Europese expertise, Franse stijl in een Managed SOC met internationale allure

Telewerk en petanque

Om een IT-omgeving echt veilig te houden, is een security operations center (SOC) essentieel. De meeste bedrijven hebben echter niet de middelen of expertise om zelf zo’n SOC op te zetten. Uitbesteding evolueert richting de norm, maar hoe zit dat er dan precies uit?

Stephane Jacquis geniet van een korte pauze voor de statige gevel van het Advens-kantoor in het centrum van Rijsel. De baas van het Security-as-a-Service-departement van de Franse beveiligingsspecialist loodst ons bij aankomst meteen binnen doorheen de grote zwarte deuren langs een moderne inkomlobby die niet zou misstaan in het betere advocatenkantoor. We duiken een gerenoveerde kooilift in richting de middelste van de drie verdiepingen die Advens hier inneemt.

“Advens heeft een internationale voetafdruk”, schetst Jacquis terwijl we op zoek gaan naar een lege vergaderzaal. “We beschermen bedrijven in alle landen waarin ze actief zijn. Voor 450.000 endpoints voorzien we de EDR-oplossing en dertig procent daarvan bevindt zich buiten Frankrijk, in 95 verschillende landen.”

SOC-as-a-Service

Advens is een van oorsprong Franse cyberspecialist met grote ambities. Het bedrijf integreert security-oplossingen van allerhande verkopers maar probeert waar mogelijk een Europese insteek te behouden. De interessantste dienst in het aanbod van Advens is wel helemaal van eigen hand: Jacquis en zijn team beheren een Security Operations Center dat deel uitmaakt van een managed SOC-oplossing. Klanten kunnen er met andere woorden de monitoring en detectie binnen hun IT-omgeving uitbesteden.

Op de middelste verdieping zijn alle vergaderzalen bezet. Er heerst een gezellige drukte in anticipatie voor de lunch. De commerciële teams zijn druk in de weer tussen hun gepersonaliseerde werkplekken, overal slingeren dozen met beveiligingstoestellen rond. Op een tafel achteraan zien we een fles champagne.

lees ook

Wat is een SOC en waarom heb je het nodig?

Jacquis leidt ons een etage naar omlaag voor een snelle koffie. Daar ontmoeten we CMO Benjamin Leroux. “Ik was niet altijd een marketingspecialist”, lacht hij. “Lang geleden was ik een CISO. Vandaag vertegenwoordig ik nog steeds de Franse sectororganisatie voor beveiliging.” Leroux heeft een zaaltje voor ons geregeld.

Dat we vandaag bij Advens over de vloer komen, is niet toevallig. SOC-as-a-Service is hip, met steeds meer gevestigde beveiligingsspecialisten die een eigen aanbod lanceren. Denk maar aan Palo Alto of Check Point, dat pas nog Horizon lanceerde. Detectie is vandaag een essentieel onderdeel van IT-beveiliging, maar slechts weinig organisaties hebben de middelen om zelf permanent een oogje in het zeil te houden. Uitbesteden is dan een logische conclusie en een lokale Europese partner kan extra vertrouwen inboezemen.

Europa (soms) eerst

“Veel klanten vertrouwen bij voorkeur op Europese technologie”, verduidelijkt Jacquis. “Wanneer een organisatie de keuze heeft tussen een lokale oplossing en een Amerikaans alternatief, kiest ze doorgaans Europees. In de meeste gevallen is efficiëntie echter de belangrijkste parameter en moeten we pragmatisch zijn.”

Leroux valt hem bij. “In Europa hebben we vandaag niet dezelfde spelers. Veel beveiligingsbedrijven zien het levenslicht in Tel Aviv en verhuizen hun hoofdkwartier dan naar de VS. We willen zoveel mogelijk Europese oplossingen integreren, maar niet alle bouwstenen zijn vandaag hier te vinden. De beste optie is dan om internationale producten via een lokale partner te integreren.”

Advens hoopt zich te onderscheiden met zijn Franse teams en expertise. Die experts spelen in aanloop naar de middagpauze Fifa in de eetruimte naast onze vergaderzaal. “Dat doen ze niet alleen tijdens hun pauzes”, grapt Jacquis. Op de gamers na is deze verdieping een stuk leger dan de vorige. Logisch, aangezien hier meer technische profielen zitten die net zo goed van thuis uit kunnen werken. Hybride werk is helemaal in bij Advens, zoals straks bij het security operations center zelf nog duidelijker zal blijken.

“De Europese aanpak was tot recent geen topprioriteit”, gaat Jacquis verder. “De geopolitieke situatie brengt daar stilaan verandering in. Zo zien we steeds meer nieuwe Europese beveiligingsbedrijven knappe oplossingen ontwikkelen. Zij groeien extreem snel.”

Dvd’s met logbestanden

De kern van het Frans-Europese aanbod van Advens is de SOC-dienst. Die is bij ons beschikbaar via reseller Cyber Security Management. Zeker in het zuiden van het land boekt Advens vandaag successen. Zo kunnen Leroux en Jacquis de RTBF tot hun klanten rekenen. Advens heeft vandaag zo’n 200 SOC-klanten, waarvan ongeveer de helft in de gezondheidszorg.

Klanten stuurden meer dan tien jaar geleden al logs op, op dvd’s.

Benjamin Leroux, CMO Advens

SOC zit in het DNA van het bedrijf, benadrukt Leroux. “Meer dan tien jaar geleden ontvingen we al logs om na te kijken. Dat gebeurde toen niet in realtime: klanten stuurden ze op op dvd’s. Voor een succesvolle SOCaaS-dienst moet niet alleen de klant de juiste mindset hebben, de technologie moet ook klaar staan.”

Onmisbare algoritmes

We verlaten de vergaderruimte en klimmen opnieuw twee verdiepen naar boven. Daar bevindt zich de eigenlijke SOC. Spectaculair ziet het zenuwcentrum voor de beveiliging van honderden organisaties er niet uit. We zien vooral heel veel computers en schermen, georiënteerd richting een meer waaraan zes grote displays met grafieken hangen.

Veel van het werk van de SOC gebeurt op de achtergrond door software. “We ontwikkelden zelf drie verschillende machine learning-algoritmes”, zegt Jacquis. “Die ontdekken aan de hand van telemetrie en logdata of er events zijn die meer aandacht nodig hebben. Zo scannen we op variaties op gekend standaardgedrag binnen een organisatie en zien we automatisch wanneer een server met een pas geregistreerde domeinnaam probeert te verbinden, wat doorgaans aangeeft dat er iets niet pluis is.”

Advens bouwde de algoritmes zelf op basis van data die het bedrijf doorheen de jaren vergaarde. “Onze CTO dacht gelukkig van het begin af aan aan automatisatie”, weet Jacquis. “Alle gegevens die we verzamelen worden al jaren genormaliseerd. Zo kunnen we aan de slag met een data lake gevuld met logbestanden afkomstig van oplossingen van verschillende fabrikanten.” Dat is essentieel, aangezien Advens vendor-agnostisch is en klanten uitrust met de beveiligingsoplossing die voor hen het meest geschikt is.

Leeg commandocentrum

De getrainde algoritmes duiden potentiële problemen aan voor de analisten van Advens. Die zijn echter nergens te bespeuren. De hele SOC-verdieping in Rijsel is uitgestorven, al zien we wel sporen van leven. Ook hier zijn bureaus gepersonaliseerd met parafernalia. De dubbele schermen voor iedere werkplek tonen aan dat het hier serieus aan toe kan gaan. De SOC werkt echter volledig digitaal en het gros van de medewerkers werkt vandaag van thuis uit. Logisch: Advens is goed bereikbaar met het openbaar vervoer en ligt op enkele minuten wandelen van het station van Rijsel, maar vandaag staakt de SNCB. Voor ons plezier staan de grote schermen aan de muur wel aan.

lees ook

Palo Alto Networks lanceert next-gen SOC-platform

“Ze tonen waar analisten mee bezig zijn en hoeveel problemen er nog in de wachtrij staan”, zegt Eric Arnoult. Hij is verantwoordelijk voor het Cyber Center van de SOC. “Ook vandaag zijn hier trouwens mensen op kantoor aanwezig”, weet hij, “maar de lunchpauze is begonnen.” Arnoult benadrukt dat de SOC wel degelijk permanent bemand is, zelfs wanneer we niemand zien.

Taakverdeling

In de zaal zitten normaal gezien drie niveaus van analisten. Die hebben allemaal hetzelfde opleidingsniveau, maar verschillende jaren beroepservaring. Level 1-analisten moeten problemen in de eerste lijn beoordelen door ze te klasseren of ze door te verwijzen wanneer er meer aan de hand lijkt te zijn. Zij zijn zo de eerste filter voor onvermijdelijke valse positieven. Level 2 en Level 3-analisten kunnen waarschuwingen in meer detail bekijken en eventueel alarm slaan.

We zijn snel uitgekeken in de SOC. Wat er achter de schermen gebeurt is knap, maar visueel is het natuurlijk niet zo spectaculair. “Toch willen ook veel klanten de SOC zien”, zegt Jacquis. De bureaus, de schermen en de mensen die erachter zitten zijn immers de meest fysieke representatie van het werk van het security operations center. De twee veilige datacenters rond Rijsel waar de telemetriedata door Advens vergaard worden zijn misschien nog belangrijker, maar zijn minder relevant voor een bezoek.

Groen SWAT-team

Wat nu als de analisten toch een probleem ontdekken bij een klant? “Dan schiet ons Green Team in actie”, glundert Jacquis. “Dat Green Team is een specialiteit van ons. Het bevat specialisten in alle beveiligingstechnologieën die we hebben geïnstalleerd bij een klant. Die kunnen razendsnel actie nemen door een IP ,een server of een endpoint te blokkeren. Prutsen met de firewall is altijd risicovol, want we willen natuurlijk niet de hele omgeving van een klant impacteren. Het Green Team heeft de expertise om met vertrouwen direct die eerste acties te ondernemen.”

Het Green Team heeft de expertise om met vertrouwen direct die eerste acties te ondernemen.

Stephane Jacquis, hoofd SECaaS Advens

We zien het Green Team als een soort digitale combinatie van brandweer en SWAT, altijd klaar in uitrusting om van een paal te glijden en met loeiende sirenes richting de breach te scheuren. Van dergelijke palen is er op het kantoor van Advens helaas geen spoor.

Petanque

Op weg naar de uitgang deelt Jacquis nog de groei-ambities van Advens. De aanwezigheid in thuismarkt Frankrijk en in België zit snor, Spanje en Italië zijn groeimarkten. De internationale groei zorgt wel voor onvoorziene obstakels. Zo liep Advens pas nog een grote Vlaamse klant mis omdat die vreesde voor een taalbarrière.

“Een terechte vrees”, beseft de SECaaS-baas. “Wanneer er echt een beveiligingsprobleem is en de experts van de klant moeten met onze SOC communiceren, dan volstaat 95 procent perfect Engels niet. De kleinste miscommunicatie kan nefast zijn. Daar moeten we nog aan werken.”

Voor we de SOC buitenstappen, valt ons een tweede fles champagne op. We vragen ons af hoeveel Advens wel te vieren heeft. “De fles is een prijs voor ons jaarlijkse petanquetoernooi”, licht Jacquis toe voor hij zelf richting middagmaal vertrekt. Advens mag dan een Europese speler zijn, met een hoofdkwartier onder de schaduw van een Vlaams-gotische kerk vlak bij de Belgische grens, door de aderen van het bedrijf vloeit op en top Frans bloed.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.