Kyberturvafunktioiden integrointi operaatiokeskukseen
Latvanen, Teemu (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023120835521
https://urn.fi/URN:NBN:fi:amk-2023120835521
Tiivistelmä
Nykyään yritysten tarpeet liittyen kyberturvallisuuteen kasvavat jatkuvasti. Tästä syystä on tärkeää varautua kyberuhkiin ylläpitämällä aktiivista kyberturvatoimintaa yrityksen operatiivisessa etulinjassa. Kyberuhkien havainnointi ja niihin reagointi on täten yhä enemmän yrityksen oman kyberturvavalvomon vastuulla. Kyberturvavalvomon toiminta tarjoaa yritykselle etulyöntiaseman hyökkääjiin nähden, sillä aktiivinen havainnointi auttaa vähentämään kyberuhkista koituvia potentiaalisia vahinkoja sekä nopeuttaa uhkien saamista hallintaan.
Tutkimuksen tavoitteena oli integroida toimeksiantajan operaatiokeskukseen kyberturvafunktioita joiden myötä operaatiokeskuksella olisi olemassa selkeät prosessit kyberuhkien hallintaan. Samalla pyrittiin lisäämään kyberuhkatiedon näkyvyyttä operaatiokeskuksen henkilöstölle. Haluttu lopputulos oli operaatiokeskuksen kyvykkyys aktiiviseen kyberuhkien monitorointiin ja uhkiin reagointiin.
Toteutus koostui operaatiokeskusta koskevien kyberturvaprosessien suunnittelusta, jonka pohjalta luotiin yrityksen intranettiin tarvittava dokumentaatio ja ohjeistukset liittyen kyberturvauhkien havainnointiin ja niihin reagointiin. Dokumentaatioon sisällytettiin useita erilaisia prosesseja ja esimerkkejä, joita seuraamalla kyberturvatapahtumien hallinnoiminen tehtiin helpommaksi. Lisäksi luomalla sähköpostisääntöjä ja erinäisiä ilmoituksia varmistettiin että operaatiokeskus saa näkyvyyden tarvittavaan kyberuhkatietoon.
Tutkimusongelman ratkaisuun käytettiin kehittämistutkimusmenetelmää, jonka tuloksena toimeksiantajan operaatiokeskukselle tarjottiin valmiudet, ohjeistukset ja työkalut joiden avulla on mahdollista suorittaa L1 – tason kyberturvatutkimuksia ympäri vuorokauden, vuoden jokaisena päivänä. Pitkän aikavälin hyötynä operaatiokeskuksen noudattaessa tämän tutkimuksen aikana tehtyjä ohjeita, tulee toimeksiantaja saamaan huomattavan määrän historiallista dataa operaatiokeskuksen luomien kyberturvatikettien muodossa. Tätä historiallista dataa voidaan käyttää vertailukohtina uusien samantyyppisten kyberturvatapahtumien sattuessa. Lisäksi uusien operaatiokeskuksen tiimiin liittyvien henkilöiden kouluttaminen helpottuu kattavan kyberturvaohjeistuksen ja dokumentaation myötä. Nowadays systems that companies use to provide IT – services are bigger than ever before. Due to this reason companies must prepare for cyberthreats by maintaining active cybersecurity operations in the company’s operative frontline. The observation of the threat landscape and responding to threats is shifting increasingly to the domain of the Security Operations Center. The consequences of a cyberattack on a company can be greatly reduced when the SOC notices cyberthreats at an early stage. This most importantly decreases the time that it takes to contain a cyberthreat.
The objective of the research was to integrate cybersecurity functions into the workflow of clients Operations Center. As a result of the research, Operations Center would have clear processes for managing cyber security incidents. Another objective was to increase the visibility of threat intelligence to Operations Center personnel. The desired end-result was for Operations Center to have the capability to actively monitor the threat landscape and conduct initial investigation on cybersecurity incidents.
The implementation phase started with planning and designing the cybersecurity processes that regarded Operations Center as a function. The finalized processes were then used as a base for instructions and documentation which were created into the company’s intranet. The created documentation included many different processes and examples which aimed to make managing of cybersecurity incidents easier. As a part of the implementation, it was also ensured that Operations Center has enough visibility to all the needed threat intelligence by creating email rules and subscribing to threat intelligence feeds.
Design research method was used as a solution to solve the research question. The client’s Operations Center is now able to conduct L1 cybersecurity investigations 24/7/365 by making use of the documentation, instructions and processes created as a result of this research. As a long-term benefit, the security tickets that will be made by Operations Center will provide the client with a lot of historical data that can be used when comparing past incidents to similar new ones. The training of new Operations Center team members will also be a lot easier when extensive Operations Center specific cybersecurity instructions and documentation is readily available.
Tutkimuksen tavoitteena oli integroida toimeksiantajan operaatiokeskukseen kyberturvafunktioita joiden myötä operaatiokeskuksella olisi olemassa selkeät prosessit kyberuhkien hallintaan. Samalla pyrittiin lisäämään kyberuhkatiedon näkyvyyttä operaatiokeskuksen henkilöstölle. Haluttu lopputulos oli operaatiokeskuksen kyvykkyys aktiiviseen kyberuhkien monitorointiin ja uhkiin reagointiin.
Toteutus koostui operaatiokeskusta koskevien kyberturvaprosessien suunnittelusta, jonka pohjalta luotiin yrityksen intranettiin tarvittava dokumentaatio ja ohjeistukset liittyen kyberturvauhkien havainnointiin ja niihin reagointiin. Dokumentaatioon sisällytettiin useita erilaisia prosesseja ja esimerkkejä, joita seuraamalla kyberturvatapahtumien hallinnoiminen tehtiin helpommaksi. Lisäksi luomalla sähköpostisääntöjä ja erinäisiä ilmoituksia varmistettiin että operaatiokeskus saa näkyvyyden tarvittavaan kyberuhkatietoon.
Tutkimusongelman ratkaisuun käytettiin kehittämistutkimusmenetelmää, jonka tuloksena toimeksiantajan operaatiokeskukselle tarjottiin valmiudet, ohjeistukset ja työkalut joiden avulla on mahdollista suorittaa L1 – tason kyberturvatutkimuksia ympäri vuorokauden, vuoden jokaisena päivänä. Pitkän aikavälin hyötynä operaatiokeskuksen noudattaessa tämän tutkimuksen aikana tehtyjä ohjeita, tulee toimeksiantaja saamaan huomattavan määrän historiallista dataa operaatiokeskuksen luomien kyberturvatikettien muodossa. Tätä historiallista dataa voidaan käyttää vertailukohtina uusien samantyyppisten kyberturvatapahtumien sattuessa. Lisäksi uusien operaatiokeskuksen tiimiin liittyvien henkilöiden kouluttaminen helpottuu kattavan kyberturvaohjeistuksen ja dokumentaation myötä.
The objective of the research was to integrate cybersecurity functions into the workflow of clients Operations Center. As a result of the research, Operations Center would have clear processes for managing cyber security incidents. Another objective was to increase the visibility of threat intelligence to Operations Center personnel. The desired end-result was for Operations Center to have the capability to actively monitor the threat landscape and conduct initial investigation on cybersecurity incidents.
The implementation phase started with planning and designing the cybersecurity processes that regarded Operations Center as a function. The finalized processes were then used as a base for instructions and documentation which were created into the company’s intranet. The created documentation included many different processes and examples which aimed to make managing of cybersecurity incidents easier. As a part of the implementation, it was also ensured that Operations Center has enough visibility to all the needed threat intelligence by creating email rules and subscribing to threat intelligence feeds.
Design research method was used as a solution to solve the research question. The client’s Operations Center is now able to conduct L1 cybersecurity investigations 24/7/365 by making use of the documentation, instructions and processes created as a result of this research. As a long-term benefit, the security tickets that will be made by Operations Center will provide the client with a lot of historical data that can be used when comparing past incidents to similar new ones. The training of new Operations Center team members will also be a lot easier when extensive Operations Center specific cybersecurity instructions and documentation is readily available.