Wanneer ben je een held binnen cybersecurity? Het woordenboek definieert een held als een illustere krijger die een centrale rol speelt in een verhaal. Helaas gaan security operation centers (soc's) hier op zo’n manier mee om dat het eerder schadelijk is voor cybersecurity.
Het is niet ongebruikelijk dat soc-analisten een eigenschap bezitten die we ook wel omschrijven als het ‘heldensyndroom’. Vaak richten soc-medewerkers zich op grote dreigingen wanneer ze een tijdje voortduren. En dan komt het punt dat analisten zijn genoodzaakt om in te grijpen en drastische beveiligingsmaatregelen te nemen.
Dit gebeurt niet opzettelijk. Soc-analisten koesteren geen Rambo-achtige fantasieën. Ze willen, net als iedereen, de klus snel en pijnloos klaren. Maar velen zijn gewend om zo te werken dat ze op het laatste moment naar oplossingen moeten zoeken. Dit is niet de meest effectieve manier om incident-response aan te pakken. Organisaties werken optimaal als ze opkomende dreigingen vroegtijdig aanpakken met een gedegen voorbereiding.
Dit zien we ook bij andere eerstehulpverleners. Neem brandweerlieden. Zij blussen liever helemaal geen branden. In plaats daarvan besteden ze tijd aan brandpreventie. Net zoals dat een arts ons aanspoort om gezond te eten en genoeg te bewegen om later een chirurgisch drama te voorkomen.
Of we het nu hebben over iets eenvoudigs als het dragen van een veiligheidsgordel of zo ingrijpend als klimaatverandering, voorkomen is altijd beter dan genezen. Dit laatste is meestal pijnlijk, en met bijkomende schade. Dus hoe zorgen we ervoor dat soc-operators deze preventieve werkwijze overnemen?
Te generiek
Soc’s geven de prioriteit aan menselijke interactie in alle stadia van incident-response. Veel soc-analisten wantrouwen geautomatiseerde tools zoals antivirussoftware. Ze denken dat deze tools te generiek zijn en daarom niet effectief tegen gerichte aanvallen. Dit komt omdat ze zich concentreren op gebeurtenissen waarbij de security-tools tekort zijn geschoten, in plaats van op gebeurtenissen waar deze wel degelijk het verschil hebben gemaakt.
Verblind door deze bevestiging, gebruiken soc’s dus vaak menselijke operators om te doen wat een computer ook had kunnen bereiken. Ze vermijden een geautomatiseerde aanpak, hoewel het talloze industrieën om hen heen transformeert.
Zwarte doos
De aversie tegen softwaretools betekent niet dat soc-analisten deze tools helemaal niet gebruiken. Maar ze besteden minder aandacht aan de software die ze wél hebben. Hierdoor benutten ze slechts een deel van de mogelijkheden die de software biedt, wat uiteindelijk zorgt voor nog meer zwakke plekken in het beveiligingssysteem.
In de handen van een wantrouwende techneut is een tool voor endpoint-detectie en response (edr) niet meer dan een zwarte doos, die wordt gedegradeerd tot het verzamelen van data. Terwijl edr een geautomatiseerd hulpmiddel is om digitale dreigingen op te sporen en te neutraliseren. Natuurlijk kunnen dergelijke tools veel gegevens genereren. Maar dat is niet het doel, dat is het middel. In plaats van de gegevens te gebruiken om te reageren op acute dreigingen, gebruiken analisten de gegevens met als doel hun toekomstige aanpak te verfijnen. Ze verliezen hierbij de belangrijkste functie van de tool uit het oog.
Die afkeer van automation weerhoudt een soc er vaak ook van een samenhangende toolstrategie te ontwikkelen. Er worden liever tools ingekocht voor het genereren van gegevens. De softwarefunctionaliteit wordt hierdoor op sommige gebieden gedupliceerd, terwijl dit op andere plekken zorgt voor hiaten. Het resultaat is een inefficiënt gebruik van het budget, waarbij er te veel betaald wordt voor statistieken die analisten eerder kunnen verblinden dan helpen.
Omdat analisten niet volledig kunnen profiteren van deze tools, bevinden ze zich in een lastig parket. Ze missen de kleine dingen die gemakkelijk kunnen worden opgelost met relatief eenvoudige actie. Die kleine gebeurtenissen worden uiteindelijk incidenten en als ze dan nog steeds niet worden aangepakt, groeien ze soms uit tot volwaardige noodsituaties. Tegen de tijd dat analisten een noodsituatie opmerken, is het te laat; ze moeten drastische maatregelen nemen die van invloed zijn op de business.
Het cybersecurity-landschap is zo geëvolueerd dat we het ons niet langer kunnen veroorloven een afwachtende houding aan te nemen. Aanvallers worden steeds pro-actiever. Moderne aanvallen zijn misschien nog steeds gedeeltelijk handmatig, maar tegenstanders automatiseren elke dag meer van de aanvalsketen. Dat maakt preventie en vroege response nog belangrijker.
Heldenactie
Een heldenactie op het laatste moment die een grote dreiging voorkomt, is misschien indrukwekkend, maar efficiënt cybersecurity-werk is meer van deze tijd. Het tegenhouden van security-dreigingen zou allesbehalve dramatisch moeten zijn. Cybersecurity moet overwogen, preventief en – als het goed werkt – grotendeels onzichtbaar zijn.
Soc’s kunnen nu actie ondernemen om hun aanpak te veranderen en pro-actiever te worden. Dit begint met het eerder opsporen en indammen van dreigingen, wat betekent dat opkomende dreigingen meer aandacht moeten krijgen. Deze benadering moet kort, efficiënt en preventief zijn. In plaats van een incident te laten voortduren om meer informatie te verzamelen, moeten soc-analisten de dreiging onschadelijk maken door middel van snelle, eenvoudige en vroege inperking.
Soc’s kunnen geautomatiseerde tools gebruiken die zowel opkomende dreigingen detecteren als deze indammen met zo min mogelijk menselijke tussenkomst. Dit vereist een goed geïntegreerd platform met tools die met elkaar communiceren in een gemeenschappelijk format en die elkaars functionaliteit aanvullen. Hoe strategischer het ontwerp en het inkoopbeleid van een soc, des te waardevoller is het platform tijdens het incident-response-proces, vanaf het begin.
Hypothetische dreigingen
Betekent dit dat analisten hun heldenstatus moeten opgeven? Helemaal niet. Door automation in te zetten voor handmatige, repetitieve taken, houden ze tijd over voor andere bezigheden. Analisten kunnen in de rol van detective kruipen en zich richten op hypothetische dreigingen die vaardigheid en inzicht vereisen.
Analisten die geautomatiseerde tools leren omarmen, kunnen de alledaagse taken inruilen voor de meer creatieve. En er is niets zo heroïsch als menselijke creativiteit. Met een meer volwassen aanpak en vertrouwen in de security-tools, kunnen soc’s daadwerkelijke cybersecurity-helden zijn.
Jammer dat een goede boodschap zo slecht verpakt is. Dit lijkt meer op een verhaal van een target gedreven Salesmanager dan van een resultaat gerichte Sales Engineer. Als je soc “helden” gaat voorstellen als mensen die meestal ineffectief achter de feiten aan lopen, dan ben je met social engineering bezig. Je doet alsof je de beste vriend van verantwoordelijke manager bent en stimuleert diens wantrouwen naar medewerkers omdat die kritisch kunnen zijn tegenover de leverancier. Het is een heel oude sales truc, die je in de meeste bedrijfstakken niet (meer) tegenkomt.
Dit artikel had een mooie aanvulling kunnen zijn op “Zo stemt een soc zijn signaal-ruisverhouding af.“
Beste Jaap,
Allereerst, dank voor je reactie op dit artikel. Het is absoluut niet bedoeld als ‘sales truc’ of ‘social engineering’. Het is een constatering van wat we in het veld zien. Nog steeds zijn veel SOC teams ‘allergisch’ voor geautomatiseerde response op threats door middel van de tools waar vaak al veel in is geïnvesteerd (tijd en geld).
We zien dat, ondanks dat de tooling die ze tot hun beschikking hebben (bijvoorbeeld EPP/EDR) met hoge zekerheid kan bepalen dat bepaald gedrag of een bestand malicious is, het team er voor kiest om manueel te reageren (triage, mitigatie, remediation). Dit gaat uiteindelijk ten koste van de time to containment. Immers: Als de organisatie toestaat om tools direct in te laten grijpen, is de tijd tussen detectie en mitigatie zo kort mogelijk. Het is qua response een keuze tussen ‘machine speed’ of ‘human speed’. Wanneer organisaties kiezen voor het laatste, betekend het dat ze daar in de operatie veel meer tijd en geld in zullen moeten steken en lopen ze het risico in veel gevallen te laat te zijn. Denk bijvoorbeeld aan data exfiltratie of ransomware.
Beste Sjoerd,
Jij ziet een artikel in Computable als een middel om een discussie aan te zwengelen en dat is te waarderen. Ik snap heel goed je punt van “met het eerder opsporen en indammen van dreigingen….meer aandacht moeten krijgen”.
Maar als je sales ondersteunt, dan kan je besmet worden met typisch sales woordgebruik. Dan ontstaat te gemakkelijk een negatieve benadering met opmerkingen zoals: “De aversie tegen softwaretools….niet gebruiken”, “In de handen van een wantrouwende techneut….niet meer dan een zwarte doos”, “Die afkeer van automation weerhoudt….te ontwikkelen.”, “Omdat analisten niet volledig kunnen profiteren van deze tools”. “Een heldenactie op het laatste moment….is meer van deze tijd”, “Met een meer volwassen aanpak….kunnen soc’s daadwerkelijke cybersecurity-helden zijn”. Zo kom je niet over dat je naast de eindgebruikers staat.
Je kan ook met de mensen van een soc een band opbouwen en samen kijken waar het eventueel wringt of wat beter kan. Daar heeft sales ook veel aan. Is er een budgetprobleem, is er een opleidingsbudgetprobleem, is de tooling of de configuratie niet gebruiksvriendelijk, wordt de soc gemangeld door tegenstrijdige belangen, enz. Bij soc’s is men dol op tools, zeker omdat er steeds vaker 7×24 uur geleverd moet worden en ransomware aanvallen steeds vaker voorkomen. Als je weet wat er bij een bepaalde soc leeft, dan kan je sales beter adviseren. Het gaat om de vraag achter de vraag. Laat sales zich maar richten op de baas boven het security operation center en eventueel diens baas, waar het vooral over ROI moet gaan.
We pakken de popcorn want het is ook nooit goed, doe je de ‘storytelling’ met teveel beeldspraak dan schrijf je te wollig en als je teveel gericht bent op de oplossing dan ben je een WC-eend. Als oudlid van deze ‘azijnclub’ waardeer ik de reactie omdat een groot aantal opinies geschreven wordt door anderen, zo was ik jaren de ‘ghostwriter’ voor een aantal managers die graag pronkten met de veren van een ander want ‘me too’ van content marketing gaat niet om de kalkoen maar de pauw.
De zwarte doos van logging in een vliegtuig is trouwens veelal oranje omdat dit een onnatuurlijke schutkleur is, behalve natuurlijk in een voetbalstation waar het Nederlandse team speelt. Naast camouflage is er ook nog de schijnbeweging want je kunt algoritmen die zoeken naar de anomalie in het plaatje ook misleiden. Algoritmen die beslissingen gaan nemen levert een maatschappelijke discussie op over discriminerende algoritmen, wie bepaalt wat ‘malicious’ is want je kunt het ook zo programmeren dat gecrimininaliseert wordt wat je niet aanstaat.
Ik stuikel dus een beetje over het ‘eigen rechter’ spelen door (big) tech want deze misbruiken triage, mitigatie en remediation onder het mom van veiligheid. Ik lees in opinie dan ook heel veel beloften maar geen één voorbeeld welke tot de verbeelding spreekt, het lijkt me dus veel geschreeuw en weing wol.
Als je voornamelijk (blind?) vertrouwt op “machine speed” ingrepen wordt het lastig om herstel acties uit te voeren als achteraf blijkt dat er ongewenste “bijvangsten” zijn.
Daarom: als iemand bij een bepaalde tool niet weet wat er precies wordt geautomatiseerd en wat (in dit geval) de bijbehorende besliscriteria zijn voor een “machine speed”-ingreep, dan begint daar het leerproces. Bijvoorbeeld door de “machine speed” acties te beperken tot signaleren/rapporteren; gekoppeld aan een suggestie met toelichting. Die suggestie zou dan de actie zijn die anders met “machine speed” was uitgevoerd. De toelichting levert dan de onderbouwing voor die actie.
Op die manier win je nog steeds substantieel in snelheid doordat de stappen “triage, mitigatie, remediation” grotendeels geautomatiseerd uitgevoerd worden. Terwijl mensen toch zicht/grip houden op het waarom van een bepaalde actie.
Het is niet bedoeld als bedoeld als ‘sales truc’ of ‘social engineering’.
Er wordt gewoon geconstateerd dat soccers kortzichtige, onvolwassen, wantrouwende, drama sukkels zijn die dankzij de door de auteur verkochte slimme tools, weer helden kunnen worden 😉
@Will, er is vrijwel altijd 7×24 uur bescherming gewenst, terwijl er niet altijd 7×24 uur voldoende deskundigheid aanwezig is. Daarom is het belangrijk om de balans te vinden tussen geavanceerd geautomatiseerd “machine speed” black box handelen en deskundig overwogen, maar vertraagd handmatig ingrijpen. Hackers hebben de mogelijkheden om in principe alle (near) online data te vernietigen, te versleutelen en snel veel gevoelige data te kopiëren. Des te groter en belangrijker je bedrijf of instelling is, des te aantrekkelijker ben je voor hackers. Daarom zul je afhankelijk van het belang van je data en diensten, van de architectuur van de infrastructuur, archivering en de mogelijkheden van de soc, moeten bepalen hoe je tools zoals EPP en EDR het beste inzet. Het is een kwestie van kosten en baten van diverse opties uitrekenen, en bepalen welke risico’s nog aanvaardbaar zijn. Er zal sowieso aan de deur gerammeld worden, ook als de soc amper of niet bemand is..