Veel bedrijven vragen zich af of zij een Security Operation Center (SOC) nodig hebben. In deze blog zet SOC-consultant Rob Musquetier zijn visie over de ontwikkelingen van de internationale dreigingen in het IT Security landschap uiteen. Wat doet een SOC? En heeft jouw organisatie er één nodig?
In een wereld met een almaar toenemende dreiging van misbruik, ontvreemding, ontoegankelijk maken of vernietiging van digitale bedrijfsinformatie moet de beveiliging van deze data worden opgeschroefd. Criminele organisaties en vijandige geheime diensten zijn steeds professioneler en geraffineerder. Ze beschikken bovendien over aanzienlijke middelen. Hierdoor zijn zij steeds beter in staat hun doelstellingen ten koste van overheden, bedrijven en overige instellingen te realiseren.
Hackers slaan hun slag
Waar beheerders rekening moeten houden met honderdduizenden kwetsbaarheden in ICT-systemen, heeft een hacker vaak aan één tekortkoming in de ICT-beveiliging genoeg om zijn slag te slaan. Eenmaal binnen kan een hacker vaak eenvoudig en volledig buiten het zicht van bestaande beveiligingsmiddelen zijn werk doen. Sommige hacks duren maanden of jaren en worden meestal pas na maanden of soms zelfs na jaren opgemerkt. Als zij überhaupt al worden opgemerkt. Hackers houden zich niet aan maatschappelijke regels, vastgestelde kantooruren of CAO-afspraken. Daarnaast hebben ze vaak ruime middelen en zeeën van tijd. Beheermaatregelen gebaseerd op regels, toegangstijden of beperkingen als geld of tijd werken daarom niet.
Gevoelige informatie ligt op straat
Het ontsluiten van gevoelige (bedrijfs)informatie via het internet, zeker in combinatie met de toenemende complexiteit van achterliggende infrastructuren, is daarom vandaag de dag heel riskant. Het uitsluitend beveiligen van de buitenste ring van het netwerk, vergelijkbaar met een muur en slotgracht rondom een middeleeuws kasteel, is in deze tijd niet langer afdoende. Hackers zijn vaak al lang “binnen” of worden anders wel door de medewerkers van de organisatie – vaak onbewust – geholpen om alsnog binnen te komen.
Wat doet een SOC?
Naast preventieve en correctieve maatregelen moeten organisaties ook nadenken over detectieve maatregelen. Denk hierbij aan Intrusion Detectie & Prevention Systemen (IDS/IPS) en Security Information en Event Management (SIEM)-oplossingen. Deze systemen stellen organisaties in staat om vroegtijdig misbruik van ICT-middelen op te sporen. De analyse en afhandeling van de meldingen uit deze systemen worden doorgaans ondergebracht in een Security Operation Center (SOC). Een SOC wordt soms ook wel Cyber Defense Center of Cyber Resillience Center genoemd.
SOC-medewerkers verzamelen ICT-beveiligingsinformatie uit alle ICT-middelen, variërend van basale netwerkinformatie tot hoogwaardige bedrijfsapplicaties. Zij filteren en analyseren de miljoenen meldingen die er per dag binnenkomen. Deze meldingen reduceren de SOC-medewerkers tot de daadwerkelijk relevante beveiligingsmeldingen. Gepaste actie wordt ondernomen om misbruik van de bedrijfsmiddelen en informatie te voorkomen en zo potentiële bedrijfsschade te minimaliseren.
Waar een SOC nog niet zo heel lang geleden binnen enkele dagen een potentiële dreiging detecteerde en hierop reageerde, is dit nu al teruggebracht tot hooguit enkele minuten. Ransomware kan in een tijdsbestek van een kwartier de hele organisatie saboteren, waarna het herstellen van de schade enorm veel tijd en arbeid kost en soms zelfs onmogelijk is. Zelfs het betalen van ”losgeld” is geen garantie voor een (volledig) herstel. Laat staan de reputatieschade die een getroffen organisatie hierdoor kan oplopen.
Inrichten van een SOC vergt expertise
Organisaties doen er dus goed aan na te denken over de rol van het SOC. Dient het 24/7 bemand te zijn? Wat moet het opleidingsniveau en de vaardigheden zijn van de medewerkers, waar vind je deze en hoe bind je hen aan je organisatie? Welke faciliteiten hebben de SOC-medewerkers nodig om hun taken goed uit te kunnen voeren? Welke van de miljoenen meldingen die per dag langskomen zijn relevant en hoe moet het SOC reageren als een dreiging zich voordoet? Welk mandaat zou het SOC moeten hebben en hoe werkt dit dan buiten de reguliere kantoortijden?
Kortom, een SOC inrichten is niet eenvoudig. Wij merken dat het SOC vaak als kostenpost wordt gezien, een soort verzekeringspolis tegen hackers of tickbox-item op een auditlijst. Een SOC verwacht dat een IT-afdeling van een bedrijf professioneel is. Belangrijke voorwaarden zijn dat ITIL-processen als incident-, probleem-, wijzigings- en configuratiemanagement goed zijn ingericht. Anders kan een SOC niet effectief functioneren. Daarnaast moet een SOC een sterk mandaat hebben, evenals een directe rapporteringslijn naar de directie.
SOC: Hulp nodig?
Onderschat het inrichten van een SOC niet. Schroom dan ook niet om hulp te vragen van een partij die vaker met dit bijltje gehakt heeft. Dat helpt om kostbare inrichtingsfouten te voorkomen. Wij van Navaio zijn uiteraard graag bereid je hierbij van dienst te zijn. Wil je met onze expert op het gebied van SOC sparren? Of ben je benieuwd hoe wij jou kunnen helpen? Neem dan contact met ons op.
Wil je meer horen over Managed Detection & Response? Dat kan. Onlangs organiseerde wij een het webinar ‘Managed Detection & Response – een hacker binnen enkele minuten detecteren’. Kijk het webinar hier terug en leer van experts.
Leave A Comment