Veiligheidsmaatregelen zijn nodig. Daar hoeven we niemand meer van te overtuigen. Maar de vraag is of een Security Operations Center (SOC) meerwaarde biedt bovenop de veelal vergaande maatregelen die IT-management neemt om cybercriminelen buiten de deur te houden.
In eerste instantie hangt het sterk af van de branche waarin je opereert. Het maakt nogal wat uit of een organisatie actief aan de gang gaat met persoonsgegevens bijvoorbeeld. Ook het naleven van wet- en regelgeving kan een belangrijke rol spelen bij de keuze voor de bouw van een SOC. Daar schuilt tegelijkertijd ook een gevaar. Een SOC bouwen omdat het moet, is gedoemd te mislukken. Het begint bij een intrinsieke motivatie waarbij een bedrijf het belangrijk vindt om te investeren in het zogenaamde ‘digitale vertrouwen’ van de klant. En last but not least, speelt schaalgrootte in combinatie met potentiële risico’s natuurlijk een belangrijke rol.
Een SOC bouwen of uitbesteden?
Zelf een SOC bouwen is relatief duur, dus de kosten moeten wel opwegen tegen de baten. Een goedkoper alternatief is het uitbesteden van een SOC. Maar ook daar zal een goede kosten-baten analyse aan vooraf moeten gaan. Dan blijft nog steeds de vraag overeind staan wat een SOC concreet meer oplevert bovenop eigen veiligheidsmaatregelen? Het verschil zit hem vooral in het combineren van informatie waardoor je sneller en beter inzicht krijgt in cyberaanvallen die er echt toe doen.
Veilige losse systemen
Een IT-organisatie waar digitale veiligheid integraal onderdeel van het beleid is, heeft op vier niveaus de boel goed op orde.
- Security-by-design principe: IT zorgt ervoor dat aandacht voor veiligheid vanaf het begin wordt meegenomen bij de ontwikkeling van infrastructuur en applicaties.
- Er is een gedegen identiteits- en toegangsbeheer, met bijvoorbeeld een goede implementatie van single sign-on en het gebruik van multi-factor authenticatie methoden.
- Het security testproces is effectief.
- Security monitoring: er kan worden volstaan met de monitoring van beschermingsmaatregelen die ieder bedrijf inmiddels wel in huis heeft. Denk aan anti-virus software, firewall(s) en goede proxy servers.
Dit is vaak niet genoeg om de hacker van vandaag en morgen te slim af te zijn. Het kost bovendien handenvol tijd om alle losse decentrale systemen voortdurend op veiligheid te toetsen zonder een idee of daarmee ook de deur dicht blijft voor cybercriminelen.
Zo werken bijvoorbeeld veel organisaties met zelfgebouwde applicaties die al jaren trouw hun werk doen. En tegelijkertijd van grote waarde zijn voor het reilen en zeilen van het bedrijf. Deze applicaties worden niet snel vervangen. Veiligheidsfunctionarissen moeten er maar op vertrouwen dat de beheerder eens in de zoveel tijd naar de logboeken kijkt. Dat kan ook te laat zijn.
Eigen use-cases vaststellen
Het koppelen van bestaande systemen aan een SOC geeft je de gelegenheid integraal en snel inzicht te krijgen in alle activiteiten die gaande zijn op de systemen. Daarvoor begin je met het vaststellen van de use-cases. In welke scenario’s loop je welk risico’s? Het vaststellen van de scope geeft je houvast om te bepalen wat je als eerste wilt monitoren. Het aantal use-cases is natuurlijk ook afhankelijk van het aantal applicaties en diversiteit aan digitale diensten die een organisatie biedt. Veel systemen zoals Q-radar voorzien al in honderden generieke use-cases. De crux zit hem juist in die hele organisatiespecifieke use-cases waarbij het hopeloos fout kan gaan.
Als je eenmaal de eerste use-cases in kaart hebt, weet je ook welke systemen aan het SOC gekoppeld moeten worden. De informatie die beschikbaar komt uit bestaande systemen is dan ook makkelijker te combineren met andere zowel interne als externe informatiebronnen. Alle systemen zitten tenslotte in een SIEM. Door informatie voortdurend te combineren, zie je bijvoorbeeld dat er sprake is van duizenden speldenprikjes per dag op alle aan het internet verbonden diensten. Die worden allemaal geblokkeerd.
De betere hacker
Regelmatig krijg je te maken met beter uitgevoerde aanvallen. Soms zelfs met een DDOS of APT-aanval. Dan is het prettig dat het SOC dat gelijk inzichtelijk heeft en dat security-analisten snel en goed de weg weten naar de oplossing. Als deze acties op herhaling gaan, kost het bovendien steeds minder tijd om de oplossing te realiseren. Zo wordt er ook nog tijd en geld bespaard met een SOC. Integraal en centraal inzicht dankzij het voortdurend combineren van verschillende informatiebronnen kan alleen met een SOC. Dat is een echte meerwaarde waarmee je klanten het vertrouwen geeft dat het borgen van veiligheid in goede handen is bij jouw organisatie.
Meer weten?
Ben je nieuwsgierig naar de mogelijkheden voor een Security Operations Center en andere Security-oplossingen voor jouw organisatie? Neem dan via onderstaande gegevens contact met ons op.