CSOC päivystää 24/7 – Minkälaista on työ kyberturvavalvomossa?
Näyttöjä vieri vieressä, ihmisiä ja robotiikkaa päivystysvuorossa: Cyber Security Operations Center (CSOC) näyttää juuri siltä kuin elokuvissa. Fyysinen valvomo on vain osa kokonaisuutta, sillä ennen kaikkea CSOC on asiakkaiden tarpeisiin räätälöityä palvelua: toimintaympäristön jatkuvaa valvontaa ja kyberhyökkäysten torjuntaa. Se on vaativaa asiantuntijatyötä, joka joustaa asiantuntijan omien kiinnostuksenkohteiden suuntaan.
Cinian CSOCista avautuu laaja näkymä hyvin erilaisten organisaatioiden kyberturvallisuushaasteisiin, kertoo Tomi Liesimaa, Head of Cyber Security Solutions.
“Olemme Ciniassa vahvasti tekemisissä kriittisen infrastruktuurin kanssa aina merikaapeleista hätäkeskusjärjestelmään. Kyberturvallisusratkaisumme soveltuvat niin julkiselle kuin yksityisellekin sektorille. Haluamme olla asiakkaamme tietoturvakumppani.”
Turvallisuusvalvomo eli CSOC valvoo digiympäristöä vuorokauden ympäri asiakkaan puolesta. Jatkuvaa tilanneymmärrystä tuotetaan muun muassa päätelaitteista, verkoista, palvelimista, sovelluksista tai vaikkapa IoT-komponenteista. Mutta mitä työ Cinian Cyber Security Operations Centerissä käytännössä on?
CSOCin eri roolit: Arkkitehtuuri luo puitteet operatiiviselle valvomotyölle
Jotta CSOC lunastaa lupauksensa, tarvitaan molempia: 1) kyberturvallisuuden infrastruktuurin suunnittelua ja jatkuvaa kehittämistä sekä toisaalta 2) operatiivista valvontaa ja analyysia.
Arkkitehdit (Cyber Security Architect) suunnittelevat CSOC-infrastruktuurin eli sen, miten kunkin asiakkaan tietoturva rakennetaan käytännössä. He tekevät tiiviisti yhteistyötä muiden tietoturva-asiantuntijoiden kanssa.
Projektipäälliköt ovat asiakkaan vaatimuksista ja projektien laajuudesta riippuen erillisiä vastuuhenkilöitä, jotka vastaavat siitä, että asiakkaan tietoturvaprojekti saadaan sovitusti valmiiksi. Projektipäälliköt ovat yleensä myös teknisesti orientoituneita, mutta kyse on lopulta projektin johtamisesta, jolloin varsinaista teknistä substanssia ei vaadita.
Tietoturva-asiantuntijat (Cyber Security Analyst, Cyber Security Specialist) antavat oman panoksensa asiakaslähtöisen kokonaisuuden rakentamiseen. Ennen kaikkea heidän vastuullaan on operatiivinen työ, eli vuorokauden ympäri jatkuva monitorointi sekä tietoturvatapahtumien ratkominen. Toimistoajan lisäksi suurin osa heistä tekee säännöllisiä päivystysvuoroja, joista maksetaan asianmukaiset korvaukset peruspalkan lisäksi.
“Asiakkailtamme olemme kuulleet vahvaa viestiä siitä, miten erotumme nimenomaan asiakaslähtöisessä lähestymisessä: haemme asiakkaillemme aina parhaan mahdollisen ratkaisun. Arkkitehdit ovat tietysti tässä avainroolissa. Pidämme asiakkaiden kanssa säännöllisesti Security Workshop -palaverin. Näin olemme jatkuvasti kartalla asiakkaan tilanteesta, ja toisaalta voimme käydä läpi globaaleja ilmiöitä, jotka vaikuttavat heihin”, Liesimaa havainnollistaa.
Valmiudessa 24/7 – Näin hälytys etenee CSOCissa
Hälytysten käsittely Cinian Cyber Security Operations -valvomossa on jaettu kolmeen vaiheeseen:
1. Monitorointi
Ensimmäisellä tasolla tapahtuu järjestelmien ympärivuorokautinen monitorointi. Työvuorossa on aina ihminen, jonka työparina automaatio uurastaa rutiinien parissa. Näin tietoturva-asiantuntija voi keskittyä tunnistamaan poikkeamia ja analysoimaan hälytysten vakavuutta.
Tiukat reagointiajat määritellään asiakassopimuksissa. Poikkeamat tunnistetaan pääsääntöisesti 15 minuutin kuluessa, jonka aikana päivystäjät ovat saaneet selville, onko kyseessä väärä hälytys vai uhka, joka on siirrettävä käsiteltäväksi seuraavalle tasolle.
2. Hälytysten käsittely
Mitä tilanteen korjaamiseksi on tehtävä? Ensisijainen tehtävä on, että estetään ongelmien leviäminen sekä tutkitaan syitä ja aiheutuneita haittoja. Tällä tasolla työskentelevät muodostavat päivystysringin, mikä mahdollistaa valmiuden myös toimistoajan ulkopuolella.
3. Tutkinta
Eskaloidut tietoturvatapahtumat otetaan tarkempaan tutkintaan. Niiden ratkomiseen tarvitaan kokeneimpien tietoturva-asiantuntijoiden työpanosta. Akuuteimmat tulipalot on silloin jo ensisammutettu, joten työ ajoittuu arkeen ja toimistoaikaan.
“CSOC-asiantuntijamme työskentelevät jollakin näistä kolmesta tasosta, ellei sitten ole kyse arkkitehdin tai projektipäällikön tehtävistä”, Liesimaa kertoo. “Etätyötä voi tehdä kaikilla tasoilla, muutamia poikkeuksia lukuunottamatta. Esimerkiksi tietyissä valtionhallinnon asiakkuuksissa asiantuntijan on aina työskenneltävä auditoiduissa tiloissamme tai asiakkaan osoittamissa tiloissa.”
CSOCin työkaluina monipuoliset teknologiat
Jokaisella Cinian CSOC-asiantuntijalla on kyberturvallisuuden erityisosaamista tietyissä teknologioissa, joita voivat olla esimerkiksi:
- Trend Micro
- Microsoft-ympäristöt
- Palvelimet ja konesaliympäristö
- Pilven tietoturva (Azure, AWS, Google)
- Uhkatiedustelu ja tilannekuva
“Jos jokin näistä on selkeästi omaa vahvuusaluetta, on helppoa laskeutua meillä omaan rooliinsa uutena asiantuntijana”, Liesimaa kertoo. Toisaalta Cinian kokeneen porukan keskellä omia, vuosienkin aikana kertyneitä taitoja pääsee syventämään uusiin suuntiin.
“Trend Micro -osaaminen on meillä erityisen vahvaa. Olemme ainoa Pohjoismaissa toimiva yritys, jolla on Trend Micron Professional Services -status platinakumppanuuden lisäksi. Toisaalta Microsoft-ympäristö on tietysti Suomessa merkittävä. Tuotamme paljon siihen liittyvää tietoturvaa palveluna”, Liesimaa kuvailee Cinian painopistealueita.
Liesimaa itse on tehnyt pitkän uran Keskusrikospoliisissa. Nyt hän vastaa Cinian kyberturvallisuuspalveluiden kehityksestä, kumppanuuksista ja teknologiavalinnoista:
Me kiinnitämme strategista huomiota myös monipuolisuuteen. Pohjoismaisten, eurooppalaisten tai japanilaisten teknologioiden hyödyntäminen tuo hajontaa verrattuna Amerikka-sentrisyyteen, jota kyberturvallisuuden teknologioissa usein on.Uhkat ja ratkaisut eivät riipu maanosien rajoista, ja englanti on Cinian CSOCissakin tärkeä työkieli. Luottamuksen rakentamisen kannalta sijainnilla on kuitenkin asiakkaille väliä.
“Olemme niiden harvojen joukossa, jotka pyörittävät 24/7-CSOC -palvelua Suomesta käsin. Data on Suomessa, palvelemme hälytystilanteissa suomen kielellä. Suomalaisen asiakkaan näkökulmasta se lisää luottamusta kyberturvallisuuden kumppanuuteen.”