Vad jag lärt mig efter 18 månader som säkerhetsanalytiker

Share this post:

I september kommer jag att ha arbetat med IT-säkerhet i fyra år och det har varit en otroligt lärorik resa. Jag har fått arbeta både som projektledare, lösningstekniker och sedan 18 månader som säkerhetsanalytiker i ett säkerhetscenter (SOC; som står för Security Operation Center). Vad har jag då lärt mig av min tid som säkerhetsanalytiker i ett SOC-team och vad tar jag med mig?

Målet måste vara tydligt: vart ska vi och när är vi framme?

Först kommer målet – vad är syftet med teamet och vad ska man åstadkomma? Det är viktigt att definiera sitt uppdrag, vilka tjänster som ska levereras, vilken typ av ansvar man har och hur arbetet ska utföras. Definierar man inte målet tydligt eller hur man ska mäta det hela så kommer missförstånd oundvikligen att uppstå. För att hjälpa till med detta kan man använda sig av olika ramverk, från exempelvis NIST, eller scorecards för att definiera målet samt rätt typ av mätetal.

Roller och teamarbete: Hur får vi med oss alla?

När målet är tydligt, kommer nästa fråga: hur får vi alla att gå åt samma håll? Det gäller att tydligt bestämma hur man ska arbeta och vilka roller och ansvar alla har. Ett SOC-team är också beroende av kringliggande team som nätverk, drift och andra leverantörer för att kunna göra sitt jobb. Nätverksteamet kan hjälpa till genom att installera sensorer för övervakning, medan SOC-teamet kan bidra till förbättringar av nätverket genom upptäckter de gör. Här kommer mätetalen in igen för att teamen ska kunna stödja varandra. Nätverksteamet måste exempelvis få räkna av tid för att stödja SOC-teamet och inte bara hinna med sina egna ärenden. Annars kommer teamen inte ha incitament för att stötta andra team.

Rätt förutsättningar på plats: Vad behöver vi?

När så målet är satt och rollerna definierade – vad behövs för att lyckas? Rätt förutsättningar måste finnas plats – och där ingår utrustning och tekniska arbetsverktyg men också processer, ramverk och rutiner. Om målet för teamet är att övervaka nätverkstrafik behövs verktyg som kan göra det, use-case behöver tas fram för att rätt aktivitet ska kunna upptäckas och runbooks behöver skrivas för hur man ska arbeta med verktygen.

Att arbeta med säkerhetsanalys är svårt, tålamodskrävande och det är lätt att bli fartblind när man konstant kastas mellan olika larm och incidenter. Har man därför gjort upp en plan innan och inte minst omgivit sig av bra personer som stöttar en – så kan man förhoppningsvis möta de utmaningar som kommer.

Vad är din syn på säkerhetsanalys? Har du själv erfarenheter som du vill dela?

Hör gärna av dig.

/Marcus

Mer läsning för den intresserade:

Exempel från U.S. Department of Agriculture på hur de etablerat ett cyber security scorecard
https://csrc.nist.gov/CSRC/media/Presentations/Creating-a-Cybersecurity-Scorecard/images-media/Developing%20a%20Cybersecurity%20Scorecard.pdf

SANS Institute har gjort en rapport på SOC/NOC-integrering

https://www.sans.org/reading-room/whitepapers/incident/noc-soc-integration-opportunities-increased-efficiency-incident-response-cyber-security-38290