SpotIT antwoordt op vijf prangende vragen over SOC

SpotIT antwoordt op vijf prangende vragen over SOC

Een voetbalstadion. 22 mensen. Niet op het veld maar aan een tafel. Om samen in debat te gaan over SOC, voluit Security Operations Center. Dat was het opzet van onze round table – in samenwerking met Cisco- ‘Everything you always wanted to know about SOC”.

Met spelers uit manufacturing, datacenter providers, de bouwsector, chemie, het onderwijs, de dienstensector en de verhuurbranche zat er een gevarieerd panel aan tafel. Zij kregen een aantal vragen voorgeschoteld over een SOC en kregen eveneens de kans om hun visie daarop te delen. Overweeg je zelf een SOC? Dan moet je deze key takeaways zeker doornemen.

1. Waarom zou je voor een SOC kiezen?

Security is een uitdaging. Naast de fysieke beveiliging van het bedrijfspand of van de omgeving, is cybersecurity meer dan ooit aan de orde. Zeker in een proces van digitale transformatie. Iemand van de deelnemers aan de round table duidt het zo: “Vier jaar geleden hadden we omzeggens niets, nu zit ik met een team van vier mensen voor IT-security en overwegen we een SOC.” Waar iedereen het over eens is: security moet op de agenda komen bij de Raad van Bestuur. In eerste instantie door awareness te creëren.

Een veel gehoord argument: een SOC biedt je 24/7 hulp bij security. Zeker omdat IT-teams vaak niet groot genoeg zijn. Bedrijven hebben de resources en capaciteit niet om dit dan zelf te doen en security is geen commodity activity. Het moet een state-of-the-art oplossing zijn die je niet mag verwaarlozen. Het is heel moeilijk om bij te blijven in de complexiteit van security. Dat lukt niet met vier interne mensen. Je moet dus met specialisten samenwerken die de expertise hebben, want zelf de specialisten vinden is niet evident in de 'war for talent'.

“Een cybercrimineel stopt niet op vrijdag om 16u, die ‘werken’ ook in het weekend. Dus moet je een oplossing hebben om op maandagochtend niet voor een verrassing komen te staan.” 

Sommige bedrijven willen de bewegingen op hun netwerk kunnen monitoren. Een SOC kan hen op elk moment vertellen wat er gebeurt.

Het gaat volgens de deelnemers ook om business continuity. Je moet ‘de kroonjuwelen’ van je onderneming beschermen.  Daar hangt uiteraard een prijskaartje aan. Maar als er iets gebeurt, gaat het nog meer kosten. Een SOC is dus deels risicomanagement. Je moet het zien als een soort verzekering, waarbij je ook moet kijken naar de potentiële kost als je down gaat en de productie bijvoorbeeld stil ligt.

2. Wat verwachten bedrijven van een SOC?

Een SOC moet ervoor zorgen dat mogelijke breaches of aanvallen snel gedetecteerd worden.

Maar voor enkele bedrijven gaat een SOC verder dan detectie. Een SOC moet niet alleen incidenten doorgeven, er wordt ook advies verwacht. Threat intelligence en het verzamelen van data is belangrijk, maar een SOC moet om 3u ’s nachts bijvoorbeeld ook actie kunnen ondernemen om het gevaar te containen. Dat is de toegevoegde waarde.

Een duidelijke rapportering (zie ook verder in deze blog) vinden de deelnemers aan het gesprek ook een evidentie. Al is het maar om de investering te kunnen verdedigen en argumenteren bij het management. Voor jezelf is rapportering ook belangrijk. Als je de breachverslagen leest, kan je zelf onderzoeken: weten waar het zat en je afvragen of je dit kon gezien hebben en kon oplossen.

De vraag is wel welke logs (dir, firewalls, netwerk…) je naar een SOC moet sturen? De meesten kiezen ervoor te beginnen met wat voor de onderneming een risico inhoudt, de zogenaamde kroonjuwelen. Anderen geven aan dat je ervan moet uitgaan dat er sowieso iemand op het netwerk zit, dus achter de firewall. Dus is de volgorde 1) netwerklogs, 2) Firewall logs en 3) active directory. Anderen pleiten dan weer om alles door te sturen. “Stel dat je griep hebt (met hoofdpijn, koorts en andere symptomen). De dokter kan ook maar alleen de juiste analyse maken als hij alle symptomen samen ziet.” Bij een opensource SOC doet het er trouwens niet toe hoeveel logs je doorstuurt.

Kortom, een SOC is een service die je op vlak van security moet ontzorgen.

3. SOC: lokaal of internationaal?

Opvallend: de druk om voor een SOC te kiezen, komt steeds vaker van de klant. Eenmaal de keuze voor een SOC dan gemaakt is, moet je de juiste partner vinden. Veel bedrijven rond de tafel kiezen bewust voor een Belgische SOC-partner omwille van de kwaliteitseisen, de rapportering en garanties.

4. NOC en SOC: Fight machines with machines

Technologie is belangrijk, want de hoeveelheid te verwerken data wordt te groot voor een mens. IoT, Machine Learning (ML) en Artificial Intellingence (AI) kunnen daarbij helpen. Fight machines with machines. Je moet machines met elkaar laten ‘praten’ om sneller te detecteren. Machine Learning kan ook helpen om het aantal valse meldingen te verkleinen (maar het moet dan wel alle logs ontvangen om te leren). Toch is er wat terughoudendheid over totale autonomie. Want stel dat de SOC op basis van AI en ML door een valse melding te valideren, een volledige productielijn uitschakelt?

Voor sommige bedrijven is dat een brug te ver. Een fabriek stilleggen door een externe beslissing zou nooit aanvaard worden. Bijgevolg moet er altijd iemand stand-by zijn in de organisatie die de beslissing kan nemen. Nadeel daarbij is dan de permanentie die je moet voorzien. Wat als dit niet haalbaar is binnen het interne team?

Remote service is dan een oplossing. Kleinere IT-teams gaan de controle op het netwerk ook sneller uitbesteden aan een NOC (Network Operating Center). Veel bedrijven kiezen bewust voor NOC in combinatie met SOC. “Een SOC moet detecteren en reageren. Zonder toegang tot het netwerk is er geen actie (containing) mogelijk.”

5. Rapporteren

Rapportering is primordiaal om de goede werking aan het management aan te tonen. Alleen blijkt dit niet evident te zijn. Als er niets voorvalt, is er ook weinig te rapporteren. Dat is goed, maar moeilijk om dan de investering te verantwoorden bij het management. Zie het daarom als een soort verzekering. Je kan de rapportering ook aanwenden om de visie en strategie te bepalen. Rapportering geeft je een beeld waar jouw security vandaag staat. Dan krijg je sneller inzicht in de investering om het securityniveau te bereiken dat je wenst te bereiken.

Als benchmark kan je nu al kijken of de vooropgestelde SLA’s gehaald zijn. Ook een goede tip: als er een malware bekend is in threat rapporten, dan zou je aan het management kunnen aantonen dat concurrenten uit dezelfde sector wel geïnfecteerd zijn en jullie niet.

SpotIT voegt hieraan toe dat ze intern zelf een attack in scène zetten, zonder dat het SOC dat verwacht. Voor het SOC leren ze hieruit wat er eventueel door de mazen van het net glipt. “Vergeet niet dat een hacker zich heel goed voorbereidt: hacken kost geld en tijd. Hij/zij wil op voorhand exact weten welke infrastructuur, welke security aanwezig is. Dus hoe moeilijker je het maakt, hoe lastiger en duurder het wordt voor de hacker om binnen te geraken.”

 

Wil u zelf graag meer weten over een SOC en de toegevoegde waarde voor uw organisatie, contacteer ons dan gerust.

SOC Round the table SOC Round the table

Tijd voor een gesprek?

ICONS

Contacteer ons

Wil u weten hoe uw security en netwerk ervoor staan? Met een diepgaande audit brengen we uw security uitdagingen en volledige netwerk in kaart.