Wie heeft een Security Operations Center (SOC) nodig?
Of een bedrijf nu groot is of een bepaald doel heeft, het is waardevol om een speciaal team op organisatieniveau te hebben dat continu beveiligingsactiviteiten en -incidenten bewaakt en reageert op problemen die zich kunnen voordoen. De verschillende verantwoordelijkheden binnen een cyberbeveiligingsteam kunnen zeer complex zijn, en een SOC kan niet alleen dienen als tactische console om teamleden te ondersteunen bij het uitvoeren van hun dagelijkse taken, maar ook als strategisch centrum om het team op de hoogte te houden van grotere beveiligingstrends op de langere termijn.
Een typisch beveiligingsoperatiecentrum volgt een willekeurig aantal beveiligingswaarschuwingen die een organisatie kan tegenkomen, waaronder potentiële dreigingsmeldingen via technologieën en tools, maar ook via werknemers, partners en externe bronnen. Vanaf dat punt onderzoekt en valideert het SOC vervolgens de gemelde bedreiging om er zeker van te zijn dat het geen vals alarm is (d.w.z. een gemelde bedreiging die in werkelijkheid onschuldig is). Als het beveiligingsincident valide wordt geacht en een reactie vereist, draagt het SOC het over aan de juiste personen of teams voor reactie en herstel.
Er is een geavanceerde combinatie van expertise, processen en organisatie nodig om een Security Operations Center effectief te laten functioneren als onderdeel van een algeheel programma voor incidentdetectie en -respons. Daarom is niet elke organisatie in staat om een SOC intern te ondersteunen of van middelen te voorzien. In plaats daarvan kiezen veel organisaties ervoor hun SOC te laten beheren door een extern bureau of zelfs volledig uit te besteden.
De basis leggen
Er zijn een aantal ondersteunende componenten die aanwezig moeten zijn voordat een SOC een levensvatbare optie is voor een organisatie. De eerste is een goed programma voor het beheer van het aanvalsoppervlak. Dit omvat technologie voor het voorkomen van bedreigingen voor alle bedreigingsingangen en -uitgangen, regelmatig scannen op kwetsbaarheden (met bijbehorende patching), pentests, gebruikersverificatie en -autorisatie, activabeheer, het testen van externe toepassingen (met bijbehorende patching) en beheer van externe toegang.
Volgende is het hebben van een incident response plan. Een van de belangrijkste doelstellingen van de introductie van een SOC in een IDR-programma is het verhogen van de effectiviteit van het opsporen van bedreigingen in de omgeving van de organisatie. Als de incident response processen die volgen op de ontdekking van een inbreuk niet aanwezig zijn en niet regelmatig worden getest, worden slechts enkele onderdelen van een effectief IDR programma aangepakt.
Ten slotte is het belangrijk om een disaster recovery plan te hebben. Een inbreuk is slechts één specifiek voorbeeld van een ramp waarvan organisaties moeten herstellen. Zodra de ontdekte inbreuk volledig is gescreend en de getroffen bedrijfsmiddelen, applicaties en gebruikers zijn ingeperkt, moet er een plan zijn om de normale bedrijfsprocessen te herstellen. Dit is disaster recovery.
Aan de slag
Gezien de inherente complexiteit van een security operation center, zijn er veel zaken te overwegen bij het opzetten ervan. Ongeacht of het in-house wordt opgezet of wordt uitbesteed, de voorbereiding op de volgende drie elementen is essentieel voor het succes van het SOC:
- Mensen: Inzicht in de rollen en verantwoordelijkheden van de SOC-analisten is een belangrijke voorloper van de selectie van de technologie die uw SOC zal runnen. De teams die u samenstelt en de taken die u ze geeft, zijn afhankelijk van de bestaande structuur van uw organisatie. Als u bijvoorbeeld een SOC opzet om de bestaande mogelijkheden voor detectie en reactie op bedreigingen uit te breiden, zult u moeten overwegen voor welke specifieke taken de leden van het SOC-team verantwoordelijk zijn en welke taken onder de niet-SOC IDR-teams vallen. U zult ook de verantwoordelijkheden onder de SOC-analisten willen verdelen, zodat duidelijk is wie zeer betrouwbare waarschuwingen afhandelt, wie minder betrouwbare waarschuwingen valideert, wie waarschuwingen escaleert, wie op zoek gaat naar onbekende bedreigingen, enzovoort. Veel Security Operations Centers werken met een gestaffeld kader voor personeel om te helpen duidelijke verantwoordelijkheden en hiërarchie vast te stellen.
- Technologie: Beslissen welke technologie het SOC gebruikt is waar de tijd besteed aan het vaststellen van de hierboven genoemde rollen en verantwoordelijkheden zich zal uitbetalen. Welke technologie zullen ze gebruiken? Waarschijnlijk zullen ze tools moeten combineren voor log aggregatie, analyse van gebruikersgedrag, endpoint interrogatie, real-time zoeken, en meer. Het is belangrijk om te kijken hoe SOC-analisten uw technologie gebruiken en te bepalen of de bestaande technologie de SOC-processen helpt of hindert, en of er nieuwe technologie voor in de plaats moet komen. Daarnaast is het belangrijk dat er communicatiemiddelen zijn waarmee de analisten kunnen samenwerken.
- Processen: Het vaststellen van de processen die de hierboven beschreven mensen en technologie zullen volgen, is het laatste onderdeel dat u moet overwegen wanneer u met een SOC aan de slag gaat. Wat gebeurt er als een beveiligingsincident moet worden gevalideerd, gerapporteerd, geëscaleerd of doorgegeven aan een ander team? Hoe gaat u metriek verzamelen en analyseren? Deze processen moeten nauwkeurig genoeg zijn om ervoor te zorgen dat onderzoeksaanleidingen worden behandeld in volgorde van belangrijkheid, maar los genoeg om de analyseprocessen niet te dicteren. Processen kunnen de effectiviteit van een SOC maken of breken en zijn de moeite waard om goed te krijgen.