De it-afdeling of de personen die verantwoordelijk zijn voor de it-beveiliging binnen organisaties hebben te maken met een stortvloed aan securityinformatie. Die informatie is afkomstig van de bedrijfsapplicaties, de servers, de eindgebruikersystemen en natuurlijk van de verschillende beveiligingsmiddelen die zijn geïmplementeerd. Dat loopt uiteen van netwerk- tot systeembeveiliging.
Het resultaat is een gigantische berg aan logbestanden en meldingen waartussen mogelijk iets staat dat wijst op een besmetting of aanval. Dat is voor de meeste organisaties niet bij te houden. Dit is de reden waarom aanvallers soms maanden of langer hun gang kunnen gaan, voordat ze worden ontdekt (als ze al worden ontdekt). Daarom is het belangrijk dat die informatie op de een of andere manier toch wordt gemonitord en geanalyseerd. Maar zonder voldoende mankracht en vooral ook de juiste middelen en expertise, is dat vaak onbegonnen werk. Dat is de reden waarom steeds meer bedrijven en organisaties er voor kiezen om dit hele management- en beheeraspect van hun it-beveiliging uit te besteden aan een externe partij.
De afgelopen jaren is er een sterke toename in aanvragen van klanten om deze taken voor ze over te nemen. Mijn onderneming biedt dat soort diensten al jaren, maar dreigde door de sterk toenemende vraag uit zijn jas te groeien. Dit was de directe aanleiding om een compleet nieuw Security Operations Center (SOC) neer te zetten, dat helemaal is ingericht op het 24/7 monitoren van de beveiligingsstatus van bedrijven en dat bij verdachte signalen direct in actie kan komen. Maar een nieuw SOC neerzetten, hoe doe je dat?
Deze vraag hebben leidde tot de conclusie dat een SOC ingericht moet zijn met mensen, processen en techniek die nodig zijn om effectief toezicht te kunnen houden op technische beveiligingsoplossingen van klanten, om incidenten te detecteren en op gepaste wijze te reageren. Het gaat erom dat je inzicht en controle krijgt op wat er zich afspeelt op het netwerk. Dit vraagt om de juiste technische middelen, goed doordachte processen en – in mijn optiek het belangrijkste – de juiste mensen.
Essentiële middelen
Qua techniek moet een SOC beschikken over een aantal essentiële middelen. De belangrijkste daarvan is een goede Siem (security information and event management) oplossing. Dit systeem verzamelt informatie, logs en meldingen uit alle mogelijke bronnen en geeft verbanden aan die – indien nodig – de basis vormen voor een snelle respons. Een Siem moet ‘gevoed’ worden door allerlei sensoren in het netwerk, bijvoorbeeld een intrusion detection system (ids) dat waarneemt of er verdacht dataverkeer over het netwerk gaat. Maar ook minder intelligente devices zoals routers leveren informatie aan Siem, evenals endpoints, applicaties, et cetera.
Een goede Siem-oplossing kenmerkt zich door:
-
Snelheid: inzicht op het moment dat je dat nodig hebt, voor realtime inzicht en snelle respons.
-
Volledigheid: alle informatie van alle netwerksystemen moeten door de Siem-oplossing bijeengebracht en geanalyseerd kunnen worden.
-
Technologie-onafhankelijk: organisaties gebruiken vaak beveiligingssystemen van verschillende leveranciers. Om echt effectief te kunnen zijn moet een Siem-systeem logbestanden van willekeurige apparatuur van derden aan kunnen.
-
Koppeling met feeds over dreigingen en kwetsbaarheden: er wordt wereldwijd veel informatie over nieuwe dreigingen en kwetsbaarheden verzameld en via de cloud gedeeld. Het is belangrijk dat een Siem-oplossingen dergelijke feeds kan gebruiken.
Mensen maken het verschil
Maar hoe goed de technische oplossingen ook zijn, het zijn uiteindelijk de mensen die daar iets mee doen, die het verschil maken bij een SOC. Een belangrijke voorwaarde om een SOC succesvol te maken is dat de specialisten die het bemannen plezier en interesse hebben in dit werk. Je moet informatiebeveiliging het meest uitdagende en leuke onderwerp vinden dat er is. Als er vrijdag aan het eind van de middag iets verdachts wordt waargenomen op het netwerk van een klant, moeten de mensen de uitdaging voelen om daar achteraan te gaan, ook als het laat wordt. Want dat is wat er wordt verwacht.
Interesse alleen is echter niet voldoende. Relevante kennis en expertise zijn natuurlijk een absolute voorwaarde. Kennis over malware- en aanvalstechnieken, over programmeren, besturingssystemen en netwerkinfrastructuren, ervaring met PENtesting, het zijn allemaal skills die mensen in een SOC dagelijks nodig hebben. En net op dat gebied blijkt dat er nog veel ruimte voor verbetering is bij de ict-opleidingen in Nederland. De kennis die scholieren en studenten daar opdoen, is vaak niet van het type of niveau dat eigenlijk nodig is om direct door te kunnen stromen op de arbeidsmarkt. In de praktijk betekent dit dat we onze specialisten voor een groot deel zelf intern moeten opleiden. Om hierin verbetering te brengen, zijn wij bijvoorbeeld in de Metropoolregio Amsterdam lid van een consortium van bedrijven dat het niveau van cybersecurity opleidingen op mbo en hbo niveau wil verbeteren.
Als je de middelen en de mensen hebt, kun je overwegen een SOC op te zetten. Ik ben ervan overtuigd dat het interessante tijden worden.
Vergeet niet bij de aanschaf van het SIEM duidelijk te krijgen hoe lang de verschillende typen informatie opgeslagen mogen worden en of er de vraag is om langere tijd terug te kunnen kijken in verband met enterprise forensics.
Soms kom je er pas na dagen/weken/maanden achter wat er aan de hand is, dan wil je tot op zekere hoogte terug kunnen zoeken welke systemen bijvoorbeeld allemaal contact hebben gehad met een specifieke website o.i.d.
Zorg voor variatie in je team, je wil de procedures en checklists gebruiken om er voor te zorgen dat de standaard zaken goed gedaan worden. Zorg dat de analysten zelf de ruimte hebben om creatief onderzoek te kunnen doen, use-cases op te stellen en deze te toetsen.
Bedenk goed wat je wilt met een 24/7 SOC, zorg dat de procedures kloppen en dat bij het geval van een ernstig incident er meer mensen ’s nachts gebeld kunnen worden OOK die uit de business!
Er zijn nog meer tips en tricks natuurlijk bij het inrichten van een SOC, de basis blijft hetzelfde, maar de diepte en breedte zijn afhankelijk van de context van de organisatie.