Beveiliging: waarom moet uw organisatie nadenken over een SOC ?
Zich verlaten op een SOC (Security Operations Center) stelt de ondernemingen in staat om de bedreigingen doeltreffend te detecteren en om de veiligheidsincidenten op te lossen. Een aangestuurde SOC (CyberSOC) vertegenwoordigt een essentieel veiligheidsonderdeel voor de ondernemingen die het zich niet kunnen veroorloven om ook maar even stil te liggen of om te maken te krijgen met een blokkering binnen één van hun activiteiten. Even voorstellen.
Het informatiesysteem van de onderneming wordt steeds ingewikkelder, dit is niet nieuw. De invoering van het telewerk tijdens de lockdowns is hier niet vreemd aan. De beveiliging van het informatiesysteem moet voortaan anders worden aangepakt, zoals we al hebben aangegeven in dit artikel.
Volgens dit recent rapport gaat 19% van de hacks in de informatiesystemen van een organisatie terug op gestolen of aangetaste identificatiegegevens. Phishing alleen al leidt tot 16% van de hacks. Een slechte configuratie van de cloud ligt daarvan aan de basis voor 15% van de hacks. Permanente waakzaamheid waarborgt de cybersecurity voor de organisaties: de gemiddelde kost die gepaard gaat met datalekken is inderdaad met 2,6% gestegen, van 4,24 miljoen dollar in 2021 naar 4,35 miljoen in 2022.
Om een idee te geven van de omvang van de wereldwijde cybercriminaliteit: indien de cybercriminaliteit een land zou zijn, dan zou het de 3de grootste economie ter wereld zijn, na de Verenigde Staten en China.
Wat is een SOC?
SOC staat voor Security Operations Center. Binnen een onderneming verwijst dit naar een team dat belast is met de beveiliging van de informatiesystemen. Doel en voordelen: enerzijds een beter begrip van het informatiesysteem, anderzijds een veel snellere opsporing van een indringing, een kortere reactietijd en een sneller herstel van de diensten.
CyberSOC is een aangestuurd SOC-aanbod ontwikkeld door Win, een operationeel beveiligingscentrum met:
- Monitoring en detectie van incidenten op het vlak van cybersecurity
- Continu 24u/24 en 7d/7
- Waarbij nieuwe perimeters in rekening worden genomen: dochterondernemingen, Cloud, OT, iOT
Hoe werkt een SOC?
Het SOC is een platform waarmee het informatiesysteem kan worden gemonitord en beheerd via verschillende soorten tools:
- Verzamelen van de gebeurtenissen (cartografie van het informatiesysteem en identificatie van de nuttige bronnen)
- Correlatie van de gebeurtenissen met een SIEM (Security Information Event Management)
- Detectie van de hacks (Cyber-analysts N1/N2/N3) : acuut onderzoek of onderzoek zonder directe aanleiding en catalogus van scenario’s
- Aanbevelingen voor het oplossen van de incidenten (door de klant of door Win, naargelang de contracten)
- Aanpassing zonder ophouden, aan de nieuwe bronnen en aan de nieuwe soorten aanvallen
SIEM, EDR, gestionnaire de logs, UBEA,...le SOC est doté des meilleures technologies en matière de cyber-défense. (Photo : IMS Networks)
Waarvoor dient een SOC?
Een SOC biedt een organisatie de mogelijkheid om:
- Veiligheidsincidenten te voorkomen
- Bedreigingen en incidenten te detecteren
- De incidenten, alarmsignalen en bedreigingen te behandelen
- De risico’s te beheersen en te zorgen voor een correcte beveiliging in een onderneming, instituut of organisatie
Waarom een SOC invoeren?
Het implementeren van een aangestuurde SOC (CyberSOC) biedt als belangrijkste voordeel dat de veiligheidsincidenten kunnen worden gedetecteerd dankzij een voortdurende monitoring en analyse van het netwerk van de onderneming - van alle onderdelen ervan, zonder uitzondering -.
CyberSOC doet beroep op de cyberintelligentie zodat de SOC-teams niet enkel gelijk welk incident kunnen detecteren, maar vooral ook kunnen voorkomen of er snel op kunnen reageren. Gaat het om een vorm van artificiële intelligentie? Neen, SOC verwijst naar een beveiligingsteam samengesteld uit veiligheidsanalisten en gespecialiseerde ingenieurs. Een SOC werkt 7d/7, zowel overdag als ‘s nachts. De medewerkers werken in teamverband en hebben als opdracht om de activiteit op/van het netwerk continu te monitoren om bedreigingen af te wenden.
Le temps moyen nécessaire pour identifier une violation en 2020 était de 287 jours
“Ransomware is de meest tastbare vorm van hacking voor de meeste bedrijven, maar het is niet de enige vorm”, waarschuwt Geert van Bossuyt, Product Manager Security van Win. “Hier gaat het om alle soorten van hacking van of aanvallen op randapparatuur, servers en ook van of op gevoelige data. En we hebben het ook over de impact op het bedrijfsimago die zulke hacking met zich kan meebrengen”.
Elke 39 seconden gebeurt er ergens in de wereld een poging tot cyberaanval op een bedrijf. Tijd is een beslissende factor bij het reageren op incidenten van cybersecurity: “De gemiddelde tijd die nodig is om een geval van hacking te identificeren bedroeg in 2020 287 dagen, dan weet je dat er schade kan worden aangericht. En de statistieken die wij opvolgen zijn beangstigend: tussen 2020 en 2021 zijn de aanvallen met ransomware verviervoudigd voor een totale kost aan betaalde ransom van bijna 20 miljard euro.”
Heeft uw onderneming een SOC nodig?
Volgens Geert van Bossuyt hebben niet alle ondernemingen per se een SOC nodig. Om te bepalen of dit al dan niet het geval is, volstaat het antwoord op één vraag. “Die vraag is: welke kost brengt een stopzetting van de activiteit van de onderneming met zich mee en heeft de onderneming de financiële middelen om dit te doorstaan, want als alles stilligt, stopt ook de business. Maar dan moet je van tevoren bepalen wat een hack of een inval met ransomware kost”.
Vooraleer een externe SOC in te voeren, is het ook belangrijk om rekening te houden met de return on investment: de informaticabeveiliging van een bedrijf opschalen betekent immers een groot, moeilijk toe te kennen budget, en competenties die intern niet gemakkelijk kunnen worden gevonden.
Geert van Bossuyt benadrukt: “Een externe en aangestuurde SOC maakt het mogelijk om de kosten van de structuren onder elkaar te verdelen, om te beschikken over deskundigen on demand, en om zijn return on investment te maximaliseren.”
Implementatie in verschillende stappen
De deskundige legt uit: “Alvorens eventueel deze oplossing te overwegen, voeren wij een eerste evaluatie uit van de omgeving om zowel de werkzaamheden te begrijpen, als de werking van het informatiesysteem en de risico’s die ermee gepaard gaan.”
Er moeten een aantal stappen worden gezet alvorens te bepalen of een SOC noodzakelijk is voor de organisatie:
- Houden van een opstartvergadering
- Leren kennen van de business en van de activa (assets) van de onderneming
- Leren kennen van het informatiesysteem en nauwkeurig in kaart brengen
- Bepalen van de bronnen die het nuttigst zijn
- Analyse van de verzamelmethodes, en van de ideale plaats waar de collector(s) kan(kunnen) worden ondergebracht
- Het opmaken van een aanbod op maat en het bepalen van de kosten
Wat doet een SOC?
Enkele van de belangrijkste handelingen van de teams zijn: het elimineren van de valspositieve resultaten, het contextualiseren van de ermee verbonden alarmsignalen, de correlatie vinden met andere signalen binnen een bepaald tijdsbestek en het behandelen van de incidenten en het hanteren van fiches met vuistregels.
Hoe wordt de vertrouwelijkheid en de soevereiniteit bewaard?
We hebben het al uitgelegd: de digitale transformatie en het toenemende telewerk maken dat moet worden nagedacht over het onderbrengen/opslaan van strategische data en over de soevereiniteit voor de hele organisatie. Voor Geert van Bossuyt wordt het CyberSOC-aanbod, dat gebaseerd is op de QRadar-technologie van IBM, bediend vanuit het WDC, datacenter in Wallonië gevestigd in Villers-le-Bouillet. “Dit vormt een duidelijke garantie ten aanzien van onze klanten van de territorialiteit van de technologieën die we gebruiken om ons aanbod van aangestuurde SOC in België op te bouwen.”