På jakt etter ekstern SOC? Dette bør du tenke på
Stadig flere velger å få hjelp til å overvåke miljøet sitt 24 timer i døgnet, men det er noen viktige ting å huske på før du tar steget.
Cyberangrep er ikke noe som skjer i kontortiden mellom åtte og fire. De kriminelle rundt om i verden “jobber” ikke nødvendigvis samtidig som deg – men de vet godt når dere er på jobb.
– Det er ikke uvanlig at vi ser større forsøk på brute force-angrep som starter fredag ettermiddag og varer gjennom helgen, nettopp fordi de kriminelle da vet at de får mest mulig tid til å prøve seg, sa SOC-ansvarlig i OBOS, Andreas Faye-Lund, i en tidligere artikkel.
De har valgt en hybrid-modell hvor de både har interne ressurser og sikrer seg døgnet rundt med hjelp fra Defendable. Og stadig flere bedrifter og offentlige virksomheter ser verdien av å overvåke miljøet sitt mot sikkerhetstrusler 24 timer i døgnet for å kunne stoppe angrep så tidlig som mulig.
Det er imidlertid få norske bedrifter som har muligheten til å etablere et 24/7-miljø internt. Det er snakk om kostnader på flere titalls millioner som må investeres i både teknologi og mennesker for å etablere en god intern SOC, og den kostnaden vil være vanskelig å forsvare for alle unntatt de aller største selskapene her til lands.
Hva er MDR?
Managed Detection & Response (MDR) er en moderne SOC-tjeneste hvor erfarne sikkerhetsanalytikere overvåker og gjør tiltak for å stoppe cyberangrep døgnet rundt, hele året.
Mens en tradisjonell SOC tidligere fokuserte på å sende varsler som interne ressurser måtte håndtere på egenhånd, kan Defendables analytikere håndtere sikkerhetshendelser direkte – basert på en tydelig og avtalt ansvarsmatrise.
Det gjør at sikkerhetshendelser blir håndtert så tidlig som mulig slik at skadepotensialet begrenses.
Noen viktige ting å huske på
Etter å ha etablert MDR for et stort antall norske virksomheter, har Defendables CTO Angela Wong gjort seg noen tanker om hva du bør tenke på før du går ut i markedet for å finne en leverandør som kan overvåke og håndtere hendelser i miljøet deres.
1. Gjør en grundig verdivurdering først
Det aller viktigste du gjør før du går i markedet for å finne en MDR-partner, er å vurdere hva som er viktig å beskytte for akkurat dere. En regnskapsbedrift vil ha andre kronjuveler enn en produksjonsbedrift, som igjen vil være forskjellig fra en butikkjede.
Når denne oversikten er på plass, vil det være mye enklere å komme i gang.
– Du trenger ikke nødvendigvis å overvåke absolutt alle delene av miljøet ditt 24 timer i døgnet, men for å velge ut hva som er viktig må du først gjøre en grundig og god verdivurdering.
2. Vurder om dere trenger hjelp til anskaffelsen
Hvis dere ikke har tung kompetanse på sikkerhetsverktøy, kan det være vanskelig å både stille de riktige spørsmålene i et anbud – og minst like vanskelig å vurdere svarene som kommer inn.
– Vi ser ofte at de som bruker konsulenter som har kompetanse på MDR-leveranser får en bedre tjeneste, og som regel også en bedre pris. Det handler om at det er enklere å forstå og tilpasse tjenesten når det sitter noen på andre siden som har erfaring med teknologiene vi leverer, sier Wong.
3. Bygg videre på teknologiene dere allerede har investert i
Det vil være tungt både faglig og økonomisk hvis en leverandør kommer inn og krever at dere bytter ut både brannmurer, antivirus/EDR-agenter og sentralisert loggløsning med noe som passer dem best.
Sørg for å velge en leverandør som kan tilpasse seg teknologiene dere bruker i dag, og spør dem gjerne om hvilken erfaring de har med de konkrete løsningene.
Samtidig gjelder det å være klar over at teknologien på dette området beveger seg raskt, og dere bør være åpne for at løsningene dere valgte for 10 år siden ikke nødvendigvis er de beste i dag.
Da kan dere sammen med leverandøren legge en plan for å utvikle sikkerhetsteknologien videre og sørge for at dere er best mulig sikret til enhver tid.
4. Se på totalprisen og hva du blir låst til.
Pris er naturlig nok en veldig viktig del av ethvert innkjøp, men ikke se deg blind på én del av kostnadsbildet.
– Hvor mye vil det koste dere å oppgradere lisensnivåer, kjøpe ny infrastruktur eller bytte ut teknologi dere allerede har investert i? spør Wong retorisk.
Prisen på lagring av logger, hvilke tjenester som faktisk er inkludert og hvilke ekstrakostnader dere må regne med å legge til er også veldig viktig å vurdere.
Alt dette er kostnader som må regnes inn i den totale kostnaden når du velger leverandør.
Her er det også avgjørende å være oppmerksom på hvem som eier dataene og hvilke kostnader som vil dukke opp om dere vil bytte leverandør i fremtiden.
5. Se på det som et partnerskap
En god MDR-tjeneste er mer som et sikkerhetspartnerskap hvor dere får hjelp til overvåkning og håndtering av hendelser enn et tradisjonelt kunde/leverandør-forhold.
Det handler om rådene dere får før, under og etter etableringen av samarbeidet, hvordan kommunikasjonen fungerer i det daglige og de tydelige rutinene og retningslinjene dere etablerer sammen – for eksempel rundt eskalering og håndtering av sikkerhetshendelser.
– Hvis dere velger riktig partner, skal dere sitte igjen med en følelse av at de er opptatt av å levere best mulig sikkerhet – ikke tjene mest mulig penger. Det krever mer av dere i form av dialog og det å være åpne for innspill, men målet bør alltid være at dere får best mulig sikkerhet for investeringen deres, avslutter Wong.
