Hjælp slutkunden til en SOC, der er prisen værd

 
 

Enterprise Security,
20 maj 22 : Björn Raunio

Hjælp slutkunden til en SOC, der er prisen værd

På det seneste har vi alle hørt meget om forskellige cyberangreb i medierne.  Dette har ført til en stigning i slutkundernes interesse for at have adgang en SOC (Security Operations Center) for hurtigt kunne at opdage indtrængen i systemerne.  Hvis du leverer dette som partner, får du desuden vigtig indsigt om din kunde.

Anders Liman er Nordic Cyber Security Business Development Manager hos TD SYNNEX. Vi bad ham om at forklare, hvorfor du som partner skal tilbyde dine kunder en SOC, og hvilke løsninger der er tilgængelige.

Hvad er meningen med ett SOC for slutkunden?

"Forskellige aktører bruger begrebet på lidt forskellige måder, men generelt kan man sige, at et Security Operations Center løbende holder styr på og undersøger en virksomheds digitale sfære for at finde ud af, om noget ikke er, som det skal være. Dette kan indebære at opdage indtrængen, for eksempel ved at bemærke uregelmæssigheder hos en bruger, såsom at brugeren begynder at gøre mistænkelige ting, der kan indikere, at kontoen er blevet overtaget af en anden.  Pointen for slutkunden er helt indlysende. Du finder ud af, at du er under angreb og kan reagere på det. Det er også i stigende grad  et krav fra cyberforsikringsagenter at have ett SOC for endda at få en forsikring eller i det mindste for at få en fornuftig pris.

Hvad er fordelene med SOC for jeres slutkunde?

  • Kontinuerlig beskyttelse --> SOC skal være operativt 24/7 året rundt
  • Hurtig og effektiv respons
  • Reducerede omkostninger ved håndtering af nedbrud
  • Trussels forebygging
  • Sikkerheds ekspertise
  • Kommunikation og samarbejde
  • Compliance
  • Forretningsomdømme skades ikke

Hvad bliver konsekvensen uden SOC?

"Risikoen er meget større. Noget, der er vigtigt at forstå, når det kommer til for eksempel ransomware-angreb, som har tiltrukket sig så meget opmærksomhed på det seneste, er, at de ofte ligger i den sidste fase af et angreb.  Angriberne har ofte formået at stjæle en masse data inden da, og ifølge en nylig undersøgelse  foretaget af VansonBourne får kun 4 % af dem, der har været offer for et ransomware-angreb og betalt afpresserne, alle deres data tilbage.  Gennemsnitligt lykkes det kun få 61% af de data tilbage. Derfor er det vigtigt  at finde ud af så tidligt som muligt, at et angreb er blevet lanceret. Derefter kan du tage modforanstaltninger og stoppe angriberne, før det når så langt. Selvfølgelig koster det en sum penge have en SOC, men det er en forsikring, der er værd at betale for.  Der er også store økonomiske risici, hvis følsomme personoplysninger kommer på afveje, med potentielle bøder på op til 4 % af den årlige omsætning. Derfor er responstid alfa og omega når et eventuelt angreb har fundet sted, og tiltag for at sikre minimal effekt af angrebet må på plads så hurtigt som overhovedet muligt.

Men det er langt fra alt, hvad kunden har brug for?

"Nej, til at begynde med har de brug for tilstrækkelig beskyttelse mod angreb. Men da intet system er hundrede procent,  kræver det også en SOC for at se, om en angriber stadig formår at komme igennem.  Mange slutkunder ser i dag fordelen ved en SIEM løsning som eksempelvis Microsoft Azure Sentinel, men du har også brug for nogen, der kan få noget ud af det.  En SOC giver dig mulighed for at opdage ting og se, hvad der er sket.  I næste trin skal du så også være parat til at handle på et angreb, før det forårsager alvorlig skade, for eksempel gennem et såkaldt CSIRT (Cyber Security Incident and Response Team), som du enten selv opretter eller har adgang til gennem en partner.

Hvilke fordele får en partner ved at give deres kunder en SOC?

"Ud over at det er muligt at sælge med en god margin, uanset hvilken type løsning man vælger til leverancen, får dem der står for en SOC for en slutkunde, et godt indblik i kundens miljø.  Det giver mulighed for at rådgive kunden om, hvordan de kan opnå bedre sikkerhed.

SOCaaS fra TD SYNNEX

"En række byggesten er en nødvendig del af en SOC. Til at begynde med downloades alle logfiler fra de beskyttelsesprodukter, som den nuværende virksomhed bruger, såsom end-point security (svarende til det, der tidligere var kendt som antivirus), firewalls, IPS (Intrusion Prevention Systems) og web gateways.  Logfilerne indsamles i SIEM (Security Information Event Manager). Microsofts Azure Sentinel er et eksempel på dette. Her finder der en aggregering af alle logfiler sted. Baseret på regler, politikker mm. kan systemet alarmere operatørerne i SOC som arbejder sammen med såkaldte Threat Hunters og analytikere for at afgøre, om alarmen er harmløs eller tværtimod indikerer et angreb eller indtrængen.

- I SOC arbejder en række forskellige specialister. For at kunne operere 24/7 skal du typisk have mindst tre medarbejdere på vagt. Det summer op til mindst ni personer i skiftehold, men oftest mange flere til at få redundans i det. Som partner kan du vælge at købe de nødvendige produkter, uddanne og rekruttere menneskene og selv opbygge en SOC løsning.  En signifikant mere effektiv rute kan være at sikre best practise sikkerheds løsninger er implementeret hos kunderne, indsamle logfilerne og købe SOC som en service fra en dedikeret leverandør.

Hvis du vil vide mere om, hvordan du som partner kan hjælpe dine kunder med en SOC sammen med TD SYNNEX, kontakt Claus Petersen