Een security operations center wordt een essentieel onderdeel van de bedrijfsbeveiliging. Wat gebeurt er precies in zo’n SOC, en moet je er zelf één opstarten?
Technologische oplossingen zijn slechts één onderdeel van een goede cyberbeveiliging. De juiste tools zoals een XDR-oplossing en een handig SIEM-systeem houden je endpoints en netwerktrafiek in het oog en genereren logs en waarschuwingen. Vaak voeren ze zelfs een triage uit, waarbij belangrijke events komen bovendrijven.
Niet alle datapunten zijn meteen een indicatie van een succesvolle cyberaanval, maar in die gegevens schuilen patronen die zelfs de meest geniepige hackers ontmaskeren. Handig, wanneer iemand tenminste die logs en waarschuwingen in het oog houdt.
Centraal beheer
Een security operations center of SOC is een centrale plek waar beveiligingsexperts een IT-omgeving actief in de gaten houden. In een SOC monitoren specialisten alles wat er gebeurt en weten ze wanneer actie nodig is. Zo worden eventuele gevaren aangepast bij de eerste indicaties van een probleem.
lees ook
Laat je eens hacken: het wat en waarom van pentests
Dat is niet eenvoudig. Alerts op basis van gebeurtenissen in de IT-omgeving rollen relatief frequent binnen, maar zijn lang niet allemaal even ernstig. Soms gaat het om fout-positieven, maar soms is een alert een indicatie van een groter probleem. Experts in een SOC kennen het onderscheid en weten wanneer ze snel in actie moeten schieten en wanneer niet. “Daarom is het belangrijk dat de experts de omgeving die ze in het oog houden goed kennen en begrijpen”, zegt Robin Bruynseels, Cybersecurity Engineer bij Easi.
Constante analyse van events
“In een SOC kijken we of trafiek legitiem is of niet”, verduidelijkt Bruynseels “Zo zien we of er slechte zaken gebeuren of kwetsbaarheden zijn.” Een SOC is volgens hem steeds meer een essentieel onderdeel van de bedrijfsbeveiliging: “Cybersecurity-incidenten gaan in een rechte lijn omhoog. Om hackers voor te zijn of om snel te reageren, heb je een SOC nodig.”
Om hackers voor te zijn of om snel te reageren, heb je een SOC nodig.
Robin Bruynseels, Cybersecurity Engineer Easi
Het alternatief is een IT-team dat al dan niet op regelmatige basis eens in de logbestanden duikt op zoek naar onregelmatigheden. Dat is niet ideaal, en niet alleen omwille van het grote volume aan meldingen dat zich kan opstapelen. Bruynseels: “Wanneer je af en toe spontaan events en logs nakijkt, mis je misschien iets dat weken geleden is gebeurd. Een SOC is 24/7 actief en monitort continu. SOC-analisten kunnen een seconde nadat iets binnenkomt al reageren.”
Geen SOC zonder de juiste tools
Een SOC vereist een compatibele omgeving. Analisten kunnen data, waarschuwingen en events maar monitoren wanneer die op een betrouwbare en begrijpbare manier binnenrollen. Daar komt een technische component kijken: je hebt de juiste tools nodig om je omgeving met een SOC te verbinden.
“Het is cruciaal om een goede basis te hebben”, zegt Bruynseels. Het is telkens een bescheiden uitdaging om alles te installeren, maar grote hordes zijn er doorgaans niet. “De modernste tools voor monitoring via een SOC werken in zowat elke omgeving.” Er kan wel wat puzzelwerk aan te pas komen, zeker wanneer een bedrijf tools van verschillende fabrikanten gebruikt. Alle tools moeten netjes samenwerken en geïntegreerd zijn. Het is niet de bedoeling dat medewerkers van een SOC tien verschillende dashboards moeten afschuimen om de meest actuele situatie te zien.
Wat je precies nodig hebt, hangt van de schaal af. “Een kleine SOC heeft niet dezelfde tools nodig als een groot team”, weet Bruynseels. “We willen overkill vermijden.” Wel kan ieder type onderneming ongeacht het formaat profiteren van een SOC. Wat in ieder scenario onontbeerlijk is, is personeel. Het hele opzet van een SOC is continue monitoring, wat wil zeggen dat iemand ook om drie uur in de nacht in staat moet zijn om op een kritieke melding te reageren.
SOCaaS
Realistisch gezien heeft niet iedere onderneming de middelen om een permanent bemande SOC op te zetten. “Je kan alles zeker intern doen, maar dan moet je er wel mensen opzetten”, benadrukt Bruynseels. “Anders kan je best outsourcen.” Dat laatste is vandaag een steeds populairdere optie.
lees ook
5 beveiligingstips voor je bedrijf van ethische hackers
SOC-as-a-Service heet zoiets dan. Voor zo’n dienst koppelt een bedrijf zijn omgeving aan een SOC die door een externe partij zoals een beveiligingsspecialist of partner wordt bemand. In die SOC houden specialisten niet enkel jouw omgeving in het oog, maar ook die van andere klanten. Dat brengt een schaalvoordeel met zich mee. Zo’n SOC trekt eenvoudiger de juiste specialisten aan, die bovendien op basis van één probleem bij één bedrijf actie kunnen nemen voor alle klanten.
Of je het nu zelf doet of niet, is niet zo belangrijk. Het wordt stilaan wel cruciaal om een SOC te hebben. Dat betekent immers dat je beveiligingstools niet alleen je omgeving in het oog houden, maar dat er ook één of meerdere experts klaarstaan om correct te reageren op eventuele waarschuwingen.