SOCs as Enablers for Continuous Threat Exposure Management
Hookana, Risto (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404025519
https://urn.fi/URN:NBN:fi:amk-202404025519
Tiivistelmä
Security Operations Center (SOC) tai turvallisuusvalvomot ovat monissa organisaatioissa avainasemassa kyberhyökkäyksiltä suojautumisessa. SOC:ien on kyettävä mukautumaan ja kehittymään palvellakseen modernien organisaatioiden liiketoiminnan tarpeita, jotka voivat muuttua nopeasti digitalisaation kehityksen takia.
Gartner, amerikkalainen IT-tutkimusyritys ja konsulttiyhtiö, määrittelee ’Continous Threat Exposure Mana gementin’ eli CTEM:n "pragmaattiseksi ja systemaattiseksi lähestymistavaksi jatkuvaan kyberturvallisuuden optimointiprioriteettien ohjaukseen" hyödyntäen teknologiaa, esimerkiksi sovittamalla uhka-altistumisen
arvioinnit liiketoimintaprojekteihin ja uhkavektoreihin, jotka ovat relevantteja organisaatiolle.
Tämän tutkimuksen tarkoitus on selvittää, mitkä ovat SOC:in nykyiset kyvykkyydet tukea tai mahdollistaa
CTEM-ohjelma organisaatiossa. Muita tavoitteita ovat tunnistaa, mitä kyvykkyyksiä CTEM vaatii People,
Process, & Technology -viitekehyksen suhteen ja mitkä voisivat olla mahdolliset aukot SOC:ien kyvykkyyksissä tukea CTEM ohjelmaa. Tutkimus suoritettiin ensin määrittelemällä kirjallisuuden avulla, mikä SOC on ja mistä se koostuu, ja tekemällä sama CTEM:lle. CTEM:n osalta tämä tehtiin käyttämällä yksinomaan Gartnerin asiakkailleen tuottamaa materiaalia. Tämä tehtiin Gartnerin luvalla ja Gartner läpiluki myös kappaleet, joissa käytettiin heidän materiaaliaan. SOC:in nykyisten kyvykkyyksien tunnistamiseksi, joilla mahdollistetaan tai tuetaan CTEM-ohjelmaa, käytettiin systemaattista kirjallisuuskatsausta.
Tutkimuksen tuloksena luotiin kaksi kuvaa, jotka vastaavat kaikkiin kolmeen tutkimuskysymykseen, jotka tutkimus asetti. Tutkimuksen tulokset ja itse tutkimus vaikuttavat tällä hetkellä olevan ainutlaatuisia maailmassa, sillä CTEM:ää mainitsevia akateemisia julkaisuja ei havaittu tutkimusprosessin aikana. Security Operations Centers or SOCs are in many organizations in a key role to protect against the cyber-attacks. SOCs need to be able to adapt and evolve to serve the business needs of the modern organizations,
which digitalization can change in a fast pace.
Gartner, an IT research firm and a consultancy headquartered in United States of America, defines ‘Continuous Threat Exposure Management’ or CTEM as an “pragmatic and systemic approach to continuously adjust cyber-security optimization priorities” that utilizes technology, for example to align threat exposure assessments to business projects and threat vectors that are relevant to the organization.
The purpose of this research is to find what are the current capabilities that SOC possesses to support or
enable a CTEM program in an organization. Other objectives are to recognize what capabilities CTEM is requiring in terms of People, Process and Technology Framework and what could be the potential gaps in SOCs capabilities to support CTEM. The research was carried out first by defining using literature what a SOC is and what it constitutes of and doing the same for CTEM. For CTEM, this work was done by using exclusively Gartner’s subscribed client material. This was done with the consent and review of the chapters from Gartner. To recognize the capabilities that SOC possesses to enable or support a CTEM program, systematic literature review was used.
As a result of the research, two figures were created that answers all the three research questions that this
thesis set out to answer. The thesis’ results and thesis itself seem to be currently one of a kind in the world,
as there were no observed academic publications mentioning CTEM during this thesis process.
Gartner, amerikkalainen IT-tutkimusyritys ja konsulttiyhtiö, määrittelee ’Continous Threat Exposure Mana gementin’ eli CTEM:n "pragmaattiseksi ja systemaattiseksi lähestymistavaksi jatkuvaan kyberturvallisuuden optimointiprioriteettien ohjaukseen" hyödyntäen teknologiaa, esimerkiksi sovittamalla uhka-altistumisen
arvioinnit liiketoimintaprojekteihin ja uhkavektoreihin, jotka ovat relevantteja organisaatiolle.
Tämän tutkimuksen tarkoitus on selvittää, mitkä ovat SOC:in nykyiset kyvykkyydet tukea tai mahdollistaa
CTEM-ohjelma organisaatiossa. Muita tavoitteita ovat tunnistaa, mitä kyvykkyyksiä CTEM vaatii People,
Process, & Technology -viitekehyksen suhteen ja mitkä voisivat olla mahdolliset aukot SOC:ien kyvykkyyksissä tukea CTEM ohjelmaa. Tutkimus suoritettiin ensin määrittelemällä kirjallisuuden avulla, mikä SOC on ja mistä se koostuu, ja tekemällä sama CTEM:lle. CTEM:n osalta tämä tehtiin käyttämällä yksinomaan Gartnerin asiakkailleen tuottamaa materiaalia. Tämä tehtiin Gartnerin luvalla ja Gartner läpiluki myös kappaleet, joissa käytettiin heidän materiaaliaan. SOC:in nykyisten kyvykkyyksien tunnistamiseksi, joilla mahdollistetaan tai tuetaan CTEM-ohjelmaa, käytettiin systemaattista kirjallisuuskatsausta.
Tutkimuksen tuloksena luotiin kaksi kuvaa, jotka vastaavat kaikkiin kolmeen tutkimuskysymykseen, jotka tutkimus asetti. Tutkimuksen tulokset ja itse tutkimus vaikuttavat tällä hetkellä olevan ainutlaatuisia maailmassa, sillä CTEM:ää mainitsevia akateemisia julkaisuja ei havaittu tutkimusprosessin aikana.
which digitalization can change in a fast pace.
Gartner, an IT research firm and a consultancy headquartered in United States of America, defines ‘Continuous Threat Exposure Management’ or CTEM as an “pragmatic and systemic approach to continuously adjust cyber-security optimization priorities” that utilizes technology, for example to align threat exposure assessments to business projects and threat vectors that are relevant to the organization.
The purpose of this research is to find what are the current capabilities that SOC possesses to support or
enable a CTEM program in an organization. Other objectives are to recognize what capabilities CTEM is requiring in terms of People, Process and Technology Framework and what could be the potential gaps in SOCs capabilities to support CTEM. The research was carried out first by defining using literature what a SOC is and what it constitutes of and doing the same for CTEM. For CTEM, this work was done by using exclusively Gartner’s subscribed client material. This was done with the consent and review of the chapters from Gartner. To recognize the capabilities that SOC possesses to enable or support a CTEM program, systematic literature review was used.
As a result of the research, two figures were created that answers all the three research questions that this
thesis set out to answer. The thesis’ results and thesis itself seem to be currently one of a kind in the world,
as there were no observed academic publications mentioning CTEM during this thesis process.