SOC-as-a-Service, også kalt MDR eller SOC-tjeneste, eksisterer fordi virksomheter har behov for en sikkerhetskontroll. Men alle virksomheter har vanskeligheter med forskudskostnader som kommer med etablering av en intern SOC.
I praksis kjøper virksomheter SOC-tjeneste for å slippe belastning ved å bygge og drifte en intern sikkerhetsoperasjon. Paradokset er at virksomhet kan likevel bli rammet av videreført belastning i form av driftskostnader og varslingsutmattelse, også kjent som "alert fatigue".
Mens driftskostnader er en forventet og synlig del av tjenesten, har varslingsutmattelse blitt en skjult kostnad som mange ikke forutser. Når SOC-leverandører selv blir overbelastet av for mange varsler, begynner problemet å ‘renner over kanten’ og påvirke kunden direkte.
Resultatet blir at virksomhetens IT-avdeling tvinges til å bruke uforholdsmessig mye tid på å validere falske positiver eller håndtere varsler med lav risiko. Dette reduserer avdelingens kapasitet til å fokusere på strategiske oppgaver. Samtidig øker det risikoen for at faktisk alvorlige trusler ikke blir sett eller håndtert i tide.
Hvorfor blir alarmer videreført?
SOC-leverandører mangler ofte den dype, kontekstuelle forståelse av virksomhetens systemer, miljø og risiko-strategi. Dette er nødvendig for effektiv sikkerhetsvurdering, og det resulterer i varsler som:
-
Mangler virksomhetsspesifikk kontekst – generiske varsler som ikke tar hensyn til hva som er normal aktivitet i ditt miljø
-
Krever ressurskrevende intern etterforskning – varsler som ikke kan håndteres uten betydelig innvestering fra virksomhetens egne ansatte
-
Ignorerer virksomhetens faktiske risikoprofil – varsler som ikke samstemmer med hva som utgjør en reell risiko for virksomheten
En SOC-tjenesten skal være mye mer enn et varslingssenter. SOC operasjoner som kun responderer på varslinger, bommer på målet med å støtte virksomhetens hensikt. Det som må til, er en endring av tankegang. En tankegang, som er like strategisk som taktisk, der man prioritere reduksjon av støy fremfor frykt for å gå glipp av potensielle trusler.
En strategisk SOC skiller seg fra en ren alarmsentral ved at den:
-
Prioriterer trusler basert på virksomhetens spesifikke risikoprofil, ikke basert på generiske trusselvurderinger.
-
Utfører grundige analyser basert på virksomhetens miljø før det varsles, for å støtte virksomheten ved å redusere mest mulig «støy».
-
Tilpasser responsen til virksomhetens behov, med forståelse for kritiske systemer og forretningsprosesser.
-
Etablerer en effektiv kommunikasjonskanal for kontinuerlig forbedring, de er et partnerskap ikke bare en leverandørrelasjon.
Hva kan være løsningen for virksomheter som kjøper SOC-tjeneste?
De fleste SOC-tjenesteavtaler fokuserer på SLA-er for responstid, men unnlater det viktigste aspektet: varslingskvalitet. Virksomheter bør kreve tydelige kvalitative mål som: Hvor mange varsler som representerer reelle trusler innenfor virksomhetens definerte risikostrategi.
Be om implementering av nivåinndelte varslingssystemer som forbedrer respons effektiviteten. Ved bruk av separate kanaler basert på alvorlighetsgrad kan virksomheten enklere prioritere sin innsats. Automasjonsløsninger kan ytterligere effektivisere dette gjennom for eksempel interaktive Teams-meldinger med forhåndsdefinerte responsalternativer.
En strategisk SOC-leverandør vil aktivt invitere til kontinuerlig tilbakemelding ved bruk av tilbakemeldingssløyfer. De vil ha som mål å bruke denne informasjonen til å forbedre deteksjonsregler og varslingskriterier. Dette bør være en formalisert prosess, ikke en tilfeldighet.
Hvorfor bygge en systembasert tilnærming fremfor å kjøpe en «ferdig» tjeneste?
Virksomheten har flere valg når det kommer til investering av en SOC-operasjon. De kan enten investere i en standardisert løsning fra en SOC-leverandør, eller en skreddersydd og systembasert tilnærming.
Standardiserte løsninger mangler ofte den dype kontekstforståelsen som er nødvendig for å skille mellom virkelige trusler og falske alarmer i spesifikke miljø. Dette gjelder uavhengig av om det er snakk om IT eller OT-miljøer.
En SOC for IT miljøet må tilpasses på samme måte som en SOC for OT miljøet må tilpasse seg virksomhetens systemer, prosesser og rutiner. Det som er avgjørende er ikke hvorvidt det er IT eller OT, men hvorvidt sikkerhetsfunksjonen er tilpasset virksomhetens faktiske behov, formål og kontekst.
En systembasert tilnærming fører med seg et paradigmeskifte. I stedet for å tilpasse virksomheten en ekstern sikkerhetstjeneste, bygge man et system som er skreddersydd virksomhetens unike behov, utfordringer, og strategiske mål. Dette vil muliggjøre en sikkerhetsfunksjon som går langt utover tradisjonell reaktiv alarmhåndtering
Ved å bygge en systembasert tilnærming kan virksomheten sikre at SOC-operasjonen fungerer som en strategisk partner i risikostyring - ikke bare en kilde til flere oppgaver som krever oppfølging.
En god systembasert SOC vil ha integrerte tilbakemeldingssløyfer der sikkerhetsteamet og IT-avdelingen kontinuerlig forbedrer systemet basert på faktiske hendelser. Dette skaper en adaptiv og lærende sikkerhetsoperasjon som blir stadig mer presist tilpasset over tid.
I en tid hvor cybertrusler blir stadig mer sofistikerte og målrettede, kan en generisk tilnærming til sikkerhet etterlate kritiske blindsoner. Uansett hvilken SOC-modell virksomheten velger, kan ansvaret for sikkerhet aldri outsources fullstendig - det forblir hos virksomheten selv.
Les mer
Når er det riktig å leie inn en CISO?
Kritisk tenkning i sikkerhetsanalyse: Redusere subjektiv tolkning
Når normalen brytes: Slik avsløres digitale trusler i OT-nettverk
