin. Kun moduuleja on riittävästi, niistä voidaan rakentaa joustavasti juuri asiakkaan tarpeisiin soveltuva kokonaisuus. Pääpaino palvelussa on kumppanuudella eikä vain teknologialla.
Olen vahvasti tämän B-vaihtoehdon kannalla, sillä kyberriskeiltä ei voi millään teknologialla suojautua täysin. AI voi auttaa SOC-analyytikkoa työssään, mutta ei korvaa tätä. Täydellisen suojautumistavoitteen sijaan kasvatetaan sietokykyä eli resilenssiä erilaisiin kyberuhkiin. Hyvässä SOC-palvelussa ymmärretään ja opitaan tunnistamaan asiakkaan kyberriskien uhkapinta-alaa ja pienentämään sitä sekä oppimaan asiakkaan toiminasta ja järjestelmistä sekä hyödyntämään kokemuksia myös muista asiakkuuksista. SOC:n asiantuntijat pystyvät ehdottamaan parannuksia sekä havaitsemaan heikkoja kohtia ennen hyökkääjiä. Eli tämän takia voidaan puhua oikeasta SOC:sta, jossa tehdään mahdollisimman vähän kompromisseja, kun vastataan asiakkaan oikeisiin kyrberriskeihin.
Tässä palvelumallissa asiakas saa suoraa palvelua asiantuntijoilta. Palvelussa pystytään myös paremmin huomiomaan erilaisia vaatimuksia ja regulaatioita, kuten GDPR, NIS2 ja DORA. Hinta palvelulla on yleensä MDR-SOC:ja korkeampi, mutta asiakas saa myös paljon asiakaskohtaisempaa kyberturvapalvelua.
Havainnekuva tyypillisestä tietyn tuotteen tai teknologian MDR-palvelusta verrattuna SOC-palveluun, jossa huomioidaan asiakaskohtaisesti kyberriskit.
Vaihtoehto C:
Perinteiset IT-palvelun tarjoajat, jotka tarjoavat myös SOC-palvelua osana IT-palvelua
SOC:n rakentaminen ja tietoturva-asiantuntijoiden löytäminen ei ole helppoa ja se vie aikaa. Siksi monet IT-palveluntarjoajat tarjoavat SOC-palvelua hyödyntämällä vaihtoehto A:ta. Esimerkiksi palveluun jo kuuluva päätelaitesuojaus tuotteeseen hankitaan lisäksi valmistajan tarjoamaa MDR-palvelua. IT-palvelun service desk ottaa vastaan MDR-palvelun lähettämät hälytykset ja hoitaa ne asiakkaan kanssa.
Tässä vaihtoehdossa on kuitenkin huomioitava se, että vaikka olisikin taitava osaaja IT-järjestelmien, työasemien ja palvelimien kanssa, niin hyvin harva kykenee samalla olemaan myös taitava analysoimaan hälytyksiä ja kehittämään kyberturvan valvontaa kuin erityisesti kyberturvan valvontaan keskittynyt palvelu. Vaihtoehto C:ssä on varauduttava kompromisseihin IT-palveluiden ja kyberturvapalveluiden välillä.
Kuten aina kyberturvapalveluissa, niin tässäkin, kannattaa lähteä liikkeelle omien tarpeiden, tavoitteiden ja toiveiden tunnistamisesta. Mikä palvelu tukee parhaiten juuri oman organisaation tarpeita? Jos olette aikeissa vaihtaa SOC-palvelua, kannattaa lukaista aihetta koskeva blogini.
Blogin kirjoittaja
Tuomas Peltola
Palvelun omistaja
