Grote organisaties beschikken vaak over een eigen Security Operations Center (SOC). Dit is te vergelijken met een meldkamer zoals de politie die heeft: incidenten komen er binnen en kunnen tot actie leiden. Het ‘runnen’ van een SOC vereist niet alleen kennis van cyberbeveiliging, maar ook de technologie om bedreigingen te monitoren en te detecteren. Het implementeren hiervan is eigenlijk onbereikbaar voor veel kleinere bedrijven. Terwijl zij beslist niet minder kwetsbaar zijn dan een enterprise. Ook het mkb moet daarom in staat zijn om snel een cyberaanval te detecteren en hierop te reageren.
Daar staat tegenover dat kleinere ondernemingen over het algemeen ook niet het volledige pakket aan functies nodig hebben die onderdeel kunnen uitmaken van een breed opgezet SOC. Gelukkig is een Security Operations Center inmiddels als managed service af te nemen bij een mssp, in de vorm van SOC-as-a-Service. Dit is een schaalbare oplossing waarbij de eindklant betaalt naar gebruik. Ook kunnen de diensten die onderdeel uitmaken van de oplossing nauwkeurig afgestemd worden op de behoefte van de klant. Het is aan de partner om die wensen te inventariseren en een goede balans te vinden tussen het beschikbare budget en de aanvaardbare risico’s die spelen bij de business van de eindklant.
Vaste elementen
Ondernemers die een SOC afnemen moeten vaak aan het idee wennen dat een essentieel aspect van hun bedrijfsvoering, namelijk (cyber)security, uitbesteed wordt.
Uitdagingen voor msp’s
Ondernemers die een SOC afnemen moeten vaak aan het idee wennen dat een essentieel aspect van hun bedrijfsvoering, namelijk (cyber)security, uitbesteed wordt. Het is voor de msp van groot belang dit duidelijk te maken en op bepaalde punten geen concessie te doen. De aanbieder van SOC-as-a-Service moet op elk moment van de dag of de nacht toegang hebben tot alle onderdelen van de IT-omgeving van de klant. En dat niet alleen: hij moet in het geval van een noodsituatie ook direct kunnen optreden. Er is op dat moment geen tijd voor overleg. De cyberbeveiligingsexperts van een SOC-as-a-Service-provider zullen incidenten snel detecteren en erop reageren. Het rapporteren van hun bevindingen aan de directie van het mkb-bedrijf gebeurt vaak pas na het oplossen van de gevolgen van het incident.
Verantwoordelijkheden bij SOC-as-a-Service
Ook van groot belang is het vastleggen van verantwoordelijkheden. Dat vereist grondige analyse. Als de eindklant zelf, of een andere msp, zich bijvoorbeeld bezighoudt met het (applicatie)beheer, dan is de uitbater van het SOC niet verantwoordelijk te houden voor incidenten die het gevolg zijn van niet uitgevoerde patches of updates. Ook datalekken die het gevolg zijn van onzorgvuldig gebruik van devices of applicaties, zijn niet altijd de SOCaaS-aanbieder aan te rekenen. Denk bijvoorbeeld aan het niet inzetten van 2FA of bij onveilige wachtwoorden. Wel kan de mssp natuurlijk een rol spelen bij het trainen van medewerkers om zo het (cyber)bewustzijn binnen de klantorganisatie vergroten.
SOC, SIEM en EDR: wat betekenen de afkortingen?
De security-wereld houdt van afkortingen. We zetten er drie op een rij.
- Een SOC, Security Operations Center, monitort de IT-omgeving van de organisatie. Vanuit applicaties en apparaten wordt log-informatie verzameld en onderzocht op mogelijke security aanvallen. Er wordt daarbij vooral gekeken naar afwijkend gedrag.
- Een SOC heeft om goed te functioneren een SIEM nodig, een Security Information Management System. Een SIEM integreert software die wordt gebruikt om bedrijfsinfrastructuren te bewaken. Analisten stellen een set regels op volgens het securitybeleid van de organisatie. Bedrijven die bij een dienstverlener een managed SOC afnemen gebruiken doorgaans automatisch het SIEM dat die mssp selecteerde.
- Als een SOC de IT-omgeving van de organisatie monitort dan is het mogelijk dat endpoints die zich buiten het netwerk bevinden aan de aandacht ontsnappen. Daarvoor is EDR nodig, wat staat voor Endpoint Detection & Response. EDR-software monitort terminals (computers, tablets, mobiele telefoons, enz.), maar dus niet het systeemnetwerk.