IT-säkerhet

Vad jag lärt mig efter 18 månader som säkerhetsanalytiker

Share this post:

I september kommer jag att ha arbetat med IT-säkerhet i fyra år och det har varit en otroligt lärorik resa. Jag har fått arbeta både som projektledare, lösningstekniker och sedan 18 månader som säkerhetsanalytiker i ett säkerhetscenter (SOC; som står för Security Operation Center). Vad har jag då lärt mig av min tid som säkerhetsanalytiker i ett SOC-team och vad tar jag med mig?

Målet måste vara tydligt: vart ska vi och när är vi framme?

Först kommer målet – vad är syftet med teamet och vad ska man åstadkomma? Det är viktigt att definiera sitt uppdrag, vilka tjänster som ska levereras, vilken typ av ansvar man har och hur arbetet ska utföras. Definierar man inte målet tydligt eller hur man ska mäta det hela så kommer missförstånd oundvikligen att uppstå. För att hjälpa till med detta kan man använda sig av olika ramverk, från exempelvis NIST, eller scorecards för att definiera målet samt rätt typ av mätetal.

 

Roller och teamarbete: Hur får vi med oss alla?

När målet är tydligt, kommer nästa fråga: hur får vi alla att gå åt samma håll? Det gäller att tydligt bestämma hur man ska arbeta och vilka roller och ansvar alla har. Ett SOC-team är också beroende av kringliggande team som nätverk, drift och andra leverantörer för att kunna göra sitt jobb. Nätverksteamet kan hjälpa till genom att installera sensorer för övervakning, medan SOC-teamet kan bidra till förbättringar av nätverket genom upptäckter de gör. Här kommer mätetalen in igen för att teamen ska kunna stödja varandra. Nätverksteamet måste exempelvis få räkna av tid för att stödja SOC-teamet och inte bara hinna med sina egna ärenden. Annars kommer teamen inte ha incitament för att stötta andra team.

Rätt förutsättningar på plats: Vad behöver vi?

När så målet är satt och rollerna definierade – vad behövs för att lyckas? Rätt förutsättningar måste finnas plats – och där ingår utrustning och tekniska arbetsverktyg men också processer, ramverk och rutiner. Om målet för teamet är att övervaka nätverkstrafik behövs verktyg som kan göra det, use-case behöver tas fram för att rätt aktivitet ska kunna upptäckas och runbooks behöver skrivas för hur man ska arbeta med verktygen.

Att arbeta med säkerhetsanalys är svårt, tålamodskrävande och det är lätt att bli fartblind när man konstant kastas mellan olika larm och incidenter. Har man därför gjort upp en plan innan och inte minst omgivit sig av bra personer som stöttar en – så kan man förhoppningsvis möta de utmaningar som kommer.

Vad är din syn på säkerhetsanalys? Har du själv erfarenheter som du vill dela?

Hör gärna av dig.

/Marcus

Mer läsning för den intresserade:

Exempel från U.S. Department of Agriculture på hur de etablerat ett cyber security scorecard
https://csrc.nist.gov/CSRC/media/Presentations/Creating-a-Cybersecurity-Scorecard/images-media/Developing%20a%20Cybersecurity%20Scorecard.pdf

SANS Institute har gjort en rapport på SOC/NOC-integrering

https://www.sans.org/reading-room/whitepapers/incident/noc-soc-integration-opportunities-increased-efficiency-incident-response-cyber-security-38290

More IT-säkerhet stories

Perfekt storm i e-handelns ekosystem

Den svenska e-handeln har vuxit sakta men säkert med en knapp procentenhet per år under två decennier med digital teknik som den huvudsakliga möjliggöraren. I två tidigare inlägg har vi liknat handelns ekosystem vid en hage med raserade inträdesbarriärer och fyra djur: Kor: Traditionella fysiska butiksaktörer som servar hemmamarknaden Muterande kor: Kor som gradvis utvecklar […]

Läs mer

Fem år med THINK-bloggen – nu skickas pennan vidare

Sedan jag tog över som chefredaktör för den svenska THINK-bloggen på hösten år 2016, har jag och framförallt mina kollegor tillika THINK-bloggare skrivit och postat drygt 230 blogginlägg. Ämnena har varierat stort, med den gemensamma nämnaren att de alltid handlat om tankar, metoder och lösningar för att göra världen lite bättre. Viljan att beskriva svåra […]

Läs mer

Vi på IBM i Sverige: möt Fredrik Alpen

Det här är Fredrik Alpen, en kreativ IBM:are i Sverige med ett brinnande intresse för att förbättra kundupplevelser och hållbarhet. Fredriks konsultkarriär startade efter att han tagit en MBA i Nederländerna, då han blev management-konsult på PwC Consulting, som år 2002 slogs samman med IBM. Idag har Fredrik två roller på IBM Global Business services: […]

Läs mer