waarom een Security Operation Center

Is een digitale muur om je organisatie heen bouwen nog afdoende? Firewalls, virusscanners, een spamfilter, you name it…. de meeste bedrijven hebben deze maatregelen in huis. Maar de kans dat een aanvaller er ooit een keer doorheen komt is aanwezig, dus hoe verkleinen we het risico en ook de impact als het toch gebeurt? Het gaat tenslotte om het beschermen van je data en kritieke processen.

De vraag in deze blogpost is dan ook ‘Biedt een Security Operations Center (SOC) mij de meerwaarde, bovenop de al gelaagde beveiliging en maatregelen, die wij als organisatie genomen hebben?

Wat doet een SOC eigenlijk?

Een Security Operation Center (SOC) is een gecentraliseerde functie binnen een organisatie die mensen, processen en technologie inzet om de beveiligingsstatus van een organisatie voortdurend te bewaken en te verbeteren en tegelijkertijd incidenten op het gebied van cyberbeveiliging te voorkomen, te detecteren, te analyseren en erop te reageren.

Een SOC fungeert als een hub of centrale commandopost, die telemetrie ontvangt van de gehele IT-infrastructuur van een organisatie, met inbegrip van websites, databases, servers, toepassingen, netwerken, desktops, datacenters en een verscheidenheid aan endpoints. Ongeacht waar deze zich bevinden.

Een SOC cyberbeveiligingsinstallatie controleert elk element van de infrastructuur, beoordeelt de huidige gezondheid ervan, met inbegrip van potentiële en bestaande bedreigingen, en reageert op bedreigingen. Het SOC stelt ook informatiebeveiligingsmaatregelen en -protocollen op om toekomstige bedreigingen te voorkomen.

Zie het SOC dus als de ogen en de oren van je organisatie. Het SOC slaat alarm wanneer het afwijkende, kwaadaardige of verdachte activiteiten detecteert en belangrijker nog het maakt een cruciale reactie mogelijk.

Hoe gaat een cybercrimineel te werk?

Die vraag zal vast eens bij je opgekomen zijn. Voor een cybercrimineel is een klein kiertje al genoeg, om de organisatie binnen te komen. Dat kan gebeuren door bijvoorbeeld een vergeten server, die aan het internet hangt, en niet de nieuwste updates en patches heeft gekregen, of via de e-mailbox van een medewerker. De scheidingslijn tussen privé en werk, is sinds de intrede van Corona ook minder zichtbaar. Medewerkers openen privé-email op het werk, of gebruiken overal dezelfde wachtwoorden. Gevaren genoeg dus.

Een cybercrimineel speelt in op een kwetsbaarheid of past een van de tools uit Social Engineering toe, zoals het versturen van een Phishing-bericht met bijvoorbeeld een bijlage (Malicious Payload), waarin word gevraagd een macro toe te staan. Wanneer de macro word toegestaan en afhankelijk van het doel van de Payload, kan er op de achtergrond van de gebruiker gevoelige informatie worden verzameld, of dat er belangrijke bestanden en processen worden verwijderd of aangepast.

Dat betekent niet dat je systemen direct op slot gaan en er een venster verschijnt, dat je een som Bitcoins moet betalen. Aanvallers blijven het liefste zo lang mogelijk in het netwerk hangen en creëren een backdoor om altijd te kunnen terugkeren. Als de backdoor eenmaal is geïnstalleerd, kan het zoeken naar bruikbare, waardevolle, data gaan beginnen. Die kunnen ze exfiltreren en besmetten, als naar gelang hun doel. Om toegang te blijven behouden met de systemen en op afstand commando’s te sturen, creëren ze een betrouwbaar communicatiekanaal, ook wel de Command and Control (C2) server genoemd. Wanneer al deze stappen zijn gezet, is de missie voltooid is en kan de versleuteling van de bestanden worden gestart, verdere data worden ge-exfiltreerd of zelfs worden vernietigd. Als je detectieoplossing op dit moment pas echt gaan detecteren, als ze het al detecteren, is het eigenlijk al te laat.

Splunk heeft onlangs onderzoek gedaan naar de verschillende Ransomware-as-a-Service varianten,die er te koop zijn. Lockbit bijvoorbeeld, kan in zo’n 4 minuten 100.000 bestanden versleutelen. Een volledig zicht in de timeline, om vroegtijdige detectie te kunnen doen en eventueel response, is dus  van cruciaal belang! Het inzetten van een SOC kan hierbij helpen.

Waar voldoet een ideale SOC aan?

Het doel en voordeel wat je verkrijgt met een SOC, is de gehele monitoring van je organisatie te vergemakkelijken. Je dient daarvoor wel de SOC te voeden met informatie. Deze informatie komt van je servers, endpoints, firewalls, applicaties en misschien ook uit industrie controlesystemen (ICS, SCADA).

Een goed functionerend SOC moet aan een aantal criteria voldoen. Deze criteria omvatten:

  • een beleid voor informatiebeveiliging dat draagvlak heeft in de gehele organisatie;
  • een nauwkeurig overzicht van het applicatielandschap
  • eigenaarschap van informatiesystemen en een recente risicoanalyse;
  • samenwerking met de IT-beheerorganisatie.

Als het gaat om het interpreteren van loggegevens uit verschillende bronnen en hun relatie tot wat er digitaal gebeurt, kan een Security Information & Event Management (SIEM)-systeem uitkomst bieden.

Voor het correct inrichten van een SIEM heb je echte specialisten nodig. De afstemming van een SIEM en de correlatieregels, zal namelijk het verschil maken, tussen enkele hoge prioriteitsalerts of enkele honderdduizenden alerts en bepaalt dus de mogelijke toegevoegde waarde van het SIEM-systeem. SIEM is, zowel in aankoop als in onderhoud, een aanzienlijke kostenpost.

Naast informatie over systemen, hardware, software en het netwerk, maakt een SOC ook gebruik van dreigingsinformatie. Deze informatie betreft kwetsbaarheden en bedreigingen in cybersecurity die afkomstig zijn van andere bronnen. Met deze informatie beoordeelt het SOC gebeurtenissen in systemen en op alle aangesloten apparaten.

Heb je eenmaal alle software gekoppeld en draaiend dan heb een aantal specialisten nodig om de boel draaien te houden. Het SOC-team heeft twee kernverantwoordelijkheden.

Allereerst het onderhouden van de security monitoring tools .
Het team moet alle tools onderhouden en regelmatig bijwerken. Zonder de juiste en meest actuele data kunnen ze systemen en netwerken niet goed beveiligen. Teamleden moeten de tools onderhouden die in elk onderdeel van het beveiligingsproces worden gebruikt.

Het tweede focuspunt ligt op het onderzoeken van verdachte activiteiten. Het SOC-team moet verdachte en kwaadaardige activiteiten binnen de netwerken en systemen onderzoeken. Over het algemeen zal uw SIEM- of analysesoftware waarschuwingen afgeven die het team vervolgens analyseert en onderzoekt, triages uitvoert en de omvang van de bedreiging ontdekt.

SOC-as-a- Service

Een eigen SOC opzetten en draaien kost veel resources. Niet alleen de aankoop en opzetten van een dergelijk systeem is kostbaar, het inzetten van gespecialiseerd personeel om alles draaien te houden is waarschijnlijk nog een grotere kostenpost.

Dus is een eigen SOC vaak geen optie vanwege de beperkingen en de implementatie en onderhoudskosten. Het gebruik van een extern SOC is een betrouwbare en efficiënte oplossing tegen een redelijke kostprijs, terwijl men toch kan profiteren van een hoog niveau van deskundigheid en vaardigheden.

Waarom zou je het dus niet overlaten aan een gespecialiseerd bedrijf, dat proactief op zoek gaat naar mogelijke dreigingen en voortdurend op de hoogte blijven van de laatste ontwikkelingen. Sterker nog, dit kan zelfs 24×7! Dat levert jou de rust en het gemak, je organisatie de veiligheid en je team kan zich bezighouden, met wat nu echt van belang is voor de organisatie.

Heeft een SOC een meerwaarde?

Ja! absoluut.

Ik denk dat er meer aandacht moet worden gegeven aan investeren in detectie-maatregelen, in plaats van in meer preventieve maatregelen. Het heikele punt is dat met het continu bijhouden en monitoren van je omgevingen, het op de hoogte zijn van kwetsbaarheden en weten welke dreigingen er spelen en hoe deze zich kunnen manifesteren, een taak is, die je niet met een paar uurtjes per week kan bijhouden. Veiligheidsmaatregelen zijn hard nodig om veilig te werken en cybercriminelen buiten de deur te houden. Daar hoeven we niemand meer van te overtuigen.

Zonder SOC-diensten kunnen aanvallen van cybercriminelen lange tijd verborgen blijven omdat meeste bedrijven niet over de monitoring en vaardigheden beschikken om bedreigingen tijdig op te sporen en te bestrijden. Een SOC zal bedrijven dus in staat stellen een beter zicht te hebben op hun IT omgeving. Nu aanvallen steeds vaker voorkomen en slimmer worden, moeten organisaties hun beveiligingsinspanningen richten op detectie in plaats van het dicht timmeren van hun netwerk. Een SOC is daar een prima tool voor.

SolidSOC

SolidBE heeft haar SOC-dienst opgezet, in samenwerking met vooraanstaande cybersecurityfabrikanten als Cybereason, Exabeam en Fortinet. SolidSOC ontvangt de meldingen van verschillende monitoringsystemen bij haar klanten, analyseert deze, brengt advies uit en zet deze dan door naar de klanten om op deze incidenten te acteren.

Meer informatie vindt u op solidbe.nl/diensten/security-operations/soc-diensten/

ook interessant