Fagblogg | NetSecurity

Hvilken kompetanse behøves for sikkerhetsovervåking?

Skrevet av Henrik A. Byberg | 6. desember 2018 14:09:01 Z

Stadig flere av bedrifters enheter, prosesser og styringssystemer kobles til nettet, og bruken av skytjenester vokser i et voldsomt tempo. Digitaliseringen av samfunnet skaper kontinuerlig nye verdier og utviklingsmuligheter, men utvider også sårbarhetsflatene og skaper utfordringer på sikkerhetsfronten.

Omfanget av trusler mot IT-systemene øker i takt med digitaliseringen av virksomheter. Følgelig blir det et voksende sikringsbehov for bedrifter og deres informasjonsverdier.

Dagens stadig mer komplekse trusselbilde medfører at behovet for kontinuerlig overvåkning av IT-ressurser strekker seg ut over virksomhetenes egen kapasitet og kompetanse.

 

Sikkerhetsovervåking krever omfattende ekspertise

Å bygge et kompetansesenter for sikkerhetsovervåking – en SOC – fra bunnen er en krevende operasjon som krever teknologi, prosesser og viktigst av alt: kompetanse.

En SOC-analytiker, som ivaretar den daglige driften og analysen som danner grunnlaget for sikkerhetsovervåkingen, har en del ansvarsområder som legger føringer for hvilken kompetanse som kreves:

  • Nettverksovervåking og analyse
  • Kompetanse på SIEM (logganalyse)
  • God generell IT-forståelse
  • Dyptgående kunnskap om nettverksteknologi og protokoller
  • Dyp forståelse av operativsystemer
  • Forståelse av innsidetrusler og APT-deteksjon
  • Analyse av malware og etterforskning
  • Forståelse av og evnen til å differensiere mellom innbruddsforsøk og falske alarmer
  • Komponere rapporter og alarmer til kunder
  • Arbeide sammen med hendelseshåndterere og andre ressurser
  • Utviklingskompetanse
  • Databaseforståelse

I tillegg er det en del sertifiseringer som er relevante:

  • Certified Ethical Hacker
  • GIAC-sertifiseringer
  • OSCP: Offensive Security Certified Professional
  • Produktspesifikke sertifiseringer på verktøy og teknologi

 

Les også:

Slik får du mest ut av din sikkerhetsovervåking

Hva innebærer egentlig sikkerhetsovervåking?

Disse IT-sikkerhetsområdene bør du ha kontroll på i 2019

 

Hva kreves for å ta seg av sikkerhetsovervåkingen selv?

Å skulle sørge for sikkerhetsovervåkingen selv innebærer at bedrifter må ha løpende kapasitet på flere områder:

Rekruttering og opplæring: En helhetlig SOC krever sikkerhetsanalytikere med det brede kompetansespekteret vi lister opp ovenfor. Det er dessuten stor rift om de beste SOC-hodene, så det å kapre den rette kandidaten byr på utfordringer.

Videre er det meget ressurs- og tidkrevende å kontinuerlig opprettholde og utvikle SOC-analytikernes ekspertise på de aller siste produkter, løsninger og tjenester innen IT-sikkerhet.

Kompetanse på hele spekteret av nettverks-, sikkerhets- og driftstjenester: Å proaktivt håndtere det ukjente er et av de mest komplekse paradoksene knyttet til løpende sikkerhetsarbeid. Som regel er det vanskeligere for bedriften selv å avdekke trusler mot egen IT-infrastruktur enn for en erfaren spesialist på sikkerhet.

En intern SOC må først komme ut for en gitt sikkerhetshendelse for å kunne håndtere den effektivt på et senere tidspunkt.

Kapasitet til å opprettholde kunnskap, prosesser og teknologi: Sikkerhetskompetanse i virksomheter er som regel tuftet på et avgrenset fagmiljø internt. Ikke overraskende er det dermed en viss risiko for at denne kompetansen forsvinner ut døra når ansatte slutter.

De færreste virksomheter og organisasjoner har kompetansen og ressursene som skal til for å bygge intern sikkerhetskompetanse på det nivå som behøves for å navigere i et stadig mer utfordrende trusselbilde.

I lys av dette velger de fleste bedrifter å benytte seg av SOC som tjeneste.

 

Sikkerhetsovervåking som tjeneste

Outsourcing av sikkerhetsarbeidet gir en ideell kombinasjon av kostnadseffektivitet og spisskompetanse.

Selv om en bedrift har egen IT-avdeling, gir ekstern SOC en rekke sikkerhetsfortrinn som man rett og slett ikke oppnår in-house. Når du setter ut sikkerhetsovervåkingen til et kompetansehus, får du tilgang på mangfoldig ekspertise og de riktige løsningene og tjenestene i markedet.

En ekstern SOC tilbyr en proaktiv og integrert tverrfaglig tilnærming til IT-sikkerhet som strekker seg ut over det man vil oppnå med noen få egne ansatte på IT-avdelingen.

 

Hva er en ekstern SOC, og hva innebærer det for din virksomhet?

En SOC består av et team av høyt kvalifiserte eksperter som leverer komplette sikkerhetstjenester i sanntid, fra sårbarhetsanalyse til hendelseshåndtering og rapportering.

SOC utgjør en 24/7/365 sikkerhetsbuffer mot dataangrep. Dette sikrer at kunden kan være trygg på at sikkerheten er ivaretatt og dermed kan fokusere på egen kjernevirksomhet.