2017-11-29

Säkerhetstjänster är frälsningen… eller?

Flera av våra kunder har börjat använda SIEM lösningar och skapat någon form av SOC, antingen internt eller via extern part. Det är ett väldigt stort och viktigt steg mot att jobba proaktivt med säkerhet. De organisationer som inte blir bättre på att upptäcka de säkerhetsincidenter som sker kommer ha oerhört svårt att upprätthålla både kommande krav och en hanterbar arbetsbelastning i det långa loppet. Men kan man lämna bort hela säkerhetsområdet till tredje part?

MSSP är trendigt. Atea och andra organisationer erbjuder SIEM och SOC som tjänst, just för att våra kunder inte alltid har kompetensen, erfarenheten eller mankraften att realisera en organisation för detta. Vi tar då hand om lösningar och personal och ”ser” allting som händer hos flera organisationer vilket gör oss mer träffsäkra.

Vi har också märkt en trend att marknaden ibland har en lite naiv syn på vad man kan avtala bort och vad man verkligen får när man köper SIEM och SOC som tjänst. Här är några saker jag tycker att man skall tänka på!

Man måste hantera risken själv. Om man inte gör risk- och sårbarhetsanalyser och konsekvensanalyser är det svårt för MSS-partnern att veta hur man skall konfigurera systemen och prioritera larm. Vi på Atea hjälper gärna till att utföra analyser och bedömningar men besluten ligger hos kunden. Bättre att veta om och acceptera en risk än att blunda och hålla tummarna.

Man måste ha en aktiv mottagarorganisation. En SIEM-lösning kräver en del ” tweakande” och är ett dynamiskt system som måste formas efter kundens föränderliga IT-miljö. Vi på Atea sköter tekniken och ger rekommendationer, men det är kunden som måste godkänna och ibland kravställa. Om vår SOC hittar ett problem måste kunden vara redo att agera tillsammans med oss. Det finns mycket en MSSP kan göra på egen hand men ganska ofta behövs en dialog med kunden för att gemensamt besluta om åtgärder, och då måste det finnas ett tydligt ägarskap och mandat i kundens organisation.

Man måste vara delaktig i att skapa handlingsplaner. I en SOC upptäcker man säkerhetsincidenter och förmedlar dessa till kund. Men sen då? Det måste vara tydligt redan på förhand vad som skall hända när en viss typ av incidenter sker. Vem skall kontaktas, vilka åtgärder skall utföras, vem har ansvar för vad? Igen, vi på Atea kan hjälpa till att skapa dessa handlingsplaner, men kunden kommer alltid att vara en central del i dessa.

Slutsatsen är att oavsett till vilken grad en organisation vill outsourca säkerheten så finns det alltid element som kunden måste vara delaktig i. Säkerhet är inte en separat funktion som kan läggas utanför affärsprocesserna, den är en del av dem, och därför tycker jag att man skall ta hjälp av proffsen att ta säkerhet till sig, inte putta den från sig.

 

Visste du att...

...du i Ateas SIEM- och SOC-tjänst kan förstärka säkerhetsanalytikern med avancerade funktioner som IBM Qradar User Behavior Analytics samt Watson för Cybersäkerhet? Analytikerns förmågor förstärks och mindre tid behövs för att göra kartläggningen av beteenden och larm.