Hvad er VSOC's virtuelle sikkerhedsdriftscenter?
Sikkerhedsoperationscentre er ved at blive afgørende for store virksomheder. En stor organisation med mange aktiver og interaktionspunkter med omverdenen skal dedikere mindst en del af sit it-budget til sikkerhedsovervågning.
Specialværktøjer har brug for specialiserede teknikere til at køre dem og fortolke deres resultater. Således bliver en SOC snart samlet ved at hyre cybersikkerhedsspecialister og give dem den nødvendige software til at holde it-systemet sikkert.
Erfaren cybersikkerhedsteknikere er i høj efterspørgsel, så de lønninger, virksomhederne skal tilbyde for at tiltrække disse mennesker, bliver ved med at stige hurtigere end gennemsnitslønningerne i it-sektoren. Mange steder er høje lønninger bare ikke nok til at tiltrække den rigtige kaliber af sikkerhedspersonale. Mindre virksomheder har ikke budgettet eller arbejdskapaciteten til at retfærdiggøre ansættelse af sikkerhedspersonale. Af mange grunde bliver det mere attraktivt at outsource sikkerhedsovervågningsopgaver, og der er mange administrerede tjenesteudbydere opstart for at drive sikkerhedsovervågning på vegne af kunder.
Udtrykket 'virtuel' anvendes på mange tjenester inden for IT, og det beskriver et system, der ser ud til at være internt, men ikke er det. For eksempler på dette fænomen, tænk på virtuelle private netværk og virtuelle servere. Det outsourcede Security Operations Center (SOC) ser ud til at være en anden afdeling i branchen. Det er det dog ikke - det er en virtuelt sikkerhedsdriftscenter (vSOC).
Virtuelle sikkerhedsdriftscentre
Virtuelle sikkerhedsoperationscentre kan placeres hvor som helst. Denne placeringsfleksibilitet gør det muligt for dem at reducere deres omkostninger ved at basere sig i områder med lavere leje. Det betyder dog ikke nødvendigvis i fjerntliggende byer. Dette er fordi talentmasse behov for at drive disse centre har en tendens til at være mere rigeligt omkring universitetsbyer. Men vSOC'en behøver ikke at være i højt lejede kontorlokaler på Main Street.
En vSOC kan være placeret hvor som helst i verden og betjene kunder fra ethvert land. Den største begrænsning for kundebasen for hver tjenesteudbyder er supportpersonalets sprog.
De primære operationer af vSOC'er involveret overvågningssikkerhedssoftware . Virtuelle sikkerhedsdriftscentre behøver ikke at få adgang til nogen af klientens datalagre, så de ikke opbevarer data for klienten, bare ikke for at sikre, at der ikke er nogen upassende brug af disse data. Så der opstår ingen placeringsproblemer fra lovgivning, såsom GDPR, for ikke at blokere en vSOC-søgende kunder i noget land.
vSOC'en hoster ikke data, og den er ikke en SaaS-udbyder. I stedet administrerer den den software, som kunden har abonneret på, separat. I nogle tilfælde vil vSOC-konsulenterne rådgive kunden om, hvilken sikkerhedsovervågningssoftware der skal købes og derefter anbefale administrationstjenesten oven i købet. I andre tilfælde vil udbyderen af den valgte sikkerhedssoftware tilbyde en administrationstjeneste oven i SaaS-pakken.
Det er ikke usædvanligt, at klienten er placeret ét sted, systemsoftwaren fungerer på en server i et helt andet land, sikkerhedsovervågningssoftwaren er hostet et tredje sted, og vSOC-personalet er placeret et andet sted.
Teamet, der har til opgave at overvåge din virksomheds systemsikkerhed, behøver ikke at være sammensat af de samme personer døgnet rundt. Selvom du kører din SOC, vil forskellige personer være bemandet på andre tidspunkter, arbejde på skift . vSOC'er kan rotere ansvaret for et websteds sikkerhed til forskellige datacentre rundt om i verden i strategiske tidszoner. Tjenesteudbyderen kan således levere 24-timers årvågenhed uden at skulle få teknikere til at arbejde usociale timer.
Sikkerhedskonfigurationer
Selvom der er lokaliseret cybersikkerhedsteknikere på afstand kan virke som et svagt sikkerhedspunkt, det omvendte er sandt. Sårbarhedsvurderingerne for det bevogtede system kan udføres fra en ekstern placering, fordi denne konfiguration bedre afspejler scenariet med hackere, der får adgang på tværs af internettet.
Når vSOC-teamet får adgang til sikkerhedssoftwarebeboere på det beskyttede netværk, er de forbindelser, de bruger sikret . Så vSOC-medarbejdere kan sikkert overvåge sikkerhedssoftware, der fungerer inde i netværket. Som det allerede er blevet bemærket, vil sikkerhedsovervågningssystemet ikke nødvendigvis være hjemmehørende på det beskyttede netværk. I dette tilfælde vil overvågningssystemet have et agentprogram på det beskyttede netværk, der kommunikerer med det cloud-baserede overvågningssystem. Igen vil denne kommunikation blive udført over sikker, krypteret forbindelser.
vSOC-teamet får derefter adgang til sikkerhedsovervågningstjeneste , ikke det beskyttede netværk. Afhjælpningshandlinger implementeres normalt gennem orkestrering med residente adgangskontrolsystemer, der fungerer på det beskyttede system. Det betyder firewalls, adgangsrettigheder, administrationssystemer og netværksenheder.
Udbedringsforanstaltninger skal udløses af systemsikkerhedsovervågningsværktøjet, såsom et system til forebyggelse af indtrængen eller et system til forebyggelse af datatab. Så igen, vSOC-hold behøver ikke at have direkte adgang til det beskyttede system, men skal opsætte og finjustere sikkerhedsovervågningssystemet.
Den vigtigste del af et sikkerhedsovervågningssystem er måden det er sat op. Antag, at detektionsregler og afhjælpning udløser er oprettet korrekt. I så fald vil overvågningssystemet tage sig af alt sikkerhedsovervågningsarbejdet, så sikkerhedstjenesteudbyderen kan bruge ét team af teknikere til at overvåge mange systemer. Med denne taktik kan vSOC tilbyde systemsikkerhedsstyring til en meget lavere pris, end de fleste virksomheder ville esxpe4nd køre deres interne sikkerhedsdriftscenter.
VSOC kontrakter
Servicekontrakten er nøgleelementet, der gør outsourcing mulig. Som kunde har du flere beslutninger om, hvad du præcist vil have vSOC'en til at gøre. Har du for eksempel brug for vSOC'en til at administrere kontinuitet trin, såsom at spejle dit system for at give et failover-miljø, så dit personale kan fortsætte med at arbejde, selvom din server er ødelagt? Andre perifere opgaver, der ikke direkte er kategoriseret som sikkerhedsovervågning omfatter sikkerhedskopier af data og genopretning . Et andet kunne være ansvaret for at administrere og arkivere logfiler for at gøre dem tilgængelige for overholdelsesrevision.
Du vil have en serviceniveauaftale knyttet til din kontrakt med VSOC, der specificerer kvaliteten af servicen og forventede svartider for forskellige begivenheder. Kontrakten bør også specificere den forventede erfaringsstandard og akkrediteringsniveau for det personale, der er tildelt kundens sikkerhedsovervågning.
Med kontrakten på plads, så længe den dækker juridisk ansvar for SOC's succes eller fiasko med at forsvare systemet og forhindre databrud, har kunden faktisk en forsikring mod ondsindet aktivitet.
De bedste vSOC-muligheder
Da vSOC ikke tager kontrol over dit system eller opbevarer nogen af din virksomheds data, er der ingen langsigtede konsekvenser ved at overhale en kortsigtet beslutning om, hvilken tjenesteudbyder man skal vælge, når man leder efter outsourcede sikkerhedstjenester. Det vil sige; der er ingen proceduremæssig grund til at være låst til en specifik vSOC-udbyder.
Det betyder, at du ikke behøver den outsourcede SOC til at overtage din eksterne kommunikation mindre tryk når du vælger et virtuelt sikkerhedsoperationscenter – at fjerne en forfærdelig beslutning vil ikke være en dyr proces.
Vores metode til at vælge et virtuelt sikkerhedsdriftscenter
Vi undersøgte markedet for vSOC-tjenester og administrerede sikkerhedsudbydere og vurderede kandidatsystemer ud fra følgende kriterier:
- En tjeneste, der er konfigureret til at garantere, at teknikere ikke kan få adgang til dine data
- Et system, der tilbyder supervision døgnet rundt
- Tjenester, der kan levere ny sikkerhedsovervågningssoftware samt muligheder for brug med eksisterende systemer
- Fleksibilitet i SLA-oprettelse for at tage højde for ikke-standardmæssige krav
- Evnen til at administrere en række sikkerhedsovervågningssoftwarepakker
- Ingen oprettelsesgebyrer eller bindingsperiode
- God værdi for pengene fra en udbyder, der ikke vil forsøge at tilføje uventede gebyrer for at øge regningen
Mens vi normalt forventer, at softwareudbydere giver en gratis prøveperiode , det er ikke muligt med vSOC-konceptet. I dette tilfælde ansætter du et team i stedet for at købe software, og folk skal betales.
Antag for eksempel, at du har vurderet flere pålidelige og højt respekterede tjenesteudbydere, der kan blive dit virtuelle sikkerhedsdriftscenter med disse udvælgelseskriterier i tankerne.
Her er vores liste over de fem bedste udbydere af virtuelle sikkerhedsoperationscenter:
- Under forsvar Denne udbyder tilbyder en stor grad af fleksibilitet i sine planer. Det centrale sikkerhedskoncept i Under Defense-systemet er SIEM. Under Defense rådgiver din virksomhed om, hvilken sikkerhedssoftware (SIEM) du skal installere og vil endda hjælpe dig med at installere det. Under Defense-teamet tager derefter over, overvåger SIEM-softwarens dashboard og sikrer, at det træffer passende foranstaltninger, hvis der skulle opdages et brud. Teamet vil også administrere logfiler for dig. Under Defense tilbyder to vSOC-muligheder: fuldt administreret og co-administreret sikkerhed. Den fællesadministrerede mulighed er velegnet til virksomheder, der har et lille team af sikkerhedsanalytikere på stedet.
- VerSprite Virtual Security Operations Center Denne service er en fuldt administreret sikkerhedspakke, der inkluderer et sikkerhedsovervågningssystem. Du køber sikkerhedssystemet, og VerSprite-konsulenter kan støtte dig i den proces. Hvis du allerede har dit sikkerhedsovervågningssystem på plads, er det fint. VerSprite overtager driften af det sikkerhedssystem og vil vurdere alle de advarsler, det producerer. Holdet indstiller hver notifikation og luger de falske alarmer ud. Dit systemadministrationsteam vil blive informeret om faktiske trusler, når de opstår. Hvis du foretrækker det, kan du arbejde med VerSprite-teamet for at konfigurere automatiske svar, så dit team ikke skal bruge tid på at håndtere afhjælpningsopgaver. Ud over at beskytte mod indtrængen har VerSprite-teamet erfaring med filintegritetsovervågning og databeskyttelse.
- LightEdge Virtual Security Operations Center Mens andre vSOC-udbydere guider dig gennem dit valg af sikkerhedsovervågningssoftware eller overtager styringen af din nuværende sikkerhedsovervågningsopsætning, arbejder LightEdge med IBM QRadar-software. QRadar er en fremragende kunne-baseret SIEM, og du kan gøre det meget værre. Pointen er, at Light Edge-teamet har lavet deres research, og de har besluttet, at QRadar er det bedste system, de kunne finde. At have alle kunder på det samme sikkerhedsovervågningssystem gør det også muligt for virksomheden at overføre teknikere fra en klient til en anden hurtigt. Overvågningen af dit system udføres døgnet rundt, alle dage året rundt. Som med andre vSOC-løsninger kan du selv bestemme, hvor meget afhjælpningsautomatisering der skal implementeres i aftalen. Du kan beslutte at lade dine medarbejdere tage sig af identificerede problemer eller lade LightEdge-teknikerne tage sig af dem.
- Redscan Virtual SOC Tilgangen til denne service er mere et supportsystem end en komplet overtagelse af sikkerhedsstyring. Denne mulighed ville passe til en virksomhed, der ønsker at drive sin interne SOC, men som ikke helt kan finde den rigtige kvalitet af personale med et højt niveau af ekspertise. Ved at bruge SOC'en som et andenlinjes teknikerteam kan kundevirksomheden gøre det muligt for sine SOC-medarbejdere at forbedre deres færdigheder gennem erfaring. Denne løsning er en god idé for de virksomheder, der bekymrer sig om tabet af kontrol, som fuldstændig outsourcing af sikkerhedsstyring kan medføre. Denne løsning er en skræddersyet tilgang, der involverer dine it-medarbejdere med vejledning fra Rescan-konsulenter fra valg af sikkerhedssoftware til installation, opsætning og drift af den.
- Executive Ops XOVSOC er et co-administreret forslag, der giver ekspertsupport og udskiftninger til dit interne it-driftsteam. Executive Ops-teamet har sit trusselsintelligens-feed, der advarer teknikerne om hvilket nyt angreb. Den første forsvarslinje ligger i systemsikkerhedsovervågningssoftware, som opdager unormal adfærd. Dernæst kanaliseres disse advarsler til en Executive Ops-analytiker, som filtrerer falske alarmer fra. Endelig bliver de begivenheder, der virkelig vedrører begivenheder, sendt videre til dit team, enten som meddelelser eller som feeds direkte i dit netværksadministrationssystem.