Küberturvalisus on küll teema, millest on hakatud rohkem rääkima, kuid jätkuvalt suhtutakse sellesse pigem reaktiivselt ja mitte proaktiivselt. Ehk siis oma ettevõtte kontekstis hakatakse sellele tõsisemalt mõtlema alles siis, kui midagi on juba juhtunud.
Paljude ettevõtete juhtkonnad mõtlevad umbes nõnda:
- Meil juhtus intsident. Nüüd tuleks palgata küberturbe ekspert, kuna meie enda IT meeskond liiga väike ja hõivatud.
- Oma küberturvalisuse spetsialisti palkamine oleks liiga kallis. Ostame seda teenusena sisse vastavalt vajadustele.
- Kui palju selle teenuse tund siis maksab? Nii palju?
- Sellega me ei ole küll arvestanud. Ostame parem uue, aga mitte väga kalli, tulemüüri ja loodame, et selliseid asju enam ei juhtu.
- Uus intsident! Tundub, et tuleb siiski kedagi palgata..
Me näeme sellist tsüklit igapäevaselt. Sääraseid tulutuid mõttekäike saab vältida, kui ettevõttes paika panna SOC (Security Operations Center) ehk luua keskne turvaseire.
Ja see kõik algab küsimusega … MIKS?!
Miks on organisatsioonil seda vaja? Vastuseta sellele küsimusele ei jõua see teema mõistlike otsusteni ega plaanideni ei finantsjuhi ega ülejäänud juhtkonna vaatest.
1. Küberturvalisuse strateegia juurutamine muutub üha keerulisemaks. Aga samal ajal muutuvad komplekssemaks ja ohtlikumaks ka riskid
Viirustõrje, tulemüüri ja andmete pilve viimine ei ole küberturvalisuse strateegia. Pigem on see katastroofi strateegia. Piisava ja alati ajakohase tegevusplaani loomine ja uuendamine on ülesanne, mida ei ole võimalik täita ilma uusimate teadmiste ja oskusteta.
2. Rünnakute tagajärgedega tegelemine muutub üha valusamaks
Lunavara nõuded kerkivad meeletu kiirusega. Samuti muutuvad rangemaks andmekaitsega seotud regulatsioonid (GDPR, PCI-DSS, riigipõhised seadused ja määrused) ja nende mitte täitmisega seotud trahvid. Samuti on kasvanud intsidentidega seotud läbipaistvus, mis tähendab seda, et rünnak või eksimus väga suure tõenäosusega toovad kaasa ka mainekahju, avalike ettevõtete puhul kiire ja armutu aktsiahinna languse jne.
3. Nõudlus küberturbe-ekspertide järele, eriti juhtkonnatasemel, kasvab. Sellega koos ka nende palgad
Glassdoor-i andmetel on küberturbe juhtide keskmine aastane palk dollarites juba kuuekohaline number. See on muidugi riigiti erinev, aga arvestada tuleb veel ka sellega, et ühest inimesest ei pruugi kõikide vajalike ülesannete täitmiseks piisata. Juht vajab ka meeskonda.
4. Sinu valitud IT turvalisuse seadmed ja tööriistad on turu parimad. Sest nii väidavad nende müüjad ja turundajad. Reaalsus on midagi muud.
Paljud ettevõtted teavad, et see on nii, ja panevad oma infrastruktuuri kokku erinevate tootjate lahendustest. Nii saab lisaks oletatavale riskide hajutamisele optimeerida ka kulutusi. Paraku on aga tegelikult vähe spetsiaalseid liidestusi tulemüüride, UTM-ide, SIEM-ide jne vahel. Mida rohkem erinevate tootjate lahendusi, seda rohkem on tegelikult vaja nende koostoimet mõistvaid ja jälgivaid spetsialiste.
5. Kriisiaegadel on investeeringud ja jooksvad kapitalikulutused (CAPEX) külmutatud
Kriisiaegadel on finantsjuhtide mantra „Hoia raha majas, kus vähegi võimalik, kuni kriis on läbi“. Väga sageli on sellistel aegadel laualt maas ka uute küberturbe litsentside ja riistvara soetamine. Kui aga mõelda neist kulutustest kui tegevuskuludest (OPEX), võib teema saada rohelise tule.
Sellises valguses on SOC igati mõistlik otsus. Samuti tasub märkida, et päris kõike ei pea ka kohe SOC-i paigutama. Selle poole liikumist saab alustada sammhaaval. Alguses lõpp-punktid, siis väline turvalisus, siis andmelekke preventsioon, siis pilve turvalisus jne.
Samas on võimalus sellisel viisil toimida ju alati olemas olnud. Ka selle puhul tuleb ju samamoodi soetada nii seadmed kui palgata inimesed.
Mis siis õigupoolest SOC-i ehk turvaseire puhul uut on?
Küberturve kui teenus
Küberturvalisus ettevõtetes peaks ära katma kolm peamist komponenti. Varem olid need pigem kallid „karbitooted“, aga SOC-i puhul enam mitte.
1. Tehnoloogia
Varem tuli IT turvalisuse lahenduste soetamisel teha suur ühekordne investeering: osta välja seadmed ja soetada pikaajalised litsentsid. Tootjatele ja edasimüüjatele tähendas see seda, et klient jääb vähemalt viieks aastaks kliendiks ja tasub selle aja jooksul lisaks ka majutuse, kasutajatoe jm teenuste eest.
Täna on küberturvalisuse turul konkurents oluliselt tihedam ning kliendid ei soovi end reeglina ühe tootjaga pikaks ajaks siduda. Seetõttu kasutavad nüüd paljud tootjad ja edasimüüjad „lahendus kui teenus“ mudelit, millel on kuupõhine hind.
Edasimüüjad omakorda lisavad toodete hinna sageli täisteenuse sisse, nii et see ei ole lõppkasutaja jaoks otseselt nähtav.
2. Inimesed
Majaväliste küberturbe spetsialistide kaasamine oli varem kättesaadav vaid suurtele ja jõukatele ettevõtetele. Turul olid need teenused kallid, kuna IT teenuseid pakkuvad ettevõtted pidid siis omalt poolt eelnevalt investeerima oma töötajate väljaõppesse.
Täna on Küberturvalisuse teenust pakkuvate ettevõtete nagu Cybers kasutuses varasemaga võrreldes oluliselt paremad automatiseerimise ja liidestamise tööriistad, mis teevad sisse ostetavate tundide arvu oluliselt väiksemaks.
Meie Cybers’is oleme pakkunud tulemüüri- ja lõpp-punkti haldamise teenuseid juba kümme aastat, kuid alles paari viimase aasta jooksul on SOC teenuse hind muutunud kättesaadavaks ka väiksemate ja keskmise suurusega ettevõtete jaoks.
3. Protsessid
SOC-i idee on tegelikult lihtne: panna paika SIEM ehk turvalisusega seotud info ja intsidentide keskne haldus ja suunata sinna kõik logid ja hoiatused ehk luua süsteem, mis aitab tuvastada neist olulised ja protsess, kuidas neile kiiresti reageerida.
Tegelik protsess, kuidas see kõik juurutada, võib muidugi olla üsna kompleksne. Kõikide protsesside kaardistamine, taastamise stsenaariumid, strateegiad ja väljaõpe.
Üks 20- aastase võrguturbe kogemusega klient ütles mulle hiljuti nii, et „ma saan aru, miks meil SOC-i vaja on, aga mul ei ole aimugi, millisest otsast seda ehitama peaks hakkama“. Sul võivad olla nina ees kõik turvalisuse pusle tükid, kuid see ei tähenda, et nende kokku panemine oleks lihtne. Iga ettevõtte on erinev. SOC ei ole 32- tükiga pusle 5-aastastele.
Samas ei ole mõtet seda teemat ka asjata keerulisemaks ajada, kui see tegelikult on. SOC-i pakkuv teenusepakkuja kasutab üldjuhul 70% ulatuses sama raamistikku.
See tähendab samal ajal seda
- et SOC-i juurutamise kulud on oluliselt väiksemad
- protsess ei võta mitte aastaid, vaid on tehtav nädalatega
- kliendil on selge pilt, mis neid ees ootab (kaos VERSUS struktureeritud lähenemine)
Milline turvaseire mudel sobib teile?
Kokkuvõtvalt võib öelda, et täna on turvaseire kasutuselevõtt muutunud oluliselt paindlikumaks. Kohe ei pea tegema meeletuid investeeringuid. Kui visioon on paigas, siis saab selle juurutada ja skaleerida samm sammult. Laias laastus võiks SOC-i kasutusele võttes teha valiku kolme lähenemise vahel.
1. SOC kui teenus
Selle mudeli puhul võtab väline teenusepakkuja samm sammult üle turvalisuse monitoorimise, pakub välja optimaalseimad tehnoloogilised lahendused ning nõustab IT turvalisuse strateegia vallas ning aitab reageerida intsidentidele.
2. Majasisene SOC
Selle lähenemise puhul aitab majaväline partner küll SOC-i juurutada ja inimesi välja õpetada, kuid edaspidi haldavad ja reageerivad oma inimesed. Selline mudel sobib reeglina suurematele organisatsioonidele, kellel on laiapõhjaliste teadmistega IT, kaasa arvatud turvalisuse meeskond olemas, kuid puudub spetsiifiline SOC-i kogemus.
3. Hübriid SOC
Kolmas võimalus on kahe esimese vahepealne. Reeglina kasutatakse seda mudelit, kui kliendil on vaja abi analüütika juhtpaneelide ning SIEM-i ja SOC-i protsesside algse seadistamisega. Riskide ja intsidentide haldamise kogemus ja meeskond on aga ettevõttel endal olemas. „Näidake meile, kus on ohukohad ja me lahendame need ise.“
Mudeli valikust sõltub ka hind ja juurutamise kiirus.
Kindlasti on vaja üle vaadata
- Milline on projekti ellu viimise ajaks planeeritud majasisese IT meeskonna koormus
- Milline on ettevõtte küberturbe strateegia 3-5 aastaks, kaardistada juba kasutusel olevad tehnoloogiad, suurimate riskidega valdkonnad, ligikaudne eelarve.
Neist kolmest ühe mudeli valimine ei tähenda, et selle juurde peaks aastateks pidama jääma. Alati on võimalik ühelt mudelilt teisele üle minna.
Meie pakume oma klientidele tavaliselt 2- kuulist pilootprojekti, mis võimaldab saada tunnetuse, kas valitud mudel on ettevõtte jaoks sobiv ja kuidas selline korraldus tegelikult toimib ja eesmärke täidab.
Kuidas edasi?
SOC ei ole võimatu missioon. Paljud ettevõtted joonistavad oma nägemuse paberile ja hakkavad siis võrdlevaid pakkumisi küsima.
Meie soovitaksime alustada esmalt peeglisse vaatamisega.
Lihtne riskide ja haavatavuse audit või kriitiliste süsteemide tungimistestimine annavad juba päris hea pildi oma olukorra hindamiseks.
Samuti annavad need visuaalse pildi ka IT kaugetele inimestele ja otsustajatele, milline mõju (ja hind) võib olla turvalisuse hooletusse jätmisel.