IT-ansvariga kan inte längre snabbscrolla igenom det senaste dygnets loggar och agera på sådant som ser mystiskt ut. Anledningen är att ett modernt bolag varje dygn samlar en stor mängd data från system som Azure AD, Office 365, EMS men även från bland annat DNS, Firewall och olika virusskydd.
Problematiken är alltså inte att det saknas varningssignaler. Det är för många! I Itm8's SOC-lösning registreras varningarna och sätts in i ett sammanhang som hjälper din organisation att reagera på rätt saker i rätt tid.
Vad är ett Security Operations Center?
SOC är en centraliserad enhet som hanterar säkerhetsfrågor på organisatorisk och teknisk nivå. Den är bemannad av både verkliga människor som kan nås dygnet runt via telefon och av Artificiell Intelligens som hela tiden lär sig mer om hur nya hot kan uppstå.
Det går att se SOC som en ständigt vaken vaktcentral som oavbrutet patrullerar inne i de system ni redan har i organisationen. De artificiella vakterna är hela tiden aktiva för att registrera signalerna, tolka dem och besluta vilka åtgärder som kan bli aktuella. Ska någon enhet stängas av? Behöver vi få tag i någon viss person? Måste lösenord bytas? De mänskliga vakterna gör det de är bra på, som att hålla kontakten med dina IT-ansvariga när problem uppstår.
SOC-tanken är inte ny, men har utvecklats till att bli ett ännu mer kraftfullt verktyg mot illvilliga cyberattacker. Zero Trust-tänket är bärande i Itm8 nya SOC och numera riktar det sig mot medelstora organisationer. Tidigare var SOC bara för större organisationer men i och med Azure Sentinel öppnades möjligheten för de SMB som sysslar med så kritiska data att de anser det vara värt kostnaden.
Huvudmålgruppen är dock organisationer från 100 medarbetare och uppåt. Frågan är hur många miljoner det kostar per förlorad tidsenhet om det sker en kapning och sedan ställa det mot kostnaden att addera en SOC till företagets IT-säkerhet.
Så här kan skillnaden mellan tidigare och nuvarande SOC förklaras:
TIDIGARE SOC
- Arbetade främst från insidan
- Fokuserade på nätverket och vad som hände där
NYA MODERNA SOC
- Fokuserar på Zero Trust – identiteten är det viktigaste och nätverk bara en liten del
- Nu är platsen överallt – inte bara kontorets insida
- Använder signaler från Azure och tittar på händelser som är onormala…
- … och gör incidenter av dessa onormala händelser
- Mer aktivt än tidigare – tittar sig omkring i omvärlden och förstår de allra minsta signaler i organisationens system som hintar om att någon har tagit sig in
Sentinel är hjärnan bakom SOC
SOC bygger på Microsoft Sentinel: en molnintegrerad plattform för säkerhetsinformation och händelsehantering (SIEM). Den uppdateras hela tiden med de erfarenheter som Microsoft samlar in för att identifiera nya hot. Sentinel upptäcker exempelvis om en användare har loggat in från en oväntad plats och ställer den händelsen mot andra mindre signaler – korrelationen mellan dessa olika signalkällor avgör hur reaktionen ska bli från SOC.
Om en gammal SOC liknas med en lastbil så är Itm8 nya SOC ett helt logistikföretag – men till samma pris som en lastbil kostade.
Vi fortsätter med lastbilsmetaforen: ”Alla kan köpa en lastbil – men alla kan inte köra den”. Samma gäller för Sentinel. Målet med Sentinel är att automatisera säkerhetsprocessen så mycket som möjligt och kombinera denna styrka med Itm8 kunniga konsulter som kan ratta systemet – det utgör en modern SOC!
Itm8 bekämpar cyberhot – du levererar kärnverksamhet
Den som är intresserad av att ha tillgång till ett eget Security Operations Center kan enkelt komma igång. Kontakta Itm8's säljare som involverar en konsult i projektet, därefter laddar du ned en app från Azure Marketplace för att starta den tekniska uppkopplingen mot SOC:en – sedan inleds ett införandeprojekt. Där analyseras era specifika processer för att hantera säkerhetsincidenter – något som tas fram i samråd med er.
För Itm8 är samarbetet en ständig process medan ni i stället kan fortsätta att leverera er kärnverksamhet och låta SOC:en ta hand om säkerheten.
Den organisation som har switchar, brandväggar, andra molntjänster (exempelvis Amazon) och andra tjänster från tredje part får allt svårare att hålla koll på allting – då behövs stödet för att samla ihop allt till en överblick. Detta gör SOC-erbjudandet unikt anpassat efter dina förutsättningar och riskbild.