In de onophoudelijke strijd tegen cyberdreigingen kampen Security Operation Centers (SOC’s) met een aantal grote uitdagingen. Volgens de SANS 2023 SOC Survey ervaart maar liefst 60% van de SOC-analisten een toenemende werkdruk, terwijl 65% overweegt binnen het komende jaar van baan te veranderen. Eerdere enquêtes tonen aan dat 55% van de organisaties bijna dagelijks kritieke meldingen over het hoofd ziet, en 64% van de analisten meldt dat overbodig handmatig werk meer dan de helft van hun tijd in beslag neemt. Dit alles onderstreept de dringende behoefte aan innovatieve oplossingen die de efficiëntie en weerbaarheid van SOC’s tegen nieuwe dreigingen versterken.
Gelukkig is deze technologie al beschikbaar dankzij de recente snelle vooruitgang op het gebied van AI. Met deze technologie kunnen SOC’s zich voorbereiden op wat er maar ook op hen afkomt.
Door: Joris van der Linde, Product Security Specialist bij Infoblox
Uitdagingen voor SOC-teams
SOC-analisten zijn de frontlinie verdedigers in het cybersecurity-landschap. Ze monitoren en analyseren activiteiten op netwerken, servers, endpoints, databases, applicaties, websites en andere systemen, op zoek naar afwijkende activiteiten die kunnen duiden op een beveiligingsincident. De analisten zijn verantwoordelijk voor het correct onderzoeken, identificeren en rapporteren van mogelijke beveiligingsincidenten – en er dus optimaal worden verdedigd, zodat die incidenten geen impact hebben op het netwerk en de bedrijfsvoering.
Het belang van SOC-teams ligt in hun vermogen om continu de beveiliging van een organisatie te monitoren en te verbeteren, terwijl ze beveiligingsincidenten voorkomen, detecteren, analyseren en erop reageren. Het Gartner Cybersecurity Report 2024 stelt dat “tegen 2026 organisaties die hun beveiligingsinvesteringen prioriteren op basis van een programma voor continu beheer van de blootstelling aan bedreigingen, het aantal breuken met twee derde kunnen verminderen.”
Ondanks hun cruciale rol staan SOC-teams voor grote uitdagingen. Alleen al de hoeveelheid waarschuwingen kan overweldigend zijn, wat kan leiden tot ‘notificatiemoeheid’ en bedreigingen die langs de analisten glippen. Daarnaast kan het gebrek aan integratie tussen verschillende beveiligingstools informatiesilo’s creëren, waardoor het voor analisten moeilijker wordt om een compleet beeld te krijgen van de beveiligingsstatus van de organisatie.
De risico’s voor de bedrijfscontinuïteit zijn aanzienlijk wanneer een SOC-team niet goed functioneert. Daardoor zijn organisaties zich mogelijk niet bewust van lopende aanvallen of inbreuken, wat hen blootstelt aan gegevensverlies, reputatieschade en zelfs mogelijke boetes.
AI biedt een alternatieve aanpak
De integratie van AI in Security Operation Centers kan deze uitdagingen helpen aan te gaan. Het zorgt voor een frisse kijk op de manier waarop SOC’s security benaderen. Door de kracht van AI te benutten, kunnen ze een overweldigende hoeveelheid gegevens omzetten in een beknopte set bruikbare inzichten. Dit brengt niet alleen de onderzoeken op gang die er echt toe doen, maar zorgt ook voor drastisch kortere reactietijden.
Een AI-gedreven SOC-aanpak draait om DNS-inzichten. DNS (Domain Name System) is niet zomaar een onderdeel, het is de ruggengraat van een netwerk en de spil die de operatie bij elkaar houdt. DNS kan een bron van cruciale intelligentie zijn.
Cybercriminelen worden steeds geavanceerder en in de meeste aanvallen wordt inmiddels gebruik gemaakt van DNS om malware te verspreiden, gegevens te stelen en bedreigingen te verspreiden met behulp van technieken zoals lookalike-domeinen, domeingeneratie-algoritmen en DNS-tunneling. DNS kan echter ook een nuttig hulpmiddel zijn voor de verdediging, de SOC’s dus, om hun zichtbaarheid te verbeteren, infrastructuur van criminelen te detecteren en aanvallen te voorkomen met de juiste combinatie van tools en dreigingsinformatie vanuit de infrastructuur. Dit om de simpele reden dat vrijwel alle communicatie, ook die van aanvallers, gebruik moet maken van DNS.
Door gebruik te maken van zowel AI als DNS-dreigingsinformatie, kunnen SOC’s niet alleen bruikbare inzichten destilleren uit de enorme hoeveelheid DNS-informatie in bedrijfsnetwerken. Het wapent ze óók tegen evoluerende bedreigingen: criminelen zijn inmiddels al begonnen AI in te zetten om snel ransomware-varianten te maken om detectie door beveiligingstools te vermijden en om de effectiviteit van phishing en verkenning door ransomware-actoren te verhogen. Nu AI-coderingstools het eenvoudiger maken om efficiënter veel meer varianten te maken, zal de informatiestortvloed voor SOC’s alleen maar erger worden wanneer ze zich niet wapenen met AI.
Conclusie
SOC’s kampen in hun dagelijks werk met een toenemende werkdruk, notificatie-moeheid, een tekort aan ervaren personeel en beperkte automatisering. Deze uitdagingen kunnen hun vermogen om complexe cyberaanvallen te detecteren en daarop te reageren in gevaar brengen. Door AI te integreren in de tech stack, kunnen SOC’s op basis van DNS-inzichten bedreigingen identificeren die andere tools mogelijk over het hoofd zien, prioriteit geven aan de belangrijkste netwerkevents en de responstijd bij incidenten verkorten. En dat leidt tot meer effectiviteit van het gehele security-ecosysteem.