SOC ja NOC – onhan noita!

IT-ala on tunnettu tiheästä ja alati laajenevasta termiviidakostaan, johon on varsin helppo eksyä kokeneenkin seikkailijan. Herkutellaanpa nyt oikein luvan kanssa joillakin ehkäpä kuitenkin tutuimmasta päästä olevilla termeillä. Oletko valmis seikkailuun ja erilaisten lyhenteiden rankkasateeseen? Nyt mennään!

ATK- eli IT- eli ICT-projektin aloituspalaveri voi sisältönsä puolesta kuulostaa alan ulkopuoliselle aikamoiselta mysteeriltä, ja helposti Google-haku aukeaa monen kokeneenkin projektiryhmän jäsenen koneella. Termejä siis tulee ja termejä menee niin, että silmissä vilisee. Ala on laaja ja uutta opittavaa riittää jatkuvasti.

Sukelletaanpa heti syvään päähän, jossa pinnalle ponnahtaa ensin SOC. Rakkaalla lapsellahan on tunnetusti monta nimeä. SOC- eli CSOC- eli MSSP-palvelu on yleensä keino saavuttaa nopeasti ja kustannustehokkaasti riittävä tietoturvan taso. Jotta SOC saa riittävän tietoturvanäkyvyyden, tarvitaan SIEM-, EDR- ja NDR-järjestelmä (xDR). Automaation ja liitettävyyden takaa tietenkin SOAR, mutta se kuuluu SOC-palveluun. Käyttöönotto on selkeintä aloittaa vaiheittain tärkeimmistä IDMS- ja PAM-järjestelmistä. Tietenkin AD, ADFS, AAD DNS ja DHCP sekä keskeiset FW:t, WAF:t ja IPS/IDS:t ovat ensimmäisiä. Ollaanko vielä pinnalla?

Mikäli EDR:ää ei oteta käyttöön, niin tarvitaan AV- ja SYSMON-lokit. Sitten on vielä O365 eli M365 riippuen siitä, onko E3 vai E5. Entä AWS ja GCP ja mikä on CSP? Onko kyseessä IaaS, PaaS, SaaS, DaaS vai FaaS? Entä oletko kuullut CASBistä? NDR tuo näkyvyyden LANiin ja OT-verkkojen IoT- ja SCADA-verkkoihin. ERP ja ITSM kannattaa liittää vasta toisessa vaiheessa.  Ovatko ne PaaS tai SaaS? Entä API? TI- ja IOC-lähteet on luonnollisesti otettava huomioon. Huhhei, nyt on parempi lähteä uimaan matalampaan päähän.

Käyttöönottoprojektin aikana pitää myös määrittää SOCin, NOCin ja SD:n välinen prosessi ja tuleeko NOC jo POCiin. SD:n täytyy myös olla ehdottomasti mukana. IR- ja MIR-prosesseissa täytyy miettiä, voiko SD, SOC ja NOC ohittaa MIRrin tai jo IRrin kohdalla CABin.

”Miten IR:stä tulee MIRri? Meneekö IRri normaalisti CABiin vai voiko SOC ohittaa CABin? Milloin IR on MIR ja kuka valtuuttaa DFIRin? Voiko SOC komentaa NOCia ja SDtä? Entä Red Team, Blue Team ja siihen väliin Purple Team? Mitä ITIL ja GDPR sanoo? Entä onko ISO27001 jo käytössä ja mikä olikaan projektin GAP?”

SOC ja NOC – onhan noita ja monia muitakin. Meille alan ihmisille keskusteltu käy usein suhteellisen luonnollisesti näillä lyhenteilläkin, mutta aina lyhenteetkään eivät ole niin yksiselitteisiä kuin voisi olettaa. Esimerkiksi SOC ja CSOC voidaan myös määritellä eri tavoin. Näinhän termien kanssa usein on, että harva käsite on yksiselitteinen ja esimerkiksi SOC voi eri palveluntarjoajilla tarkoittaa eri asioita. Ja ettei asia vaikuttaisi liian yksinkertaiselta, eri asiat voivat linkittyä myös hyvin eri tavoin keskenään ja muodostaa erilaisia kokonaisuuksia. Tästä oivana esimerkkinä blogin pääkuva, joka kuvaa asioiden välisiä yhteyksiä, mutta toisaalta ehkäpä monimuotoisuudessaan voi näyttää mutkistavan asioita entisestään.

Termien ja lyhenteiden kanssa joutuu helposti solmuun, joskus jopa umpisolmuun. Keskustelussa muun muassa asiakkaiden ja muiden yhteistyökumppaneiden kanssa on tärkeä muistaa kertoa asioista ymmärrettävästi ja selkeästi. Toivotun lopputuloksen ja hedelmällisen yhteistyön kannalta on oleellista, että käsiteltävä asia ymmärretään puolin ja toisin samalla tavalla. Erilaisten termien sisältöä on avattava riittävällä tasolla. Siinäpä meille alan ihmisille haastetta kerrakseen. Aina kannattaa myös rohkeasti kysyä, jos kaipaa lyhenteisiin ja termeihin selkeyttä vaikkapa palvelukuvauksia tai tarjouksia lukiessa. Kysyvä kylän löytää ja selityksen termillekin.