Runar Strømsøe Viken (Brønnøysundregistrene) og Espen Finnebraaten (mnemonic)
For 2 år siden produksjonssatte vi i Brønnøysundregistrene vår første ordentlige SOC (Security Operation Center) sammen med mnemonic. Ansvarsfordelingen er i hovedtrekk at de gjennomfører oppdagelse og analyse av sikkerhetshendelser, mens vi gjennomfører respons/hendelseshåndteringen.
Tidligere hadde vi en «best effort»-tilnærming med ulike sikkerhetsverktøy som var integrert inn mot vår Servicedesk som opererte innenfor vanlig arbeidstid. Nå er mnemonic på jobb for oss døgnet rundt med erfarne sikkerhetsanalytikere som analyserer alt av relevante sikkerhetshendelser som skjer og varsler oss øyeblikkelig hvis vi har en sikkerhetshendelse vi må agere på.
Vi hadde i fjor 266 milliarder råhendelser som ble sendt inn til SOC-en for analyse. Disse blir sendt gjennom en trakt der det utføres berikelse og maskinell analyse. Basert på dette ble det generert 3670 sikkerhetshendelser som har blitt vurdert av en sikkerhetsanalytiker, altså menneskelig analyse. Hele 83,5% av disse ble analysert utenfor vanlig arbeidstid.
Av disse sikkerhetshendelsene ble det opprettet 45 saker (ca. ¼ av totale antall saker) utenfor arbeidstid som ble sendt til oss for hendelseshåndtering. Ingen av disse sakene var kritiske, men vi hadde saker der hvis vi ikke hadde foretatt oss noe «innen rimelig tid», så er det stor sannsynlighet for at det ville fått alvorlige konsekvenser.
I CrowdStrike 2025 Global Threat Report så rapporterer de om at gjennomsnittlig «breakout time» (tiden fra initialt fotfeste til man nådd kritiske verdier) nå er nede i 48 minutter. Året før var denne på 62 minutter. Hvis man i det hele tatt skal ha mulighet til å respondere innen 48 minutter, så må det være noen som sitter på jobb som kan oppdage dette og varsle/respondere. Helst bør det også være automatiserte playbooks man kan benytte for å respondere, men det er en artikkel i seg selv😊
Hver virksomhet må selvsagt selv vurdere behovet opp mot deres kritikalitet i samfunnet eller hvor avhengig virksomheten er av IT-tjenester for å levere sine produkter, men kostnadene ved å ikke ha det kan fort bli veldig høye.
For vår del så er det ingen tvil om at vi må ha noen på jobb hele døgnet for å oppdage og analysere sikkerhetshendelsene, slik at vi kan håndtere hendelsen så raskt og effektivt som mulig, når en kritisk sikkerhetshendelse er et faktum.
Tryggheten av at man vet at noen er på jobb hele tiden gjør at vi sover bedre, til og med vi med små barn 😊
På Sikkerhetsfestivalen i 2024 snakket jeg om våre erfaringer knyttet til en offentlig anskaffelse av en SOC. Presentasjonen ligger fortsatt tilgjengelig her: https://sikkerhetsfestivalen.squarespace.com/s/Runar-Strmse-Viken-BRREG-Erfaringer-fra-en-offentlig-anskaffelse-og-implementasjon-av-en-SOC_.pdf
Innlegget er gjengitt her på Forenklingsbloggen. Det ble opprettet av Runar Strømsøe Viken på Linkedin.