Next Generation Security Operations Center

Abstract

The goal of this thesis was to research how a security operations center can be improved. A security operations center is an essential part of modern cyber defense, as it establishes and maintains the cyber security situational picture. This thesis highlights problems of current security operations centers and proposes improvements.

The thesis is based on researches and studies about security operations centers and other relevant topics. Security operations centers do not have a standardized form and therefore the thesis combines multiple sources.

According to the results of this thesis, today’s security operations centers are struggling with overwhelming amounts of data while cyber attacks are becoming more sophisticated and challenging to detect. Modern tools and technologies such as machine learning and artificial intelligence can be utilized to automate the processing of recurring threats. Furthermore, a security operations center can collect and analyze cyber threat intelligence, to become more aware of current threat trends. Security operations center units must be able to streamline their processes, so that the unit can execute its mission in an agile manner, while adapting to their environment.

The results of this thesis can be utilized while planning and implementing a modern security operations center. In addition, existing security operations centers can use the results of this thesis to gain information about modern implementations.

Insinöörityön tavoitteena oli selvittää tietoturvahallintakeskuksen kehittämismahdollisuuksia. Tietoturvahallintakeskus on oleellinen osa organisaatioiden nykyaikaista kyberpuolustusta, sillä se rakentaa ja ylläpitää kyberturvallisuuden tilannekuvaa. Tietoturvahallintakeskus koostuu ihmisistä, prosesseista ja teknologioista, jotka kaikki on otettu huomioon insinöörityössä. Insinöörityössä pohditaan nykyisten tietoturvahallintakeskuksien ongelmia ja esitetään niihin parannusehdotuksia. Insinöörityössä pohditaan tietoturvahallintakeskuksen kehittämistä lisäksi tietoturvapalveluntarjoajan näkökulmasta.

Insinöörityön pohjana käytettiin alan kirjallisuutta ja tutkimuksia. Tietoturvahallintakeskuksilla ei ole standardisoitua muotoa tai toimintatapaa, jonka takia insinöörityössä on yhdistetty tietoa useista eri lähteistä. Insinöörityön muoto on tutkimuspohjainen, sillä tilaajayritys halusi selvittää tietoturvahallintakeskuksen kehitysmahdollisuuksia.

Insinöörityön tuloksena päädyttiin siihen, että nykyiset tietoturvahallintakeskukset kamppailevat kasvavan datamäärän kanssa samalla, kun tietoturvaloukkaukset ovat entistä monimutkaisempia ja vaikeampia havaita. Tietoturvahallintakeskukset voivat hyödyntää nykyaikaisia teknologioita ja työkaluja, kuten koneoppimista ja tekoälyä automatisoidakseen toistuvien tietoturvauhkien käsittelyn. Lisäksi tietoturvahallintakeskukset voivat hyödyntää olemassa olevaa uhkatietoa parantaakseen tietoturvariskien havainnointia. Tietoturvahallintakeskuksen tulee pyrkiä virtaviivaistamaan prosessinsa, jotta yksikkö voi toimia mahdollisimman ketterästi mukautumalla ympäristöönsä.

Insinöörityötä voidaan käyttää avuksi tietoturvahallintakeskusten suunnittelu- ja toteutusvaiheissa. Tämän lisäksi jo olemassa olevat tietoturvahallintakeskukset voivat hyödyntää insinöörityön tuloksia kehittyäkseen. Insinöörityön ansioista tilaajayritys pystyy kehittämään jo olemassa olevaan tietoturvahallintakeskustaan parantaakseen sen tuomaa tietoturvanäkyvyyttä ja kehittääkseen sen reagoimiskykyä tietoturvauhkiin.