De laatste jaren neemt de belangstelling voor een Security Operations Center (SOC) snel toe. Dit komt vooral doordat het besef groeit dat naast beveiliging van systemen en netwerken, ook actieve monitoring nodig is. Niet verwonderlijk, want cybercriminaliteit neemt alsmaar toe en haalt steeds vaker het nieuws. Regelmatig slagen criminelen en andere vijandelijke elementen erin om toegang tot systemen te krijgen, waarna informatie wordt gestolen of gekaapt en soms de complete bedrijfsvoering wordt lamgelegd. Bedrijven maken zich dus terecht zorgen over de risico's die ze lopen en zoeken naar een oplossing.

SOC inrichten

Vanuit een SOC kunnen netwerken en systemen continu gemonitord worden. Hiertoe worden meldingen uit onder andere de logbestanden van computersystemen, netwerkapparatuur en intrusion detecten/prevention apparatuur doorzocht op gebeurtenissen die verdacht zijn. Daar wordt een zogenaamd SIEM-tool voor gebruikt: een Security Information and Event Management systeem. Het speurt in het bijzonder naar aanvallen die moeilijk te ontdekken zijn, door te letten op patronen en op afwijkingen in patronen.

Voorbeelden van tools zijn HP ArcSight, IBM Security QRadar SIEM en Splunk. De tool moet kunnen correleren, false positives filteren en er moeten use cases in worden opgenomen, die zich specifiek richten op de bedrijfsvoering. Daarnaast moet er Threat intelligence aan worden toegevoegd. Dit vereist zeer veel actuele kennis van niet alleen de tool, maar ook van de dreigingen. Alles wat opvalt kan nader onderzocht worden door de specialisten van het SOC, waarna indien nodig een security incident wordt aangemaakt. Voor een SOC heb je hoog gekwalificeerde specialisten nodig, die het leuk vinden om diep in de materie te duiken en die ook nog eens goed kunnen communiceren.

24 x 365

Een SOC doe je er niet zomaar even bij. Je moet er echt mensen voor vrijmaken. Complicatie is dat er bij veel bedrijven 24 uur per dag en 365 dagen per jaar gemonitord moet worden. Dan volstaat het niet om bijvoorbeeld twee medewerkers in het SOC aan te stellen, benadrukt Johan Jumelet. Hij is als Principal Business Consultant Security bij CGI betrokken bij het inrichten van SOCs. "Afhankelijk van het soort organisatie zijn er soms wel twaalf tot achttien medewerkers nodig en moet in ploegen gedraaid worden. Dat lijkt veel, maar ongeveer een derde ben je kwijt aan vakantie, ziekte en training. Vooral dit laatste kost veel tijd. Want het is hoog gespecialiseerd werk en er speelt veel op beveiligingsgebied, dus je mensen moeten continu bijblijven. Het is een hele kluif om aan zoveel hoog gekwalificeerde mensen te komen. Ze zijn erg schaars en iedereen is naar ze op zoek."

Hybride SOC

Zelf een SOC inrichten is vanwege de complexiteit en de hoeveelheid menskracht misschien niet voor elk bedrijf weggelegd. Een oplossing is gebruikmaken van Managed Security Services van een externe SOC-leverancier. Jumelet: "Als een organisatie ervoor openstaat, kunnen er dan zelfs op afstand security events worden opgelost en systemen worden voorzien van maatregelen. Er is ook een hybride tussenvorm mogelijk. Monitoring gebeurt dan 24x365 vanuit het externe SOC en het interne SOC hoeft pas in actie te komen zodra er iets verdachts is gesignaleerd. Op die manier volstaan een paar interne medewerkers die piket lopen. Extra voordeel van een extern SOC, is dat de intelligence voor het SIEM-systeem sneller beschikbaar is, vanwege de nauwe banden met beveiligingsbedrijven en de schaalgrootte. Verder kan er bij een klant ergens ter wereld iets verdachts gebeuren, waarop soortgelijke klanten geïnformeerd worden over een mogelijk op handen zijnde aanval."

Quick wins

Een SOC kost geld en betaalt zich niet direct terug. Daarom is promotie cruciaal om het tot een succes te maken, aldus Jumelet. Hij adviseert om actief op zoek te gaan naar quick wins. "Daarmee toon je bij het topmanagement aan dat het effect heeft. Wat levert het jouw bedrijf op, welke schade is ermee voorkomen. Je bewijst er het bestaansrecht van het SOC mee. Ik kreeg een keer te horen dat een organisatie er echt geen nodig had, want er was nog nooit iets gebeurd. Maar het bleek dat er niet gemeten werd, dus hoe weet je zeker dat er niets aan de hand is? Als je vervolgens in zo'n omgeving kijkt en ziet dat logbestanden vergeven zijn van de aanvallen en inbraakpogingen, kun je erop rekenen dat je ineens de volle aandacht van de directie hebt."

Incident response team

Verder is het belangrijk om scenario's klaar te hebben liggen. Jumelet: "Stel een CSIRT samen, een Computer Security Incident Response Team. Dat is een groep mensen die je bij elkaar roept bij een aanval. Ze hebben vooraf besproken wat te doen zodra de bedrijfsvoering gevaar loopt en ze volgen incidenten op. Verder informeren ze de organisatie en het management en schakelen in noodgevallen preventief delen van het netwerk uit om verdere verspreiding te voorkomen. Laat bij calamiteiten je strengste medewerker voor de deur van het SOC en bij de oplosgroepen plaatsnemen om iedereen tegen te houden die er niets te zoeken heeft. De specialisten moeten ongestoord aan incidenten kunnen werken en daar hebben ze alle aandacht bij nodig."

Download de whitepaper Integrale securityaanpak van Mobility