Uiteraard is het belangrijk te investeren in de juiste security systemen op belangrijke demarcatiepunten van de infrastructuur. Echter het hebben van de best verkrijgbare oplossing geeft nog geen hoog security niveau.
De continue monitoring en detectie en de daaropvolgende actie (incident response) zijn van cruciaal belang om een security blooper te voorkomen. Want niets is erger dan het hebben van de juiste middelen, maar door onoplettendheid toch geconfronteerd worden met een security incident. ‘Onoplettendheid? Met het hebben van de juiste security componenten in de infrastructuur ben ik toch veilig?’ Niets is minder waar, het vereist een continue aanpassing van de security policies, maar ook een continue monitoring om te kunnen detecteren waar eventueel geïnfecteerde endpoints zich bevinden. Immers, gerichte en niet eerder geziene aanvallen kunnen mogelijk nog schade aanrichten en de zogenaamde patiënt-zero (het initieel besmette systeem) dient alsnog gefixed te worden.
Een quote van een IDC analyst over Managed Security Services: ‘Companies are increasingly looking into managed services as a way to deal with a problem they can’t deal with anymore in-house in a cost effective way. Many companies are overwhelmed by security attacks and risks and this is where managed service and soc’s are gaining heavily in importance.’
Een managed security service die niet alleen voorziet in monitoring en alarmering, maar die daadwerkelijk ook analytics, forensics en dus incident response biedt, is essentieel bij de strijd tegen cybercriminaliteit.
De expertise (tools en personen) achter de service zijn van evident belang. Persoonlijk contact met specialisten, een service delivery manager, snelheid van handelen (sla), duidelijke rapportage, kennisniveau, heldere processen en gezamenlijk belang bij een goede service zijn enkele ingrediënten van een goede partner voor managed security service.
Managed security service is een onderwerp bij ieder klantgesprek op dit moment, maar omdat het een onvolwassen markt is blijft het bij veel organisaties vooralsnog een verkennend gesprek, een oriëntatie op de markt en van de aanbieders. Echter realiseert je je welke gevaren je organisatie loopt door managed security service vooruit te schuiven. Begin vandaag, pak het gefaseerd aan door te beginnen met security log collectie en groei door naar advanced services.
“Persoonlijk contact met specialisten, een service delivery manager, snelheid van handelen (sla), duidelijke rapportage, kennisniveau, heldere processen en gezamenlijk belang bij een goede service zijn enkele ingrediënten van een goede partner voor managed security service.”
hoe zouden ze dat in de Cloud doen ? Doe je het zelf dan zit je blijkbaar elke week met specialisten en delivery managers over je sla’s te beppen en die duidelijke rapportages te lezen. In Cloud gaat het allemaal vanzelf goed ?
Managed Security front-office bevolkt met managers in Nederland en de back-office met techneuten ergens in de Oekraïne.
En als je dan toch wordt gehackt, mag je dan je leverancier aansprakelijk stellen of is het dan plotseling een zero-day ?
Wat een opvallend verloop in titels:
1. Managed security services kunnen lekker zijn
2. Behoefte aan managed security service groeit
3. Managed security services is noodzaak.
Dat beveiliging vervelend is lijkt me geen nieuws en wanneer je het een ander kunt laten doen is dat inderdaad prettig, als het misgaat kun je die ook mooi de schuld geven. Zie wat dat betreft de DigiNotar case waarbij iedereen de verantwoordelijkheid ontliep want beveiliging is niet een service maar een integraal proces. Op eerste opinie gaf Martijn Doedens (eveneens van SecureLink) dit ook al toe met:
“Security is altijd een proces, managed security services kunnen gezien worden als een product om (een onderdeel van) dit proces in te vullen.”
Op de tweede opinie refereerde ik niet alleen naar deze reactie maar stelde het nog wat scherper, er wordt een menukaart met 4-gangen gepresenteerd maar enkel een toetje geserveerd met managed security service. De reden daarvoor is nogal tweeledig want zoals de quote van IDC min of meer ook al stelt kost beveiling geld, het is dus vooral een investering die in het bredere perspectief van riskmanagement geplaatst moet worden. Ik citeeer namelijk even uit het werk van Gartner:
“An managed security service provider (MSSP) provides outsourced monitoring and management of security devices and systems. Common services include managed firewall, intrusion detection, virtual private network, vulnerability scanning and anti-viral services. MSSPs use high-availability security operation centers to provide 24/7 services designed TO REDUCE the number of operational security personnel an organisation needs to hire, TRAIN AND RETAIN to maintain an ACCEPTABLE security posture.”
Terug naar de constatering die ook door Martijn Doedens is gedaan aangaande het verschil tussen proces en product zal er misschien eerst eens gekeken moeten worden naar de integratie van managed security service binnen het riskmanagement proces, de Security Officer is meestal maar een gedelegeerd verantwoordelijke die doet wat hem of haar opgedragen is.
Vaak dus nog de ogen sluiten voor bedreigingen door conflicterende belangen want meeste service managers houden het patchen van systemen tegen. Hele genoemde circus aan rollen (zonder bevoegdheden) zorgt er dan ook nog weleens voor dat externe rapportage sneller is dan de interne. Er wordt namelijk opmerkelijk vaak pas gereageerd als het in de krant staat, het gebruikelijke toetje (mosterd) na de maaltijd.
Als reactie op Felix; via zogenaamde Cloud Access Security brokers kan een SOC gevoed worden met alle informatie welke uit deze tooling komt, en dus zijn de activiteiten en mogelijke data-exfiltratie van en naar cloud applicaties ook onderdeel van de MSS.
Als reactie op kj; dat is een strategy die ik vaker hoor, met name ook bij grote bedrijven. Bedrijfseconomische wellicht een goede gedachte, maar security operations wise minder gelukkige keuze.
Als reactie op Ewout: De titels worden door computable aangepast, en zijn niet geheel in onze control. Ik ben het eens dat MSS ook intern gedragen moet worden en beleidsmatig en in het riskmanagement proces moet worden geborgd.