På senare tid har vi alla hört mycket om olika cyberattacker i media. Det har lett till ökat intresse hos slutkunder att sätta upp ett SOC (Security Operations Center) för att snabbt kunna upptäcka intrång i systemen. Om du levererar detta som partner får du dessutom viktiga insikter om din kund.
Anders Liman är Nordic Cyber Security Business Development Manager på TD SYNNEX. Vi bad honom förklara varför man som partner ska erbjuda sina kunder ett SOC och vilka alternativ som finns.
Vad är poängen med ett SOC för slutkunden?
– Olika aktörer använder benämningen på lite olika sätt, men generellt kan man säga att ett Security Operations Center kontinuerligt håller koll på och undersöker en verksamhets digitala sfär för att upptäcka om något inte är som det ska. Det kan handla om att upptäcka intrång till exempel genom att anomalier hos en användare noteras, som att denna börjar göra dåliga saker vilka kan tyda på att kontot tagits över av någon annan. Poängen för slutkunden är ganska uppenbar. Du får reda på att du är under attack och kan reagera på det. Det är också allt oftare ett krav från cyberförsäkringsagenter att ha ett SOC för att ens få teckna en försäkring, eller i varje fall för att få ett vettigt pris.
Vad blir konsekvensen utan SOC?
– Riskerna blir mycket större. Något som är viktig att förstå när det gäller till exempel ransomware-attacker, som ju uppmärksammats så mycket på sistone, är att de oftast ligger i slutfasen av en attack. Angriparna har ofta hunnit stjäla en massa data innan dess och enligt en färsk undersökning genomförd av VansonBourne är det bara fyra procent av de som utsatts för en ransomware-attack och betalat utpressarna som får tillbaka alla sina data. Snittet på andelen data de lyckas få tillbaka ligger på 61 procent. Det är därför det är viktigt att så tidigt som möjligt få reda på att en attack inletts. Då kan man vidta motåtgärder och stoppa angriparna innan det hinner gå så långt. Visst kostar det en slant med ett SOC, men det är en försäkring som är värd att betala för. Stora finansiella risker finns också om känsliga personuppgifter kommer på avvägar, med potentiella böter på upp till fyra procent av årsomsättningen.
Men detta är långt ifrån allt som kunden behöver?
– Nej, till att börja med behöver de ju ett fullgott skydd mot attacker. Men eftersom inget system är hundraprocentigt krävs även ett SOC för att se om någon angripare ändå lyckas ta sig igenom. Många slutkunder ser i dag nyttan av en lösning som Microsoft Azure Sentinel, men du behöver också någon som kan få ut något av den. Ett SOC låter dig upptäcka saker och se vad som har inträffat. I nästa steg måste du sedan också ha beredskap att agera på en attack innan den orsakar allvarliga skador, till exempel genom ett så kallat CSIRT (Cyber Security Incident and Response Team) som du antingen satt upp själv eller har tillgång till via en partner.
Vad får en partner för fördelar av att förse sina kunder med ett SOC?
– Utöver att det går att sälja med bra marginal oavsett vilken typ av lösning man väljer för leveransen, så får den som står för ett SOC åt en slutkund bra insikt i kundens miljö. Det ger möjlighet att tipsa kunden och ge råd kring hur de skulle kunna uppnå bättre säkerheten, till exempel genom ett system för e-postsäkerhet som partnern sedan kan leverera. På så vis kan det vara ett misstag att släppa in någon konkurrent till sina slutkunder i detta sammanhang.
Hur är ett SOC uppbyggt och vilka alternativ finns?
– Ett antal byggstenar ingår i ett SOC. Till att börja med hämtas alla loggar in från de skyddsprodukter den aktuella verksamheten använder, till exempel system för end-point security (motsvarande det som tidigare kallades antivirus), brandväggar, IPS (Intrusion Prevention Systems) och web gateways. Loggarna samlas i en sorts produkt som har lite olika namn beroende på leverantör, men som somliga kallar SIEM (Security Information Event Manager). Nämnda Azure Sentinel är ett exempel på detta. Här sker enkelt uttryckt en aggregering av alla loggar. System kan sedan installeras för att jämföra och utvinna information ur dem. Dessa larmar om något verkar skumt och operatörerna i SOC försöker, tillsammans med så kallade Threat Hunters och analytiker, avgöra om larmet är ofarligt eller tvärtom indikerar en attack eller ett intrång.
– I centret behöver ett antal olika specialister arbeta. Jag skulle säga att man åtminstone måste ha tre medarbetare på plats 24/7. Det blir minst nio personer, men i allmänhet många fler för att få redundans i det. Som partner kan du välja att köpa in nödvändiga produkter från till exempel oss på TD SYNNEX och själv bygga upp ett sådan center. En effektivare väg kan vara att samla in loggarna och köpa SOC som en tjänst från oss. En tredje väg att gå är att vända sig till en leverantör som tillverkar säkerhetssystemen i botten och som bygger upp det här som en tjänst med sina egna system. Sådana leverantörer har vi också i vår portfölj.
Vilka är för- och nackdelarna med respektive val?
– Fördelen med att bygga upp ett SOC i egen regi är att marginalerna blir högre på sikt. Samtidigt är det en stor investering som måste byggas upp över lång tid, i synnerhet som det är svårt att hitta kvalificerat folk. Ifall man vill satsa på detta skulle jag råda till att börja i den änden, med att först rekrytera medarbetare som under etableringstiden också kan fylla andra roller. Fördelen med att köpa en SOC-tjänst via TD SYNNEX är att startsträckan blir mycket kortare, samtidigt som du ändå får bra marginaler och det direkt. Nackdelen är att du kanske inte får samma lönsamhet över tid. Den sista varianten, att köpa en tjänst direkt från en säkerhetssystemleverantör, blir kanske billigare men samtidigt blir du bunden till just deras säkerhetssystem. Du kan inte efter eget huvud välja de produkter som ska ingå i lösningen.
Vill du veta mer om hur du som partner kan hjälpa dina kunder med ett SOC tillsammans med TD SYNNEX, kontakta Anders Liman