Een Security Operations Center (SOC) is al lang niet meer alleen voor de hele grote jongens. Steeds meer uiteenlopende organisaties kiezen ervoor samen te werken met een Security Operations Center. Maar wat is een SOC precies? En wat levert het op?
Wat is een SOC – Security Operations Center?
Wat is een SOC? Een Security Operations Center (SOC) is de cyberversie van een alarmcentrale (PAC). Waar een alarmcentrale in actie komt bij de detectie van een inbreker, komt een SOC dat bij digitale dreiging. Een Security Operations Center is bemand: binnen een SOC monitoren experts de digitale infrastructuur van een organisatie en komen in actie bij een veiligheidsincident.
In dit continu veranderende threatlandschap is de kans dat een organisatie nooit te maken krijgt met een aanval tegenwoordig – helaas – nihil. Maar: dat betekent dus niet dat u gegarandeerd schade ondervindt aan zo’n aanval. Een aanval die op tijd is ontdekt door een SOC, is ook op tijd tegen te gaan.
Hoe werkt een SOC – Security Operations Center?
Een Security Operations Center maakt altijd gebruik van software. In de praktijk komt SIEM-software het vaakst en al het langst voor. Dat is software die gegevens verzamelt vanuit de IT-infrastructuur van een organisatie. De instellingen van deze software bepalen hoeveel informatie u krijgt. Sommige organisaties kiezen ervoor enkel netwerken te monitoren, anderen kiezen voor SIEM-instellingen die de gehele infrastructuur dekt.
SOC-experts verwerken de informatie die uit de SIEM-software komt. Zij interpreteren de gebeurtenissen en bepalen of er sprake is van een incident. Afhankelijk van de afspraken die u met een SOC maakt, krijgt u rapporten over deze meldingen en komt de SOC in actie bij een calamiteit.
Tegenwoordig zien we ook steeds vaker een SOC met EDR. Dit is software die niet de gehele infrastructuur in de gaten houdt, maar gefocust is op de endpoints. Ook is een SOC met zowel een SIEM als EDR een combinatie die we steeds vaker tegenkomen in de praktijk.
Wat doet een SOC – Security Operations Center?
We hebben globaal een beeld gegeven van wat u mag verwachten van een Security Operations Center. We gaan nu dieper in op hoe een Security Operations Center concreet in de praktijk werkt. Wat mag u allemaal verwachten van een SOC?
1. Actieve Monitoring
Security Operations Centers houden netwerken en infrastructuren actief in de gaten. Threats komen zo op tijd aan het licht, waardoor de oplossing vaak sneller is toegepast is dan de schade. Die actieve monitoring bestaat uit een combinatie van tooling en mankracht. SOC-experts zetten SIEM (of EDR) software in om data te verzamelen. Vervolgens analyseren ze zelf de meldingen die de software genereert.
2. Kwalificatie van meldingen
Een goede SOC mist niets. Om dat voor elkaar te krijgen, is het belangrijk dat de software breed data verzamelt. Het gevolg daarvan is dat er soms ook een melding binnen komt die geen dreiging, maar goed te verklaren gedrag van een gebruiker is. SOC-experts nemen al deze meldingen onder de loep.
False positives verdwijnen in de prullenbak en de geldige meldingen krijgen een kwalificatie. Hoe groot is de dreiging? Hoe is het ontstaan? Wat moet er gebeuren voor een oplossing? En hoe snel moet die oplossing komen? Bij elke melding krijgt een klant advies wat hij kan doen om in het vervolg dit soort meldingen te voorkomen.
3. Threat Response
Na de kwalificatie van meldingen, vindt de threat response plaats. De SOC-experts komen in actie om de gekwalificeerde (potentiële) threats te beperken. Bijvoorbeeld door endpoints uit te zetten (of isoleren), bestanden te verwijderen, processen beëindigen, etc. De meest urgente meldingen krijgen uiteraard als eerste aandacht. Daarnaast is het doel om ingrepen altijd zo klein mogelijk te houden, zodat het geen tot weinig impact heeft op de processen binnen uw organisatie.
Detection & Response
- 22 jun, 2022
MDR tot XDR: Detection & Response afkortingen uitgelegd
Lees verder
4. Eventueel herstelwerk
Het doel van een SOC is altijd ingrijpen voordat er schade is. Natuurlijk is dat niet in alle gevallen mogelijk: dan is het beperken van schade vooral prioriteit. Naderhand is er altijd wat herstelwerk nodig om het netwerk weer terug in zijn originele staat te krijgen. Denk bij dit herstelwerk aan het terughalen van verloren data, herconfiguraties, reboots of het installeren van back-ups.
5. Logs beheren & onderzoeken
De data waar we het eerder over hadden, hebben in de praktijk de naam “logs”. Deze logs omvatten alle activiteiten op het netwerk: niet alleen de verdachte activiteiten. Het is belangrijk om alle activiteiten te loggen, want dat vormt de “baseline” van al het verkeer. De software én de SOC-expert leert zo wat normaal gedrag is binnen een organisatie en wat niet. Dat maakt het detecteren – en afhandelen – van threats eenvoudiger.
Daarnaast geven logs ook de mogelijkheid na een incident te achterhalen hoe het incident heeft kunnen gebeuren. Dit helpt bij preventie in de toekomst.
6. Inzicht in doeltreffende securitymaatregelen
We blijven erbij: goede cyber security heeft niets te maken met zoveel mogelijk maatregelen. Waarom met kanonnen op muggen schieten? Een SOC geeft goed inzicht in hoe het eraan toe gaat binnen de infrastructuur van een organisatie. Met die gegevens zijn SOC-experts in staat nog beter advies te geven over de securitymaatregelen die organisaties écht verder helpen.
Verschillen tussen Security Operations Centers
Ondanks dat elk Security Operations Center hetzelfde doel heeft – namelijk threats op tijd detecteren – is niet elke SOC hetzelfde. Bijvoorbeeld: bij de ene SOC betaalt u per log en bij de ander (bijvoorbeeld die van IP4Sure) betaalt u per log producing asset. Zo zijn er nog meer verschillen. Hoe dat precies zit? In dit artikel helpen we u bij het kiezen van een Security Operations Center die het beste bij uw organisatie past.
In gesprek over de IP4Sure SOC-dienst?
Meer lezen over de Security Operations Center van IP4Sure? Of heeft u vragen en zou u meer informatie willen over Security Operation Centers? Bekijk hier de pagina over de IP4Sure SOC, of neem vrijblijvend contact met ons op.
Een SOC die deels geautomatiseerd in actie komt bij incidenten: tegenwoordig bestaat het. EDR software is het geniale brein hierachter. Maar is een SOC met SIEM daardoor wel of niet ondergeschikt geraakt?
SOC met EDR op de markt
Wie de laatste tijd oriënteert voor een SOC is waarschijnlijk ook een aantal Security Operations Centers die werken met EDR tegen gekomen. Een andere soort security software dan de SIEM. Is het einde van het SIEM tijdperk in zicht dankzij de geautomatiseerde EDR software? Of zit het anders?
Security Operations Center
Voor wie nu denkt: “SOC? EDR? SIEM?” eerst even een korte uitleg. Een Security Operations Center is te vergelijken met een alarmcentrale. Het SOC krijgt alleen niet via sensoren en camerabeelden meldingen, maar via software. Van oudsher is SIEM-software dé dataleverancier van een SOC. Geen data betekent tenslotte geen meldingen.
Is er verdachte activiteit gaande? Dan brengt een SOC u op de hoogte. Alle informatie die de software ondertussen heeft verzameld, is in te zetten voor onderzoek naar oorzaak én herstelopties.
Dit artikel legt alle afkortingen binnen de MDR (ja, die afkorting ook) uit.
SIEM en EDR zijn verschillend
Endpoint Detection & Response is niet een SIEM met meer opties. Nee, een SIEM en EDR verschillen inhoudelijk juist ontzettend van elkaar. Het is daarom belangrijk om te weten dat u van een SOC met EDR andere dingen mag verwachten dan een SOC met SIEM. Hoe dat zit? Dat leggen we uit door de SIEM- en EDR-software naast elkaar te leggen.
SIEM
Laten we beginnen bij de klassieker: de SIEM. Deze software houdt uw volledige infrastructuur in de gaten. Het verzamelt logs vanuit uw infrastructuur, die het SOC dan vervolgens weer analyseert en kwalificeert. U kiest zelf waar u meldingen van krijgt. Denk bijvoorbeeld aan (te) veel mislukte inlogpogingen op een apparaat, lateral movement of een honeypot file die is geopend.
Een SIEM is niet in staat zomaar geautomatiseerd in actie te komen. De software “spuugt” enkel informatie uit waar het SOC-team vervolgens zelf een response op moeten geven.
Overigens: omdat de SIEM-software al enige tijd meegaat, is inmiddels niet elke SIEM meer hetzelfde. Hoe dat zit leest u hier.
EDR
De naam zegt het al: Endpoint Detection & Response richt zicht op de beveiliging van Endpoints (apparaten). De meeste EDR-oplossingen zitten heel diep in het systeem en zien daardoor alles. Raakt een apparaat geïnfecteerd? Dan biedt EDR inzicht én komt in actie.
Niet alleen door het apparaat terug te zetten naar een moment waarop het nog niet geïnfecteerd was (rollback). Het onderzoekt automatisch op wat voor endpoints de – bijvoorbeeld – ransomware nog meer draait. Om vervolgens – via een tijdlijn – te achterhalen bij welke machine de besmetting begonnen is. EDR is zelfs in staat een apparaat te isoleren om verspreiding van de besmetting tegen te gaan.
EDR detecteert én handelt dus. In tegenstelling tot een SIEM. Er zit alleen een grote maar aan: EDR beperkt zich tot endpoints. Devices. Het heeft dus géén zicht op de rest van de digitale infrastructuur (clouddiensten, netwerkapparatuur, databases, applicaties, etc.).
De verschillen tussen SIEM en EDR
We maken dingen niet onnodig ingewikkeld. In het kort hieronder dus een zeer bondig tabelletje die de belangrijkste verschillen – en overeenkomst – tussen SIEM en EDR weergeeft. (Smartphonegebruikers kunnen het tabel naar rechts scrollen om de inhoud te zien)
Onderzoek na een threat
Beide softwareopties maken het mogelijk onderzoek te doen naar incidenten. Is er iets gebeurd? Dan kan het SOC-team in de logs terugkijken naar wat zich heeft voorgevallen. Dat stelt technische teams in staat n.a.v. dat inzicht oplossingen aan te brengen die dergelijke incidenten in de toekomst voorkomen.
Uiteraard geldt wederom dat de logs van EDR-software zich beperken tot devices.
SOC: met SIEM of met EDR?
Een SIEM is niet ondergeschikt aan EDR en EDR is ook niet ondergeschikt aan SIEM. Ze hebben beiden hun voor en nadelen, waardoor het per organisatie een afweging is welke software het beste past.
De meeste organisaties zien voordelen in de automatische herstelopties van EDR. Bij ransomware kan de snelle reactiesnelheid van EDR soms net het verschil maken. Maar de afweging is dan wel: zijn de risico’s van de blinde vlekken in de rest van de infrastructuur te accepteren?
In het geval dat dat niet zo is, dan is een SIEM die een stuk meer inzicht geeft meer geschikt. Al beperkt het zich niet tot een “of of” verhaal.
SOC met SIEM én EDR
Sommige cyber security bedrijven – waaronder IP4Sure – bieden zowel SIEM als EDR als optie aan. Doordat de SOC-experts getraind zijn in allebei de softwareopties, is het ook een optie te genieten van de voordelen van zowel SIEM als EDR.
Dat betekent: inzicht in héél de infrastructuur én geautomatiseerde response op endpoint-niveau.
Er zijn dus drie opties:
- Een SOC met SIEM;
- Een SOC met EDR;
- Een SOC met SIEM én EDR;
Meer informatie over Managed Detection & Response?
Vragen naar aanleiding van een van onze blogs? Stuur deze vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.
Google op cyber security monitoring of Detection & Reponse en de afkortingen SOC en MDR dienen zich aan. En SIEM. En EDR. En IDR. En- We kunnen zo nog wel even doorgaan.
Het cyber security jargon is een lekker ingewikkelde wirwar aan afkortingen. Bovenstaande hebben veel met elkaar gemeen, overlappen onderling én zijn verschillend van elkaar. Reden genoeg om het even simpel onder elkaar te zetten en begrijpelijk te maken.
Waarom zoveel afkortingen?
Wie cyber security afkortingen als SOC en MDR probeert te begrijpen, komt er vervolgens nog véél meer tegen. Het gevolg? Verwarring. Logisch: die afkortingen en termen zijn er ook in overvloed. Het snel veranderende threatlandschap zorgt voor meer dreigingen en dus nóg meer oplossingen.
Allemaal met eigen naam – eh – afkorting.
Of het nu gaat om een product of een dienst: cyber security innovators doen hun best met zo goed mogelijke termen te komen. Vaak een variatie op variatie: MFA (Multi Factor Authentication) is een betere versie van 2FA (Two Factor Authentication).
Daarnaast houden wij techneuten van zo specifiek en dekkend mogelijke termen. Marketing heeft er ook nog baat bij: die moedigen vernieuwende termen alleen maar aan. Hoe gaaf als securitybedrijf X bekend staat als “Uitvinder van XYZ”?
Tsja, dan rollen die termen als IDR, EDR en XDR er vanzelf uit.
Wat betekenen MDR, SOC, SIEM, IDR, EDR en XDR?
In dit artikel gaan we niet in op alle afkortingen binnen de cyber security markt. Ze zijn lang niet allemaal even relevant (of aangeslagen). We leggen daarom enkel de meest voorkomende (en dus relevantere) termen binnen de Detection & Response uit:
Wat is MDR (Managed Detection & Response)?
Van collega’s die in phishing trappen tot kwetsbaarheden in software: er kan altijd iets gebeuren waardoor uw organisatie alsnog slachtoffer is van een aanval. Met Managed Detection & Response blijven die aanvallen niet meer onder de radar.
MDR-services detecteren aanvallen en verdachte activiteiten op tijd. Daarvoor zijn doorgaans twee componenten nodig: software die de incidenten detecteert (o.a. SIEM, EDR) en experts die – vaak vanuit een SOC – de data uit de software analyseert en een response geeft.
Het “Managed” gedeelte van MDR is zo belangrijk omdat detectiesoftware – soms veel – false positives geven. Met een MDR service worden die false positives van te voren geautomatiseerd tot een minimum beperkt of handmatig door een SOC zelfs geëlimineerd. De response – een melding of zelfs een tegenactie – is dan dus altijd legitiem.
Organisaties halen het meeste uit een MDR met SOC. Dit omdat écht adequate analyse van incidenten specialistische kennis vergt: security kennis én IT-kennis.
Wat is een SOC (Security Operations Center)?
Security Operations Center: dat is waar SOC als afkorting voor staat. Het is een cyber security meldkamer: de experts binnen een SOC richten zich op het monitoren, het kwalificeren, analyseren en het vervolgens melden van security incidenten.
Het verschilt per SOC, maar over het algemeen zijn er afspraken te maken over de afhandeling van incidenten. Een zo’n afspraak is dat het SOC alleen de detectie, kwalificatie en communicatie van incidenten verzorgt. Een andere afspraak is dat het SOC de incidenten ook verhelpt.
Een Security Operations Center zorgt dus altijd voor detectie en kwalificatie en melding, maar niet per definitie voor actie. Dat hangt af van de afspraken die er met het SOC-team zijn gemaakt.
Een SOC gebruikt van oudsher SIEM-software, maar tegenwoordig is EDR ook de SOC-wereld in geslopen.
Wat is SIEM/IDR?
SIEM staat voor Security Information & Event Management. Het concept van SIEM-software stamt uit begin 2000. Nu komt de term IDR (Incident Detection & Response) soms ook voorbij als het om SIEM-software gaat.
Van de cloud tot aan software: moderne SIEMs hebben alles in het vizier. Een SIEM verzamelt namelijk gegevens (logs) over de volledige IT-omgeving. Wordt er ergens ingelogd? De SIEM weet het. Faalt een inlogpoging? De SIEM weet het.
SOCs gebruiken SIEM-software om incidenten te herkennen. De SOC-experts vertellen de SIEM als het ware wat “normaal” baseline gedrag is binnen de omgeving. Vervolgens ontvangen ze alerts bij alles wat afwijkt van die baseline. Al dat afwijkende kan een aanval zijn. Het SOC analyseert die alerts.
Let op: een SIEM detecteert alleen. Het is dus geen Detection & Response, maar een belangrijk onderdeel ervan. Er is in principe altijd een SOC nodig voor de response.
Wat is EDR/EPP?
Vroeger kenden we alleen EPP (Endpoint Protection Platform: firewall in combinatie met o.a. de klassieke antivirus voor op apparaten), maar nu is er ook EDR. EDR staat voor – u raadt het al – Endpoint Detection & Response. Het verschil tussen EPP en EDR?
EPP richt zich enkel op het opzetten van een schild (preventie). Zo’n schild houdt alleen nooit alles tegen. Dan is EDR handig: want die software richt zich juist op het detecteren én verhelpen van binnengekomen dreigingen op een apparaat. Bijvoorbeeld door een besmette laptop automatisch terug te zetten naar een moment waarop het nog niet geïnfecteerd was.
Sommige software is EPP en EDR in één. SentinelOne is daar een goed voorbeeld van.
Let op: EPP en EDR richten zich dus alleen op de beveiliging endpoints (apparaten). SOCs die alleen EDR gebruiken, geven dus geen inzicht of bescherming in de verdere IT-omgeving.
Wat is XDR?
XDR duikt op meer en meer plekken op. XDR is nog zodanig opkomend, dat de definitie wisselt per organisatie die het erover heeft. Over het algemeen is er één rode draad te vinden in die definities: XDR staat voor een holistische aanpak van Detection & Reponse. Het hoofddoel van XDR: dreigingsdetectie nog nauwkeuriger maken om de operationele efficiëntie te verhogen.
Wat dat inhoudt? We maken het simpel: het combineert de krachten van SIEM-software en EDR-software. We vertelden net dat SIEM inzicht geeft in de gehele IT-infrastructuur, maar niet geautomatiseerd ingrijpt bij aanvallen. EDR-software kan ingrijpen wanneer een apparaat geïnfecteerd is, maar beperkt zich echt enkel tot apparaten.
Wanneer organisaties het hebben over XDR, dan bedoelen ze vaak dat ze een MDR oplossing bieden waarbij ze – bijvoorbeeld – zowel SIEM als EDR gebruiken. Door meerdere technologieën samen in te zetten, zijn apparaten voorzien van autoherstelopties én heeft u inzicht over de gehele IT-infrastructuur.
Niet alle security-bedrijven noemen deze aanpak overigens XDR. Dus kijk in uw zoektocht ook naar termen als “holistische aanpak” of “SOC met SIEM én EDR”.
Tot slot: SOAR
We kunnen dit artikel niet afsluiten zonder “Security Orchestration, Automation & Response” genoemd te hebben. Net als EDR is SOAR in staat bij een incident tot actie over te gaan: maar dan wél over de gehele IT-infrastructuur. Van het resetten van firewalls tot het in quarantaine zetten van users.
SOAR is vrij nieuw op de markt en nog niet geschikt voor elke organisatie. Vragen over SOAR? Neem vrijblijvend contact op.
Meer informatie over Managed Detection & Response?
Stuur uw vragen over MDR vrijblijvend via het contactformulier naar ons op. Onze SOC-specialisten nemen dan contact met u op.
