IT-säkerhet

Vad jag lärt mig efter 18 månader som säkerhetsanalytiker

Share this post:

I september kommer jag att ha arbetat med IT-säkerhet i fyra år och det har varit en otroligt lärorik resa. Jag har fått arbeta både som projektledare, lösningstekniker och sedan 18 månader som säkerhetsanalytiker i ett säkerhetscenter (SOC; som står för Security Operation Center). Vad har jag då lärt mig av min tid som säkerhetsanalytiker i ett SOC-team och vad tar jag med mig?

Målet måste vara tydligt: vart ska vi och när är vi framme?

Först kommer målet – vad är syftet med teamet och vad ska man åstadkomma? Det är viktigt att definiera sitt uppdrag, vilka tjänster som ska levereras, vilken typ av ansvar man har och hur arbetet ska utföras. Definierar man inte målet tydligt eller hur man ska mäta det hela så kommer missförstånd oundvikligen att uppstå. För att hjälpa till med detta kan man använda sig av olika ramverk, från exempelvis NIST, eller scorecards för att definiera målet samt rätt typ av mätetal.

 

Roller och teamarbete: Hur får vi med oss alla?

När målet är tydligt, kommer nästa fråga: hur får vi alla att gå åt samma håll? Det gäller att tydligt bestämma hur man ska arbeta och vilka roller och ansvar alla har. Ett SOC-team är också beroende av kringliggande team som nätverk, drift och andra leverantörer för att kunna göra sitt jobb. Nätverksteamet kan hjälpa till genom att installera sensorer för övervakning, medan SOC-teamet kan bidra till förbättringar av nätverket genom upptäckter de gör. Här kommer mätetalen in igen för att teamen ska kunna stödja varandra. Nätverksteamet måste exempelvis få räkna av tid för att stödja SOC-teamet och inte bara hinna med sina egna ärenden. Annars kommer teamen inte ha incitament för att stötta andra team.

Rätt förutsättningar på plats: Vad behöver vi?

När så målet är satt och rollerna definierade – vad behövs för att lyckas? Rätt förutsättningar måste finnas plats – och där ingår utrustning och tekniska arbetsverktyg men också processer, ramverk och rutiner. Om målet för teamet är att övervaka nätverkstrafik behövs verktyg som kan göra det, use-case behöver tas fram för att rätt aktivitet ska kunna upptäckas och runbooks behöver skrivas för hur man ska arbeta med verktygen.

Att arbeta med säkerhetsanalys är svårt, tålamodskrävande och det är lätt att bli fartblind när man konstant kastas mellan olika larm och incidenter. Har man därför gjort upp en plan innan och inte minst omgivit sig av bra personer som stöttar en – så kan man förhoppningsvis möta de utmaningar som kommer.

Vad är din syn på säkerhetsanalys? Har du själv erfarenheter som du vill dela?

Hör gärna av dig.

/Marcus

Mer läsning för den intresserade:

Exempel från U.S. Department of Agriculture på hur de etablerat ett cyber security scorecard
https://csrc.nist.gov/CSRC/media/Presentations/Creating-a-Cybersecurity-Scorecard/images-media/Developing%20a%20Cybersecurity%20Scorecard.pdf

SANS Institute har gjort en rapport på SOC/NOC-integrering

https://www.sans.org/reading-room/whitepapers/incident/noc-soc-integration-opportunities-increased-efficiency-incident-response-cyber-security-38290

More IT-säkerhet stories

Nu kommer Nollzon 2.0

 – som underlättar övergången till eltaxibilar i Sverige De senaste åren har miljön varit ett aktuellt ämne och under förra årets värmebölja gick det inte längre att ignorera våra växande klimatproblem. Trots att många framstående individer såsom Al Gore och Greta Thunberg har uttalat sig om hur lagstiftare såväl som företag och konsumenter bör gå […]

Läs mer

Låt oss tillsammans sätta smart teknik i arbete!

Det är ett par veckor kvar till vårt stora event Think Summit Stockholm den 3 oktober. Det ger mig skäl att stanna upp och reflektera över var vi befinner oss – som yrkesmänniskor och privatpersoner här i Sverige, idag. Utan tvivel lever vi i en brytningstid. Aldrig tidigare har vi haft tillgång till så kraftfulla […]

Läs mer

Varför vill en läkare börja jobba på IBM?

Varför byta vit rock och stetoskop mot skjorta och kavaj? Varför byta en vardag där man varje dag hjälper sjuka människor mot en vardag fylld av resor och möten? Varför vill man byta dryga 20 års utbildning, forskning och kunskap inom medicin mot ett helt nytt område där man är helt grön? Redan som 20-åring […]

Läs mer