Coronapandemin har skyndat på effektiviseringen av SOC-arbetet

[KRÖNIKA] När pandemin slog till lämnade de flesta sina arbetsplatser och började jobba hemma. Det gäller även de som arbetar i ett Security Operations Center (SOC), den centrala IT-funktion som styr verksamheters säkerhet.

Coronapandemin har skyndat på effektiviseringen av SOC-arbetet 1
Åsa Edner, Sverigechef för Palo Alto Networks

Drygt fyra månader senare vet vi att framtidens SOC måste kunna jobba på distans och att pandemin bara gjorde att omställningar som redan var på gång gick mycket snabbare.

Även vi på Palo Alto Networks, ett av världens största IT-säkerhetsföretag, fick flytta hem vår SOC när pandemin startade. Det skedde utan några större problem, men gav också en del insikter som vi gärna delar med oss av. Den nya vardagen med SOC:en som styrs från köksbordet har inneburit att vårt arbetssätt har förändrats och effektiviserats och idag är det väldigt få som kommer vilja gå tillbaka till hur det var innan pandemin slog till.

På Palo Alto Networks hade vi en stor fördel i och med att vi redan från början hade automatiserade processer och en central överblick av vad som sker på nätverket. Men många andra verksamheter har på väldigt kort tid fått styra om hur de jobbar.

Detta blev särskilt akut eftersom pandemin innebar att IT-intrången ökade kraftigt då brottslingar försökt utnyttja situationen. Verksamheter behövde därför se till att skyddet för de som jobbar hemifrån var lika starkt som det är på arbetsplatsen. I och med att intrången ökade var det ännu viktigare att de som arbetar i ett Security Operations Center hinner med att snabbt identifiera, stoppa och hantera alla hot.

Behov av att automatisera SOC:en – nu är det läge att låta det ske

Security Operation Centers har länge varit ett slags Frankensteins monster. Vanligtvis är de uppbyggda av en mängd olika separata tekniklösningar som inte kommunicerar med varandra. De har sytts ihop så gott det går men integrerar inte med varandra ordentligt. Därför är det svårt att automatisera verksamheten och hur mycket ingenjörerna än försöker hålla ihop allting så handlar det fortfarande om ett monster av enskilda produkter och manuella processer som inte samarbetar.

En annan utmaning är att många SOC:ar styrs med hjälp av manuella checklistor. Till exempel för att avgöra vilka alarm man ska agera på och vad som i så fall behöver göras. Det största problemet är att det kan ta flera timmar att gå igenom checklistan. Under den tiden har det kommit in många nya alarm. Det här är sannolikt ett av de minst effektiva arbetssätten inom IT, och det värsta är att det accepteras som helt normalt i många verksamheter.

När alla i ett Security Operation Center nu fått jobba på distans så har det varit en drivkraft att modernisera arbetssättet. Några principer som vi på Palo Alto Networks jobbar efter:

Princip 1: Kompatibilitet

Arbeta med produkter som kan samarbeta med varandra. Det är lockande att hela tiden införa nya, smarta verktyg som löser någon specifik säkerhetsutmaning men detta leder till mer manuellt arbete när allt som verktygen larmar om ska tolkas och ageras på.

Det ska inte heller spela någon roll var verktygen och servrarna finns eller var medarbetarna befinner sig. Det ska gå att utföra arbetet ändå. Dessutom är kompatibilitet helt nödvändigt för att kunna automatisera, vilket leder oss till nästa princip.

Princip 2: Automation

Se till att alla viktiga uppgifter automatiseras istället för att vara beroende av manuellt arbete. Checklistor kan också automatiseras – vilket gör att de kan användas 24/7/365. De sätts därmed igång automatiskt och förebygger, upptäcker och löser potentiella problem. De letar ständigt efter tecken på intrång, isolerar det som är misstänkt och sätter igång undersökningar – utan att SOC-ansvariga behöver agera överhuvudtaget. Resultatet är att medarbetare slipper gå igenom manuella checklistor utan kan ägna tiden åt andra mer proaktiva arbetsuppgifter.

Princip 3: Samarbete

Många som jobbar på en SOC har sina alldeles egna metoder som de kan ha haft många år på sig att utveckla. Men även om dessa är helt exceptionellt bra så är det bara en person som har nytta av dem. Så alla gör på olika sätt, ingen lär sig något av varandra. Men det behövs inte bara mer samarbete inom en SOC, utan hela verksamheten behöver involveras.

Säkerhetsleverantörer som vi själva har skapat hundratals automatiserade ”playbooks” som kan användas. Till exempel kan det automatiskt skickas ett SMS till en användare som gjort en misstänkt inloggning, kanske från Ryssland kl 3 på natten, och om de svarar att de inte känner till inloggningen kan detta automatiskt trigga igång en lösning. Det här innebär att alla medarbetare hjälper till att utveckla hur verksamheten svarar mot hot. De gör därmed verksamheten säkrare.

En bra modell för framtiden

De som arbetar enligt de här tre principerna kan lika gärna jobba på ett VPN-uppkopplat kontor i hemmet som på en arbetsplats där det råder strikt kontroll över vem som får komma in. Dessa nya och förändrade arbetssätten behövs ändå införas, för att på så sätt kunna effektivisera arbetet i ett Security Operation Center. För många verksamheter hade detta inte blivit av tidigare, men nu kom allt på en gång. Det gick bara lite snabbare än förväntat.

Av: Åsa Edner, Sverigechef för Palo Alto Networks