Perinteinen SOC-tietoturvavalvomo vai uusi MDR -ratkaisu palveluna?
Olemme Telialla kehittäneet SOC-palveluita jo yli kymmenen vuotta. Asiakaskuntamme on kasvanut tasaisesti ja olemme nähneet näiden vuosien aikana monia eri tietoturva-alan innovaatioita sekä asiakastarpeita. Olemme hypänneet murroksesta toiseen ja erilaisia akronyymejä on tullut nippu lisää. Kun aloitimme, puhuimme lokitietojen keskitetystä hallinnasta (SIEM). Lokit oli oltava tallessa, jotta pystyttiin havainnoimaan erilaisia uhkia ja selvittämään jopa vuosia kestäneitä valtiollisten tahojen vakoiluoperaatioita.
Jo vuosia sitten kuitenkin totesimme, että pelkästään SIEM-palveluiden turvin operatiivinen tietoturvavalvomo (SOC) ei pysty havainnoimaan kovinkaan hyvin erittäin kehittyneitä uhkia, muutoin kuin niitä manuaalisesti metsästäen (Threat Hunting). Välillä tämäkään ei riitä ja havainnot reagointeineen tulevat pahasti myöhässä. Vielä nykyäänkin kyky havainnoida ja reagoida nykypäivän uhkia, ei ole riittävällä tasolla monellakaan yrityksellä tai organisaatiolla. Ei, vaikka käytössä olisi ympärivuorokautinen SOC-palvelu SIEM-järjestelmineen ja IDS/IPS-verkkosensoreineen. Unohtamatta tietenkään perus päätelaitesuojausratkaisuja.
Sparraillaan yhdessä yrityksesi tietoturvatarpeista
Valmistajat tarjoavat apuaan erilaisiin ongelmiin. On virtual patching toiminnollisuuksia, hiekkalaatikoita, CASBia pilveen, UEBA-järjestelmiä, EPP/EDR-ratkaisuja, Next-Gen sitä ja tätä huipentuen Machine Learning algoritmeihin sekä orkestrointi- ja automatisointityökaluihin (SOAR). Managed Detection and Response on taas palvelukokonaisuus, jossa tyypillisesti joku valmistaja tai palveluntarjoaja tarjoaa oman teknologiakokonaisuuden päälle SOC-tyyppistä tapahtumien analysointi ja reagointipalvelua. Palvelu on suhteellisen helppo hankkia ja ottaa käyttöön. MDR-ratkaisu sisältää tyypillisesti kehittyneen päätelaitesuojausratkaisun (Endpoint Detection and Response, EDR), joilla voidaan porautua käyttöjärjestelmän uumeniin muistitasolle asti. Joskus mukana on myös verkkosensoreita ja ihminen tai kone, joka validoi tapahtuman tai pyytää loppuasiakasta selvittämään, mitä koneella todellisuudessa tapahtui.
Usein tällaiset palvelut eivät kuitenkaan täytä kaikkia tarpeita ja tietoturvapoikkeamien hallintaan liittyvä ketju on rikki tai pahasti vajaa. Prosessia ei viedä loppuun asti, tapahtumia ei kirjata formaalisti tiketeille asti ja loppuasiakkaalle jää yllättävän paljon erilaisia vastuita ja tehtäviä. Tietoturvatason nosto tyypillisellä MDR-palvelulla on kuitenkin erittäin merkittävä. Sitä ei ole kiistäminen ja oikeanlaisella resursoinnilla se voi olla myös riittävä.
Olemme päätelleet, että tällaiset erilliset MDR-palvelut tulevat lisääntymään merkittävästi. Samalla tiedämme, että muun muassa lokit on oltava tallessa kattavasti näistä ratkaisuista huolimatta ja että muutama muukin perusasia on syytä laittaa kuntoon. Kaikilla ei ole myöskään budjetissa tilaa Premium tason 24x7 SOC -palveluille, joita monelle tuotamme.
Nykyisten hyvin pitkälle integroituneiden SOC-palveluidemme rinnalle lähdemme tuomaan kevyempää palvelumallia, jolla pystymme vastaamaan nopeammin ja kustannustehokkaammin asiakastarpeisiin. Skaalaamme vaativasta palvelutasosta pari kerrosta alaspäin. Tukeudumme valmistajakumppaneidemme ratkaisuihin, joista nostona vaikkapa Palo Alto Networks ja Cortex XDR ratkaisukokonaisuus, jolla pystymme kattamaan uhkat päätelaitteista aina verkon kautta pilveen asti. Tuemme useampaa valmistajaa ja pyrimme rakentamaan MDR-palvelun asiakkaalle siten, että tietoturvapoikkeamat voidaan hallita havainnosta aina syvälliseen jälkipyykkiin asti.
Juna on jo liikkeellä ja vuosi 2020 tulee olemaan meille mielenkiintoinen. Tuotamme palvelumme Telia ONE -hengessä yhden katon alta.
Kirjoittanut: Antti Jääskeläinen Telia Cygate