En värld utan cyberrisker är tyvärr en önskedröm. Lyckligtvis kan organisationer själva förhindra mycket elände och när en attack inträffar lösa den på ett adekvat sätt. Organisationer är väl medvetna om faran med cyberattacker, enligt den benchmarkundersökning om cybersäkerhet som Conscia har genomfört i samarbete med det kommersiella marknadsundersökningsföretaget The Blue Hour.

Till exempel angav 43% av respondenterna att den mesta tiden de lägger på IT-säkerhet går åt till förebyggande åtgärder. För 85% är "medvetenhet och utbildning" en viktig åtgärd för att förhindra cybersäkerhetsincidenter. Men när en incident inträffar visar forskning att det vanligtvis tar mer än 200 dagar innan incidenten uppmärksammas. Maarten Werff, Solution Consultant Cybersecurity på Conscia: "Därför är det fortfarande viktigt att ha detektions- och responsåtgärder utöver förebyggande åtgärder, för att också få insikt i de attacker som inte stoppas av förebyggande åtgärder. Det här verkar vara en liten andel, men kan ändå orsaka mycket elände."

SOC: bygga eget eller lägga ut på entreprenad?

Ett Security Operations Centre (SOC) kan vara lösningen. Den allmänna uppfattningen är ofta att en SOC innebär höga kostnader, kräver mycket tid, kunskap och energi från medarbetarna och därför bara är till för stora organisationer. Men är det sant?

En enkel beräkning: Forskning från Forrester visar att organisationer i genomsnitt behöver 14 FTE säkerhetsanalytiker för att bygga upp och underhålla sin egen SOC-funktion (11 FTE för organisationer med färre än 5.000 anställda och 20 FTE för organisationer med fler än 5.000 anställda). Detta tar hänsyn till att människor arbetar dag och natt och även går på semester då och då.

Om vi tittar på kostnaden för en extern Managed Detection & Response-tjänst (MDR) med övervakning dygnet runt för 1 000 anställda, blir det cirka 6 000 euro per månad. Det är alltså ännu mindre än 1 heltidstjänst. När organisationer sätter upp sin egen SOC behöver de - förutom rätt personer - även en lämplig teknikplattform. Detta driver upp de totala ägandekostnaderna för en intern SOC till tre gånger kostnaden för en outsourcad SOC (med hög CAPEX).

Attrahera och behålla säkerhetsanalytiker

Att bygga upp en egen SOC-funktion har också klara fördelar. Organisationsspecifika risker förstås snabbare och bättre av den egna personalen. Å andra sidan är det svårt att hitta och behålla bra människor. Det är inte heller den minsta av deras uppgifter. Forrester uppger att 96% av säkerhetsanalytikerna upplever en personlig påverkan efter en incident. Tänk långa arbetsdagar, stress när du kommer hem, dålig sömn. Allt detta är resultatet av så kallad "Alert Fatigue".

Organisationer står inte inför detta problem när de outsourcar SOC-funktionen, liksom möjligheterna till uppskalning. Benchmarkundersökningen visar att 15% av de svarande redan har outsourcat SOC-funktionen. I 55% av fallen sker övervakning och analys av säkerhetslarm från det interna IT-teamet. Dessutom säger 6% av organisationerna att de har en egen SOC som övervakar och analyserar under kontorstid (3%) eller 24/7 (3%). Nästan en fjärdedel av respondenterna har inte eller på annat sätt säkrat upptäckten av säkerhetsvarningar.

Hotbilden kräver en annan strategi

Enligt Maarten Werff finns det ytterligare ett bra skäl att byta till MDR: "Under det senaste decenniet fokuserade vi främst på nätverket, men med den förändrade hotbilden på grund av en ökning av hemarbete, moln och kryptering är synligheten genom traditionella nätverkssäkerhetsåtgärder mycket mindre. Säkerhet idag kräver ett annat förhållningssätt. Vi måste vidta säkerhetsåtgärder för det vi vill skydda: vår information, våra användare och våra slutpunkter."

För närvarande uppger 41% av de tillfrågade att de har vidtagit åtgärder för att skydda sina endpoints. Det är ingen nyhet att medarbetarna - med all respekt - ofta är det största problemet. Vid förekomst av onormal filåtkomst och krypterade filer säger 46% av respondenterna att de får en varning. Samtidigt kan 21% se vilka filer som har påverkats i en cyberincident och återställa dem.

Enligt Maarten Werff gör den tekniska utvecklingen, t.ex. EDR, SOAR och XDR, det möjligt att ändra detekteringsstrategin. När det gäller dessa lösningar har 15% av respondenterna EDR och 3% har SOAR. "Att sätta identitet och slutpunkt i centrum för upptäckts- och svarsstrategin skapar väsentligt mer synlighet vid varning och möjliggör snabbare ingripande. Det här tillvägagångssättet fokuserar inte på att leta efter "nålen i höstacken" och är därför också mindre kostnadsintensivt."

Källa: Conscia