SOC: nodig of niet?

Veel bedrijven vragen zich af of zij een Security Operation Center (SOC) nodig hebben. In deze blog zet SOC-consultant Rob Musquetier zijn visie over de ontwikkelingen van de internationale dreigingen in het IT-securitylandschap uiteen. Hij brengt ook in kaart wat de gevolgen zijn van het hebben van een SOC.

In een wereld met een almaar toenemende dreiging van misbruik, ontvreemding, ontoegankelijk maken of vernietiging van digitale bedrijfsinformatie moet de beveiliging van deze informatie constant tegen het licht worden gehouden. Criminele organisaties en vijandige geheime diensten zijn steeds professioneler, geraffineerder en beschikken bovendien over aanzienlijke middelen. Hierdoor zijn zij steeds beter in staat hun doelstellingen ten koste van overheden, bedrijven en overige instellingen te realiseren.

Dreigingsbeeld

Hackers slaan hun slag

Waar beheerders rekening moeten houden met honderdduizenden kwetsbaarheden in ICT-systemen, heeft een hacker vaak aan één tekortkoming in de ICT-beveiliging genoeg om zijn slag te slaan. Eenmaal binnen, kan een hacker vaak eenvoudig en volledig buiten het zicht van bestaande beveiligingsmiddelen zijn werk doen.  Sommige hacks duren maanden of jaren en worden meestal pas na maanden of soms zelfs na jaren opgemerkt, als zij überhaupt worden opgemerkt. Hackers houden zich niet aan maatschappelijke regels, vastgestelde kantooruren of CAO-afspraken én hebben vaak ruime middelen en zeeën van tijd. Beheermaatregelen gebaseerd op regels, toegangstijden of beperkingen als geld of tijd werken daarom niet.

Een en ander dwingt organisaties hun ICT-beveiligingsbeleid drastisch te herzien.

Gevoelige informatie ligt op straat

Het ontsluiten van gevoelige (bedrijfs)informatie via het internet, zeker in combinatie met de toenemende complexiteit van achterliggende infrastructuren, is daarom vandaag de dag heel riskant. Het uitsluitend beveiligen van de buitenste ring van het netwerk, vergelijkbaar met een muur en slotgracht rondom een middeleeuws kasteel, is in deze tijd niet langer afdoende. Hackers zijn vaak al lang “binnen” of worden anders wel door de medewerkers van de organisatie – vaak onbewust – geholpen om alsnog binnen te komen.

Wat doet een SOC?

Naast preventieve en correctieve maatregelen moeten organisaties  ook nadenken over detectieve maatregelen. Denk hierbij aan Intrusion Detectie & Prevention Systemen (IDS/IPS) en Security Information en Event Management (SIEM)-oplossingen. Deze systemen stellen organisaties in staat om vroegtijdig misbruik van ICT-middelen op te sporen. De analyse en afhandeling van de meldingen uit deze systemen worden doorgaans ondergebracht in een Security Operation Center (SOC). Een SOC wordt soms ook wel Cyber Defense Center of Cyber Resillience Center genoemd.

SOC-medewerkers verzamelen ICT-beveiligingsinformatie uit alle ICT-middelen, variërend van basale netwerkinformatie tot hoogwaardige bedrijfsapplicaties. Zij filteren en analyseren de miljoenen meldingen die er per dag binnenkomen. Deze meldingen reduceren de SOC-medewerkers tot de daadwerkelijk relevante beveiligingsmeldingen. Gepaste actie wordt ondernomen om misbruik van de bedrijfsmiddelen en informatie te voorkomen en zo potentiële bedrijfsschade te minimaliseren.

Waar een SOC nog niet zo heel lang geleden binnen enkele dagen een potentiële dreiging detecteerde en hierop reageerde, tegenwoordig moet men binnen hooguit enkele minuten reageren. Ransomware kan in een tijdsbestek van een kwartier de hele organisatie saboteren, waarna het herstellen van de schade enorm veel tijd en arbeid kost en soms zelfs onmogelijk is. Zelfs het betalen van ”losgeld” is geen garantie voor een (volledig) herstel. Laat staan de reputatieschade die een getroffen organisatie hierdoor kan oplopen.

Inrichten van SOC vergt expertise

Organisaties doen er dus goed aan na te denken over de rol van het SOC. Dient het 24/7 bemand te zijn? Wat moeten het opleidingsniveau en de vaardigheden zijn van de medewerkers, waar vind je deze en hoe bind je hen aan je organisatie? Welke faciliteiten hebben de SOC-medewerkers nodig om hun taken goed uit te kunnen voeren? Welke van de miljoenen meldingen die per dag langskomen zijn relevant en hoe moet het SOC reageren als een dreiging zich voordoet? Welk mandaat zou het SOC moeten hebben en hoe werkt dit dan buiten de reguliere kantoortijden?

Kortom, een SOC inrichten is niet eenvoudig. Wij merken dat het SOC vaak als kostenpost wordt gezien, een soort verzekeringspolis tegen hackers of tickbox-item op een auditlijst. Een SOC verwacht dat een IT-afdeling van een bedrijf professioneel is. Belangrijke voorwaarden zijn dat ITIL-processen als incident-, probleem-, wijzigings- en configuratiemanagement goed zijn ingericht. Anders kan een SOC niet effectief functioneren. Daarnaast moet een SOC een sterk mandaat hebben, evenals een directe rapporteringslijn naar de directie.

Onderschat het inrichten van een SOC niet. Schroom dan ook niet om hulp te vragen van een partij die vaker met dit bijltje gehakt heeft. Dat helpt om kostbare inrichtingsfouten te voorkomen. Wij van Navaio zijn uiteraard graag bereid u hierbij van dienst te zijn.

2018-11-21T09:02:08+00:00
This website uses cookies and third party services, please read our privacy statement Ok