Skip to content

CSOC-kyberturvakeskus

Kellon ympäri miehitetty kyberturvakeskuksemme valvoo ja reagoi tietoturvatapahtumiin pitäen huolen siitä, että asiakkaamme voivat rauhassa keskittyä liiketoimintaansa.

cybersec_m
Alert

Turvattua liiketoimintaa 24 / 7

Tehtävänämme on turvata asiakkaidemme liiketoiminnan jatkuvuus. CSOC:mme avulla minimoit tietoturvariskit, ja uskomme sen olevan paras investointi, jonka voit tehdä tietoturvanne parantamiseksi. Kokonaisvaltainen palvelumme havaitsee ja reagoi poikkeamiin, suojaa hyökkäyksiltä ja auttaa palautumaan poikkeamatilanteista sekä tunnistamaan riskejä ja kehityskohteita.

Minimoimme nyt myös ylimääräiset taloudelliset riskit; saat CSOC-palvelumme nyt käyttöösi ilman pitkiä sitoumuksia ja käyttöönottomaksuja. Uskomme palvelumme hyötyjen ja korkean palvelutason osoittavan kumppanuuden kannattavuuden nyt ja tulevaisuudessa.

Miksi valita CSOC-palvelumme?

Ymmärrys prioriteeteista, kokonaisvaltainen hallinta ja sujuva yhteydenpito varmistavat huolettoman palvelun. 
Loihde - People at office - SCF2968 - 1920 x 1280

Huoleton MDR-palvelu

CSOC-palvelumme on 24/7/365 MDR-palvelu (Managed Detection & Response), mikä tarkoittaa, että CSOC:mme vastaa palveluun liittyvien tietoturvajärjestelmien hallinnasta, uhkien havaitsemisesta ja analysoinnista sekä niihin liittyvistä vastatoimista ja raporteista sovittujen prosessien mukaan. Toimimme saumattomasti yhteistyössä niin asiakkaan kuin heidän sidosryhmiensä kanssa. Näin voit huoletta keskittyä liiketoimintanne tukemiseen ja kehittämiseen.

Loihde - Light bulb close-up - DSCF2790 - 1920 x 1280

Nopeasti hyötyihin kiinni

Kokemuksemme kautta olemme luoneet selkeän käyttöönottoprosessin, jotta palvelun hyötyihin päästään mahdollisimman nopeasti kiinni. Ensimmäisen kuukauden aikana CSOC-valvonta saadaan käyttöön esimerkiksi Microsoft 365 -pilvipalveluiden tietoturvaan, jonka jälkeen palvelua laajennetaan vaiheittain kunnes palvelu on täysin tuotannossa. Tärkeintä on saada suojattua ensisijaisesti identiteetit ja päätelaitteet, sillä niiden kautta käynnistyy myös suurin osa hyökkäyksistä. Palvelun pyöriessä kehitämme jatkuvasti toimintaamme ja jaamme havaintoja sekä kehitysehdotuksia tietoturvan tason ylläpitämiseksi ja parantamiseksi.

Loihde_some (55)-1

Asiantuntijoilta asiantuntijoille

Meillä vastassa ei ole asiakaspalvelua vaan olet aina yhteydessä suoraan asiantuntijoihin. Nimetty kyberturvallisuuden palvelupäällikkö ylläpitää jatkuvaa kommunikaatiota tiiminne ja CSOC:n välillä eri tilanteiden, havaintojen ja tapahtumien raportoimiseksi sekä kehitysideoiden ja -projektien esittelemiseksi. Palvelupäällikkö on CSOC:n palvelutiimin hallinnan ammattilainen, joka työskentelee läheisessä yhteistyössä tietoturvan ja asiakkuudenhallinnan asiantuntijoiden kanssa.

Asiakkaidemme arvioita CSOC-palvelusta

Totesimme, että nykypäivänä ei voi olla ilman CSOC:ia. Meillä ei ollut myöskään mahdollista sitoa omia resursseja tähän tai luoda esimerkiksi omia päivystysjärjestelyitä. Meidän liiketoiminnassamme toimintaympäristön on totta kai pysyttävä stabiilina ja käytännössä on olemassa riski vakaviin häiriöihin ilman CSOC:ia.

Lue kuinka Granolle Loihteen CSOC oli luonteva valinta vahvempaan kyberturvaan.

Petri Helin, Tietohallintojohtaja, Grano

icon
Picture

On mukavampi nukkua yöt, kun tiedämme, mitä verkossamme tapahtuu. Ja lisäksi tapahtumiin tarvittaessa reagoidaan, jos jotain poikkeavaa ilmenee.

Lue kuinka Iloq sai Loihteesta skaalautuvan turvakumppanin kasvun tueksi.

Pasi Kiljunen, IT Manager, iLOQ

Picture

Kolmiportainen, kotimainen palvelu

Kolmiportainen CSOC:mme varmistaa tehokkaan, asiantuntevan ja proaktiivisen tietoturvan valvonnan ja poikkeamiin reagoinnin. Eri tasoista huolimatta analyytikkomme ovat kaikki koulutettuja käytettyihin työkaluihin ja asiakkaiden prosesseihin. Näin he pystyvät parhaalla mahdollisella tavalla tukemaan toisiaan ja ratkomaan tietoturvahaasteita. Lisäksi tiivis yhteistyö mahdollistaa toiminnan proaktiivisen kehittämisen ja nopean reagoinnin poikkeamaan kuin poikkeamaan.

tier1_350x350
Tietoturvatapahtumien havainnointi.
Automatiikan seuranta ja pelikirjojen ajo tunnettuihin uhkiin ja havaintoihin.
Reagointi, ensitason analysointi, priorisointi ja tapahtumien eskalointi tarvittaessa.
tier2_350x350
Tier 1 avustaminen vaativissa ja uusissa poikkeamissa. Tietoturvajärjestelmien hallinta ja kehittäminen, pelikirjojen luonti.
Asiakkaan yhdyshenkilö.
tier3_350x350
Tier 1 ja 2 avustaminen erittäin vaativissa selvitystöissä. Digitaalinen forensiikka ja poikkeamien hallinta. Jatkuva uhkatutkimus ja uhkatunnisteiden kehittäminen (Threat intel ja Threat hunting).

TIER 1 - Havainnoi ja tekee vastatoimet

Tason yksi tehtävänä on jatkuva tietoturvatapahtumien seuranta ja tunnistaminen sekä tietoturvasensorien ja -järjestelmien tilojen ja toiminnan valvonta. Automatiikan seurannan lisäksi he ajavat pelikirjoja tunnettuihin uhkiin ja havaintoihin sekä tekevät ensitason analysointia ja ja priorisointia poikkeamille.

Usein kevyemmässä SOC:ssa analyytikkojen toiminta jää valvonnan tasolle ja mahdollisen tiketin avaamiseen asiakkaalle mikäli toimia vaaditaan. Valvonta ei kuitenkaan riitä, vaan hälytyksiin on kyettävä reagoimaan ensi tilassa. Hyökkääjät ovat usein aktiivisia öisin, viikonloppuisin ja juhlapyhinä, jolloin ihmiset eivät ole töiden parissa. CSOC:mme pystyy puuttumaan poikkeamiin ja tekemään vastatoimia sovittujen palveluprosessien mukaisesti itsenäisesti 24/7 sekä tarvittaessa eskaloimaan poikkeamat. Näin toimittaessa hyökkäykset saadaan usein pysäytettyä alkutekijöihinsä.

Loihde - Workstations at office - 1920 x 1280
Loihde_some (56)

TIER 2 - Hallinnoi ja kehittää toimintaa

Tason kaksi tehtävänä on avustaa TIER 1 -tason analyytikkoja vaativien ja uusien tietoturvaloukkausten tarkemmassa ja syvemmässä analysoinnissa. He esimerkiksi yhdistelevät erilaisista lähteistä koottuja tietoja analyysien tueksi. Uhkakentän (threat landscape) seuraaminen, muutoksista tiedottaminen ja automatiikan sekä pelikirjojen (playbooks) ja hälytyssääntöjen kehittäminen ovatkin tärkeä osa TIER 2:n toimintaa, jolla tehostetaan jatkuvasti TIER 1:n toimintaa.

Tason kaksi analyytikot vastaavat lisäksi palveluun kuuluvien tietoturvajärjestelmien hallinnasta ja kehityksestä. He varmistavat käyttöönottojen sujuvuuden ja toimivat asiakkaiden yhdyshenkilönä. He laativat laativat raportit tietoturvaloukkauksista ja myös toteuttavat rajoitus-, korjaus- ja toipumistoimenpiteitä sovittujen prosessien mukaisesti. Erittäin vakavien ja vaativien tietoturvatapahtumien osalta tehdään tarvittaessa eskalointi tasolle 3.

TIER 3 - Digitaalinen forensiikka ja poikkeamien hallinta (DFIR)

Tason 3 DFIR-analyytikon tehtävänä on tukea 2-tasoa tarvittaessa vielä syvemmällä tietoturvaosaamisella. Heidän tehtävänään on myös tutkia uusia uhkia ja ymmärtää paremmin, miten hyökkääjät ja hyökkäykset toimivat. Tasolla kolme tehdään jatkuvaa uhkien käyttäytymisen ja tekniikoiden tutkintaa ja tunnistamista tason 1 tueksi. Tämä ns. Threat Intel ja Threat Hunting työ mahdollistaa kyvyn havaita uudet uhat ja haavoittuvuuksien hyväksikäytöt mahdollisimman nopeasti.

DFIR:llä (Digital Forensics & Incident Response) tarkoitetaan digitaalista forensiikkaa sekä tietoturvapoikkeamien hallintaa. Tietoturvapoikkeaman hallinnalla tarkoitetaan toimenpiteitä, joilla varaudutaan ja reagoidaan tietoturvapoikkeamiin vahinkojen rajoittamiseksi ja niistä toipumiseksi. Digitaalisella forensiikalla taas tarkoitetaan tietoturvaloukkauksien tutkintaa, joka voi käsittää muun muassa todistusaineiston turvaamista, forensiikkaa, haittaohjelma-analyysia, lokianalyysia tai yleisesti tietoturvaloukkauksen vaikutusten ja laajuuden selvittämistä.

Kaikki selvitystyö tähtää siihen, miten asiakas selviää tietoturvahyökkäyksestä parhaalla mahdollisella tavalla ja miten asiakkaan vahingot saadaan minimoitua sekä auttamaan tietoturvahyökkäyksen rikostutkintaa syyllisten kiinni saamiseksi.

Tarvitsetko nopeasti apua tietoturvahyökkäyksen selvittämiseen?

Kun merkkejä hyökkäyksestä havaitaan, on tärkeää toimia nopeasti. Ja vieläkin tärkeämpää on toimia oikein.

Anna CSOC:n valvoa puolestasi

Jätä yhteystietosi ja palaamme asiaan

CSOC:n palvelut

CSOC 24/7 on tietoturvan valvonnan ja poikkeustilanteiden tukipilari. Kaikki eivät tarvitse kaikkea, vaan suojauksen tulisi aina olla järkevää ja uhkapinta-alaan mitoitettua. CSOC:n valvonnan piiriin, työkalupakkiin tai tuottamiin palveluihin voi kuulua esimerkiksi seuraavia asioita.

Lokienhallinta ja SIEM

Lokienhallinnan avulla on mahdollista selvittää jälkeenpäin, mitä on tapahtunut ja kuka on käsitellyt tietoja.

Palvelun avulla voidaan myös osoittaa, että on tehty seurannassa tarvittavat toimet ja täytetty lakisääteiset velvoitteet (esim. EU:n tietosuoja-asetus GDPR). Lokien turvallinen säilyttäminen on tärkeää luottamuksellisten tietojen turvaamiseksi. Lokeja voidaan kerätä tietoturvalaitteista, verkkolaitteista, palvelimista ja sovelluksista. Autamme myös lokienhallinnan ja SIEM-ratkaisun suunnittelussa.

Palvelulla tuotetaan asiakkaalle turvallinen, laajennettava ja suorituskykyinen lokitiedonhallinta- ja säilytyspalvelu. Palvelulla valvotaan, nopeutetaan sekä rajoitetaan lokitietoihin pääsyä. Keskitetty lokitieto mahdollistaa tiedon hyödyntämisen eri liiketoiminnan tarpeisiin, kuten tietoturva-, talous-, IT-, tuotanto-, kirjanpito- tai auditointikäyttöön.

Laajennettu havainnointi ja reagointi, XDR

Nopean ja reagoivan kyberturvan kannalta on oleellista suojata eniten hyökkäyksille alttiina olevat osa-alueet. Näitä ovat päätelaitteet, niin työasemat, mobiililaitteet kuin myös palvelimet, sekä identiteetit eli käyttäjätunnukset.

Koska mikään suojaus ei ole 100%:sta, niin suojaustakin tärkeämpää on havaita epänormaalit tapahtumat ja poikkeamat kyberympäristössä ajoissa sekä reagoida niihin ja pysäyttää oikeat uhat jo alkuvaiheessa. Tähän tarvitaan ihmisten lisäksi kehittynyttä teknologiaa, joka hyödyntää koneoppimista ja keinoälyä havainnoinnin ja analytiikan tehostamiseen.

Loihteen XDR-palvelukokonaisuus (eXtended Detection and Response) koostuu päätelaitteiden suojauksesta (EDR, Endpoint Detection and Response), identiteettien suojauksesta (IDR, Identity Detetction and Response), verkon tapahtumien havainnoinnista (NDR, Network Detection and Response) ja pilven tapahtumien havainnoinista (CDR, Cloud Detection and Response). Näistä XDR palveluista saadaan rakennettua juuri asiakkaalle sopiva kokonaisuus ja kun se yhdistetään CSOC 24/7 -palveluumme syntyy moderni ja tehokas MDR-palvelu (Managed Detection and Response).

Älykäs uhkakuva

Puolustuskyky perustuu tietoon uhkakentästä, palvelumme on luotu koostamaan juuri sinulle oleellinen tieto.

Proaktiivisen kyberpuolustuksen rakentaminen vaatii luotettavaa ja selkeää uhkatietoa (Threath Intelligence) laajasti. On seurattava uhkatekijöitä, haavoittuvuuksia, kohdistettuja hyökkäyksiä ja hyökkäystapoja, jotta voidaan tehdä oikeita strategisia ja operatiivisia kyberturvan ja riskienhallinnan päätöksiä. Älykäs uhkakuva luo tilannetietoa toimialaasi tai yhtiöäsi koskevista asioista käyttäen lukuisia tietolähteitä, mukaan lukien darkwebin.

Tietoa on saatavilla paljon, mutta sen hyödyntäminen vaatii olleellisen tiedon poimintaa ja jalostamista organisaation käyttöön. Älykäs uhkakuvapalvelumme kohdentaa, käsittelee ja jalostaa tietoa asiakkaan hyödynnettäväksi. Yhdistettynä CSOC-palveluun uhkat havaitaan nopeasti ja ennaltaehkäisevillä toimenpiteillä turvataan toimintaa proaktiivisesti.

Microsoftin tietoturva ja XDR

Microsoftin kyberturvaan on monta eri tasoa riippuen organisaatiolla käytössä olevasta lisensoinnista.

Microsoftin laaja kyberturva saavutetaan M365 E5/A5/F5 -lisensoinnilla. Yhdistämällä se Microsoftin SIEM/SOAR tuotteeseen, Microsoft Sentineliin, saavutetaan Microsoftin versio XDR-ratkaisusta (eXtended Detection & Response).

CSOC:mme tukee kaikkia yleisimpiä Microsoft-lisensointeja (Business Premium, E3 ja E5). Emme vaadi asiakasta päivittämään lisensointia E5-tietoturvaan, vaan CSOC-palvelu voidaan toteuttaa myös Business Premiumin ja E3:n pohjalta täydentämällä näitä sopivilla tuotteistamillamme XDR-palveluilla. CSOC-palvelumme ja asiakkaan M365- ja Azure-lisensointi sovitetaan asiakkaalle sopivaksi kokonaisuudeksi, johon kuuluu 24/7 reagoivan valvonnan lisäksi myös Microsoftin kyberturvan jatkuva kehitys ja hallinta.

Olemme myös Microsoft CSP (Cloud Service Provider) eli asiakas voi hankkia tarvittavat Microsoft 365- ja Azure-lisenssit suoraan Loihteelta. Olemme korkeimman tason Microsoft-tietoturvakumppani, joten tunnemme Microsoftin kyberturvatuotteiden vahvuudet ja pystymme sovittamaan ne tehokkaasti asiakkaan käyttöön.

DFIR-palvelu (digitaalinen forensiikka)

Tier 3 -tietoturva-analyytikko tutkinnan tueksi tietoturva-hyökkäyksen osuessa kohdalle.

DFIR-palvelu (Digital Forensics and Incident Response) on osa CSOC-palvelukokonaisuutta, jossa Tier 3 -tietoturva-analyytikko analysoi parhaan tiedon mukaan, mitä on tapahtunut. Saatujen tietojen perusteella DFIR-tietoturva-analyytikko päättää jatkotoimista ja koordinoi tapahtuman selvitystyötä yhdessä asiakkaan asiantuntijoiden ja Loihteen CSOC:n Tier 2 -analyytikkojen kanssa. Kaikki selvitystyö tähtää siihen, miten asiakas selviää tietoturvahyökkäyksestä parhaalla mahdollisella tavalla.

 
DFIR-palvelussa asiakas saa Tier 3 -tietoturva-analyytikkojen apua parhaimmillaan 24 tunnin sisällä tietoturvahyökkäyksen havaitsemisesta. Esimerkkejä Tier 3:n palveluista ovat tietomurtojen selvitys, merkittävien tietoturvapoikkeamien hallinta ja toimenpiteet, haittaohjelmien analysoiminen sekä vaativa uhkien metsästys.

 

Tarvitsetko apua? Ota yhteyttä.