De moderne tijd vraagt om een modern SOC
Het huidige tijdsgewricht vraagt om een nieuwe cybersecurityaanpak. Met maatregelen die je niet alleen helpen om cyberincidenten te voorkomen, maar waarmee je ze ook tijdig detecteert, er adequaat op reageert en ze uiteindelijk herstelt met de minst mogelijke schade voor de organisatie. Waardoor je onder meer de businesscontinuïteit en de bescherming van klantgegevens borgt.
Een traditioneel security operations center (SOC) mist de kracht om je als organisatie digitaal weerbaar en veerkrachtig te maken en houden, zo hebben we gezien in deel één van dit tweeluik. Een modern SOC kan dat wél.
Wat is een modern SOC
De overeenkomst: een modern SOC richt zich net als een traditioneel SOC op het detecteren en analyseren van en het reageren op cybersecurity-incidenten. Waar de traditionele variant vooral focust op technologie, draait het bij een modern SOC juist om de wisselwerking – of beter nog: de synergie – tussen technologie, mensen en processen. Met als gevolg dat de securityoperaties effectiever en efficiënter worden. De betere integratie tussen de drie componenten zorgt bovendien voor meer visibility met betrekking tot mogelijke issues en minder false positives.
De belangrijkste aspecten van een modern SOC
Een modern SOC berust op een aantal pijlers:
Menselijke expertise
De analisten in een modern SOC zijn ervaren en uitermate bedreven professionals met veel kennis van het actuele dreigingslandschap. Ze beschikken over expertise op het vlak van onder meer vulnerability management, red, blue en purple teaming, penetration testing en het optreden in een Computer Security Incident Response Team (CSIRT).
24/7 operationeel zijn
Cyberaanvallen kunnen op ieder moment van de dag plaatsvinden, dus moet een modern SOC 24/7 operationeel zijn. Ook al zijn er veel processen en taken geautomatiseerd, te allen tijde dienen er voldoende analisten te zijn om taken als triage en analyse van security-incidenten en incident response en -recovery uit te voeren.
Automatiseringen
In traditionele SOC’s worden analisten bedolven onder een stortvloed aan data en alerts. In een modern SOC met een security orchestration automation & response (SOAR)-laag worden veel processen en taken geautomatiseerd – waarover later meer.
Geavanceerde detectiemogelijkheden
Een modern SOC beschikt over de nieuwste technologieën om dreigingen te detecteren en daarop te reageren. Denk bijvoorbeeld aan endpoint detection & response (EDR), brand intelligence, network detection & response (NDR), extended detection & response (XDR), security information & event management (SIEM), user & entity behavior analytics (UEBA), AI & machine learning en vulnerability.
Integratie dankzij orkestratie
Het orkestratiegedeelte in SOAR zorgt ervoor dat de verschillende cybersecuritytools en -processen worden geïntegreerd. Dat leidt tot gestroomlijnde (automatische) workflows, gestandaardiseerde reactieprocessen en een gecoördineerde aanpak van dreigingen, waardoor SOC-teams sneller kunnen handelen en meer kwaliteit kunnen bieden.
Automatiseringen: snelheid, scherpzinnigheid en schaalbaarheid
Binnen een modern SOC met een SOAR-laag, zoals het C-SOR²C van Cegeka, kunnen veel processen en taken worden geautomatiseerd. Enkele voorbeelden:
- scannen op kwetsbaarheden
- afhandelen van bepaalde tickets
- irrelevante tickets filteren
- prioriteren van beveiligingsmeldingen
- verzamelen en integreren van dreigingsinformatie
- verzamelen, opslaan en analyseren van logs
- uitvoeren van verdachte bestanden in een geïsoleerde omgeving (sandboxing)
- beheren van securitycontent zoals documentatie, configuratiebestanden en beleidsregels.
Moeten analisten meldingen handmatig afhandelen? Dan helpt de SOAR-laag, die in feite een technologieonafhankelijke laag binnen de security-infrastructuur is, hen door een gestandaardiseerde workflow. Dit komt niet alleen de snelheid, maar ook en vooral de kwaliteit van de respons ten goede.
Hoe een modern SOC bijdraagt aan cyber resilience
Een modern SOC an sich leidt niet tot cyber resilience, maar je zet er wel een grote stap mee. Het helpt je namelijk om alle delen van de cyber resilience cycle in te vullen: assess, prevent, detect, respond en recover.
De belangrijkste voordelen van een (managed) modern SOC zijn:
- De kwaliteit van de responses is hoger.
- Onveilige situaties worden sneller aangepakt.
- Dankzij de combinatie van één geïntegreerd platform en machine learning worden meer dreigingen opgespoord.
- 360° visibility: je beschikt over een holistisch en gedetailleerd beeld van je cybersecuritylandschap.
- Door een hoger cybersecurityniveau borg je de bedrijfscontinuïteit, bescherm je je imago en minimaliseer je de kans op boetes en juridische kosten.
Zo zet je als organisatie een grote stap om, met een relatief klein team, toch digitaal weerbaar en veerkrachtig te worden en blijven.
C-SOR²C: modern SOC van Cegeka
Met het Cyber Security Operations, Response & Recovery Center (oftewel: C-SOR²C) heeft Cegeka een state-of-the-art managed modern SOC neergezet. Centraal staan 24/7 monitoring, de geïntegreerde mogelijkheden voor response en recovery, de hoge mate van automatisering (uiteraard in overleg met de klant), de overvloedige expertise en ervaring van de SOC-specialisten die er werken én de bescherming van zowel de IT- als OT-systemen.
Het C-SOR²C verbetert de cyber resilience van organisaties bovendien doordat onze cybersecurity-adviseurs maandelijks samenzitten met de klant. Ze delen dan de nieuwste inzichten en stellen gezamenlijk een visie en concrete plannen op, zodat de cyber resilience continu wordt verbeterd.
Observability, ook voor onze klanten
Het geïntegreerde platform met SOAR-laag is de basis voor een security observability dashboard, dat een totaaloverzicht biedt van alle securityactiviteiten. Endpoints, vulnerability management, netwerkmonitoring, cloudsecurity, IAM, SIEM, maar ook waarschuwingen, security-incidenten, trends en nieuwe bedreigingen… Een security observability dashboard biedt een single page of truth voor al je cybersecurityzaken.
Binnen het customer engagement-platform Horizon biedt Cegeka klanten een eigen Security Observability Dashboard aan. Dat is als het ware hun venster op de C-SOR²C-diensten die ze afnemen. Doordat organisaties via één dashboard een volledig overzicht hebben van al hun belangrijke security-indicatoren, krijgen ze inzicht in hun digitale veiligheid en kunnen ze onder meer beter hun IT- en clouddiensten beheren.
Lees ook het eerste deel van dit tweeluik: Van cybersecurity naar cyber resilience met een modern SOC, waarin we inzoomen op de kenmerken en voordelen van een modern SOC.