Een Security Operations Center (SOC) is al lang niet meer alleen voor de hele grote jongens. Steeds meer uiteenlopende organisaties kiezen ervoor samen te werken met een Security Operations Center. Maar wat is een SOC precies? En wat levert het op?
Wat is een SOC – Security Operations Center?
Wat is een SOC? Een Security Operations Center (SOC) is de cyberversie van een alarmcentrale (PAC). Waar een alarmcentrale in actie komt bij de detectie van een inbreker, komt een SOC dat bij digitale dreiging. Een Security Operations Center is bemand: SOC-experts monitoren de digitale infrastructuur van een organisatie en komen in actie bij een veiligheidsincident.
In dit continu veranderende threatlandschap is de kans dat een organisatie nooit te maken krijgt met een aanval tegenwoordig – helaas – nihil. Maar: dat betekent dus niet dat u gegarandeerd schade ondervindt aan zo’n aanval. Een aanval die op tijd is ontdekt door een SOC, is ook op tijd tegengegaan.
Hoe werkt een SOC – Security Operations Center?
Een Security Operations Center maakt altijd gebruik van software. In de praktijk komt SIEM-software het vaakst en al het langst voor. Dat is software die gegevens verzamelt vanuit de IT-infrastructuur van een organisatie. De instellingen van deze software bepalen hoeveel informatie u krijgt. Sommige organisaties kiezen ervoor enkel netwerken te monitoren, anderen kiezen voor SIEM-instellingen die de gehele infrastructuur dekt.
SOC-experts verwerken de informatie die uit de SIEM-software komt. Zij interpreteren de gebeurtenissen en bepalen of er sprake is van een incident. Afhankelijk van de afspraken die u met een SOC maakt, krijgt u rapporten over deze meldingen en komt de SOC in actie bij een calamiteit.
Tegenwoordig zien we ook steeds vaker een SOC met EDR. Dit is software die niet de gehele infrastructuur in de gaten houdt, maar gefocust is op de endpoints. Ook is een SOC met zowel een SIEM als EDR een combinatie die we steeds vaker tegenkomen in de praktijk.
Wat doet een SOC – Security Operations Center?
We hebben globaal een beeld gegeven van wat u mag verwachten van een Security Operations Center. We gaan nu dieper in op hoe een Security Operations Center concreet in de praktijk werkt. Wat mag u allemaal verwachten van een SOC?
1. Actieve Monitoring
Security Operations Centers houden netwerken en infrastructuren actief in de gaten. Threats komen zo op tijd aan het licht, waardoor de oplossing vaak sneller is toegepast is dan de schade. Die actieve monitoring bestaat uit een combinatie van tooling en mankracht. SOC-experts zetten SIEM (of EDR) software in om data te verzamelen. Vervolgens analyseren ze zelf de meldingen die de software genereert.
2. Kwalificatie van meldingen
Een goede SOC mist niets. Om dat voor elkaar te krijgen, is het belangrijk dat de software breed data verzamelt. Het gevolg daarvan is dat er soms ook een melding binnen komt die geen dreiging, maar goed te verklaren gedrag van een gebruiker is. SOC-experts nemen al deze meldingen onder de loep.
False positives verdwijnen in de prullenbak en de geldige meldingen krijgen een kwalificatie. Hoe groot is de dreiging? Hoe is het ontstaan? Wat moet er gebeuren voor een oplossing? En hoe snel moet die oplossing komen? Bij elke melding krijgt een klant advies wat hij kan doen om in het vervolg dit soort meldingen te voorkomen.
3. Threat Response
Na de kwalificatie van meldingen, vindt de threat response plaats. De SOC-experts komen in actie om de gekwalificeerde (potentiële) threats te beperken. Bijvoorbeeld door endpoints uit te zetten (of isoleren), bestanden te verwijderen, processen beëindigen, etc. De meest urgente meldingen krijgen uiteraard als eerste aandacht. Daarnaast is het doel om ingrepen altijd zo klein mogelijk te houden, zodat het geen tot weinig impact heeft op de processen binnen uw organisatie.
Detection & Response
- 22 jun, 2022
MDR tot XDR: Detection & Response afkortingen uitgelegd
Lees verder
4. Eventueel herstelwerk
Het doel van een SOC is altijd ingrijpen voordat er schade is. Natuurlijk is dat niet in alle gevallen mogelijk: dan is het beperken van schade vooral prioriteit. Naderhand is er altijd wat herstelwerk nodig om het netwerk weer terug in zijn originele staat te krijgen. Denk bij dit herstelwerk aan het terughalen van verloren data, herconfiguraties, reboots of het installeren van back-ups.
5. Logs beheren & onderzoeken
De data waar we het eerder over hadden, hebben in de praktijk de naam “logs”. Deze logs omvatten alle activiteiten op het netwerk: niet alleen de verdachte activiteiten. Het is belangrijk om alle activiteiten te loggen, want dat vormt de “baseline” van al het verkeer. De software én de SOC-expert leert zo wat normaal gedrag is binnen een organisatie en wat niet. Dat maakt het detecteren – en afhandelen – van threats eenvoudiger.
Daarnaast geven logs ook de mogelijkheid na een incident te achterhalen hoe het incident heeft kunnen gebeuren. Dit helpt bij preventie in de toekomst.
6. Inzicht in doeltreffende securitymaatregelen
We blijven erbij: goede cyber security heeft niets te maken met zoveel mogelijk maatregelen. Waarom met kanonnen op muggen schieten? Een SOC geeft goed inzicht in hoe het eraan toe gaat binnen de infrastructuur van een organisatie. Met die gegevens zijn SOC-experts in staat nog beter advies te geven over de securitymaatregelen die organisaties écht verder helpen.
Verschillen tussen Security Operations Centers
Ondanks dat elk Security Operations Center hetzelfde doel heeft – namelijk threats op tijd detecteren – is niet elke SOC hetzelfde. Bijvoorbeeld: bij de ene SOC betaalt u per log en bij de ander (bijvoorbeeld die van IP4Sure) betaalt u per log producing asset. Zo zijn er nog meer verschillen. Hoe dat precies zit? In dit artikel helpen we u bij het kiezen van een SOC die het beste bij uw organisatie past.
In gesprek over de IP4Sure SOC-dienst?
Meer lezen over de Security Operations Center van IP4Sure? Of heeft u vragen en zou u meer informatie willen over Security Operation Centers? Bekijk hier de pagina over de IP4Sure SOC, of neem vrijblijvend contact met ons op.
