Päivä SOC-valvomossa
Mitä todella tapahtuu 24/7-valvomossa, kun kyberisku yllättää?
NetNordicin SOC-palvelu pitää silmällä yritysten ympäristöjä vuorokauden ympäri, vuoden jokaisena päivänä. Millaista työtä on ympärivuorokautinen SOC-valvonta ja mitä kaikkea siihen liittyy? Haastattelimme NetNordicin Security Analysteinä työskenteleviä Riku Ihalinia ja Vivi Karlssonia heidän työstään. He jakavat myös tosielämän esimerkin eräästä poikkeustilanteesta, ja siitä miten se hoidettiin NetNordicin valvomossa.
Yö
NetNordicin SOC-valvomossa työskennellään vuorokauden ympäri. Kun päivävuorossa työskentelevät Security Analystit lähtevät illalla kotiin, pitävät päivystystiimissä työskentelevät yövuorolaiset huolta asiakkaiden ympäristöstä läpi pitkän yön. Yöaikaan on usein hiljaisempaa, niin asiakkaiden ympäristöissä kuin itse valvomossa.
Security Analystien tärkein tehtävä on seurata NetNordicin omasta seurantajärjestelmästä asiakkaiden ympäristöjen tietoturvatapahtumia ja hälytyksiä. Työhön liittyy myös asiakaspalvelua ja dokumentointia – kaikki tärkeä dokumentoidaan tarkasti niin, että toiminta on mahdollisimman läpinäkyvää ja eri vuoroissa työskentelevät ihmiset osaavat tarvittaessa toimia oikein.
Aamu
Valvottavien yritysten työntekijät ovat päiväsaikaan työn touhussa. Siksi SOC:in valvontajärjestelmään tulevien tapahtumien ja hälytysten määrä on toimistotuntien aikana suurimmillaan. Valtaosa tietoturvatapahtumista on täysin tavallisia, eivätkä ne aiheuta toimenpiteitä. Jos analyytikot kuitenkin huomaavat jotain, joka herättää heidän mielenkiintonsa, tilanne eskaloidaan ja tapahtumat otetaan tarkempaan tutkintaan. Tarvittaessa myös työkaveria on helppo vetää hihasta ja kysyä neuvoa.
NetNordicin SOC-tiimissä työskentelee Security Analystien ohella myös esimerkiksi erilaisten uhkatrendien kartoittamiseen erikoistuneita Threat Intel Analysteja ja henkilöitä, jotka tekevät threat huntingia eli tutkintaa ja etsivät haavoittuvuuksia asiakkaiden ympäristöistä.
Päivä
Päivävuoroissa analyytikot tuottavat erilaisia raportteja ja pitävät myös yhteyttä asiakkaisiin kuukausittaisissa palavereissa. Raportointi on keskeinen osa NetNordicin SOC-palvelua, joka perustuu kumppanuuteen ja yhteiseen kehittämiseen. NetNordicin analyytikot panostavat myös kirjalliseen viestintään: tikettien tiedot perustuvat analyytikkojen analyysiin ja he kirjoittavat ne aina omin käsin sen sijaan, että hyödynnettäisiin automaattisesti generoituja tekstejä.
Ilta
Iltaa kohden SOC-valvomo hiljenee, kun päivävuorossa työskentelevät lopettavat päivänsä. Valvomoon jäävät yöpäivystäjät, jotka pitävät silmällä tietoturvatapahtumia samaan tapaan, kuin päivävuorossa työskentelevät. Ilta- ja yöaikaan tapahtumia on vähemmän, mutta ne ovat erikoisempia, ja saattavat vaatia lähempää tutkimista ja tarkempaa perehtymistä.
SOC-valvomon tehtävä on useissa tapauksissa vain pitää vahtia, ja kun tositilanne iskee, otetaan nopeasti yhteys asiakkaaseen. Asiakas antaa tarvittaessa luvan tutkia järjestelmää tarkemmin ja esimerkiksi rajoittaa hyökkäyksiä tavalla tai toisella. Paras tapa ottaa yhteyttä asiakkaaseen on puhelin – niin saa usein suoran yhteyden, eikä tiukassa tilanteessa tarvitse jäädä odottelemaan sitä, että asiakas huomaa sähköpostin tai ilmoituksen. Näin tilanne saadaan usein nopeasti hallintaan.
Kyberhyökkäys-case: Kalastelusähköposti
On tavallinen päivä SOC-valvomossa, kun henkilökunta huomaa jotain poikkeuksellista: asiakkaan ympäristöstä tulee hälytys, sillä käyttäjä on kirjautunut sisään erikoisesta sijainnista – Suomessa toimivan yrityksen ympäristöön tulee yhtäkkiä kirjautuminen toiselta puolen maailmaa. Kirjautuminen on niin poikkeuksellinen, että asiakkaalle ilmoitetaan siitä luomalla tiketti järjestelmään. Pian myös muita erikoisia tapahtumia alkaa ilmestyä asiakkaan järjestelmään ja SOC:in henkilökunta on juuri soittamassa asiakkaalle, kun asiakas soittaakin itse valvomoon. Kaikki ei ole kunnossa.
Ilmenee, että asiakkaan työntekijä on epähuomiossa syöttänyt kirjautumistietonsa kalastelusähköpostiin. Tunkeutuja on päässyt niiden avulla kirjautumaan asiakkaan ympäristöön. Siellä hän on tarkastellut erilaisia dokumentteja ja lähettänyt työntekijän sähköpostista tuhansia kalasteluviestejä lisää. Yrityksen virallisesta osoitteesta tuleva kalasteluviesti on luonnollisesti uskottavampi, ja siksi kalastelu voi lähteä leviämään hallitsemattomasti.
SOC-valvomon henkilökunta saa luvan vaihtaa saastuneen tilin salasanan, jotta tunkeutuja ei pääse enää kirjautumaan sisään. Samaan aikaan osa SOC-henkilökunnasta poistaa lähetettyjä kalasteluviestejä ja seuraa yrityksen kirjautumistapahtumia siltä varalta, että kalasteluviesteihin olisi jo ehditty vastata. Tilanne saadaan kuitenkin rauhoittumaan nopeasti ja poikkeukselliset kirjautumistapahtumat vähenevät. Tilanteen seuraamista jatketaan tehostetusti seuraavan yön ja viikonlopun ajan.
Ennaltaehkäisy ja aktiivinen reagointi avainasemassa
Myöhemmin selviää, että hyökkäys oli osa laajempaa kalastelukampanjaa. SOC:in henkilökunnan ansiosta hyökkäys saatiin pysähtymään jo alkuvaiheessa. Jos sitä ei olisi huomattu hyvissä ajoin, olisivat tuhot voineet olla merkittävästi suuremmat. Kalastelun keinoin hankitut kirjautumistiedot saatetaan myös myydä eteenpäin muille kyberrikollisille, joten huomaamatta jäänyt onnistunut kalasteluhyökkäys voinut tulla vastaan myös paljon myöhemmin.
SOC:in toiminta perustuu ennaltaehkäisyyn ja suojauksen vahvistamiseen, joten yhtä akuutteja hyökkäyksiä nähdään valvomossa harvoin. Nopean reagoinnin ja kattavan valvonnan ansiosta NetNordicin SOC-asiakkaat voivatkin olla huoleti tietoturvan valvonnan suhteen – ammattilaiset valvovat ympäristöä 24/7/365.
Sisällysluettelo
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Ota yhteyttä
Soita meille suoraan puhelinnumeroomme +358 020 743 8000, lähetä meille sähköpostia info.fi@netnordic.com tai täytä lomake, niin palaamme asiaan mahdollisimman pian! Kiitos!
