1. Blog
  2. Career
  3. De beste worden in het detecteren van bedreigingen

De beste worden in het detecteren van bedreigingen

Nicola werkt bij Orange Cyberdefense en brengt gedegen adviezen uit over het detecteren van en reageren op bedreigingen.

Je bent Head of CyberSOC Operations in het VK, hoe zien je dagelijkse werkzaamheden eruit?

Als Head of CyberSOC Operations ben ik verantwoordelijk voor zowel Threat Detection- als Hunting-services (het proactief ontdekken en opsporen van bedreigingen nog voor deze effect kunnen hebben) die worden geleverd vanuit het VK, en ook voor Managed Vulnerability Scanning-services (kwetsbaarheidsbeheer) die worden geleverd vanuit Zuid-Afrika. Mijn team bestaat uit analisten, ingenieurs en consultants en we werken allemaal samen om ervoor te zorgen dat we eersteklas services leveren waarbij de hoogst mogelijke kwaliteit voor klanten voorop staat. Elke dag is gevarieerd en opwindend en de werkzaamheden variëren van de zorg voor het leveren van een uitmuntende service door het team, tot het onderhouden van nauwe contacten met onze klanten en het werken aan een continue serviceverbetering. Het aanvalslandschap verandert voortdurend en om onze klanten te beschermen moeten we ons daaraan aanpassen!

Wat vind je het leukst aan werken in de cybersecurity en aan je baan?

Ik ben dol op de cybersecurity-branche. Het was spannend om vanuit een telecomachtergrond te komen en over te stappen naar de wereld van de cybersecurity! Je voelt heel goed dat het nuttig is wat je doet en dat je klanten helpt zich te verdedigen tegen cybercriminaliteit/cybercriminelen. We waken altijd over hen en zorgen ervoor dat er voldoende middelen zijn om hen te beschermen. We nemen onze klanten graag mee op reis door dit proces, laten ze zien hoe we vertrouwde adviseurs van ze kunnen zijn en ondersteunen ze continu met onze mensen, processen en technologie. En dat is wat ik doe vanuit mijn functie. Ik heb het genoegen leiding te geven aan een zeer bekwaam team, waarvan ik nog dagelijks leer, en we werken voor onze klanten doorlopend aan het aanpassen, creëren en leveren van nieuwe manieren om de zichtbaarheid van hun omgeving te vergroten en hun verdediging te versterken.

Wat zijn de behoeften van onze klanten met betrekking tot detectie- en responsservices in het VK?

De behoeften van de klanten variëren omdat ze verschillende beveiligingsrisico’s lopen al naar gelang de aard van hun bedrijf en de daarbij bijbehorende omgeving. Onze klanten willen zich, op hoog niveau, kunnen focussen op hun core business. Ze willen over experts kunnen beschikken die hen kunnen begeleiden en voorzien van relevante en bruikbare informatie. Dit omvat acties met betrekking tot kritieke waarschuwingen en algemene, duidelijke stappen om hun algehele houding ten opzichte van de beveiliging te verbeteren. Klanten in het VK zijn op zoek naar een vertrouwde adviseur om mee samen te werken ten einde de zichtbaarheid van hun zakelijke landschap te vergroten. Ze hebben een team van zeer bekwame en competente mensen nodig die een verlengstuk van henzelf kunnen worden.

Wat biedt Orange Cyberdefense zijn klanten met betrekking tot detectie en respons?

Wij zijn experts die ons vak kennen. Dit is wat we dag in dag uit doen en het zorgt ervoor dat onze klanten kunnen beschikken over veel samengebrachte expertise met betrekking tot een zeer belangrijk onderdeel van hun dagelijkse leven. De klanten die onze Advanced Managed Threat Hunting-services afnemen, hebben het grote voordeel van een consultant die op de service is afgestemd. De consultant, die jarenlange ervaring heeft in de branche, is er om deskundig advies te geven, de opdrachtgever te begeleiden en ervoor te zorgen dat we zicht hebben op de juiste elementen in hun omgeving. Onze Managed Vulnerability-scanservices zijn gericht op het vaststellen en scannen van de activa in uw bedrijf, zodat u zich bewust bent van de activa in uw omgeving, beschikt over de actuele informatie ten aanzien van de kwetsbaarheden, en prioriteit kunt geven aan de vervolgstappen met behulp van de kwetsbaarheidsdashboards. Managed Threat Detection en Hunting dient om verschillende indicatoren van aanval, compromittering of algemeen verdacht gedrag in de verschillende stadia van de cyber kill chain vast te stellen (begrip krijgen van de fases die een aanval moet doorlopen en de middelen om dit te stoppen). We gebruiken het Mitre Att&ck-framework, ons onderzoek en de expertise van onze elite-consultants om dit te doen. Een van de belangrijkste zaken die we bij beide services toepassen is het toevoegen van context. Het overspoeld worden met detectiewaarschuwingen en kwetsbaarheden kan overweldigend overkomen. We werken eraan om de pijn uit beide processen te halen. Een van de belangrijkste aspecten waarop we ons bij al onze diensten concentreren is zorgdragen dat beveiligingsgerelateerde informatie, begeleiding en bevindingen gebaseerd zijn op de context van de klant en zijn omgeving, en ervoor te zorgen dat deze waardevol zijn voor de klant. Bovendien hosten en beheren we de oplossingen voor onze klanten zodat we ervoor zorgen dat ze een minimale infrastructuur nodig hebben.

Sommige bedrijven kiezen ervoor om zelf een SIEM (Security Information and Event Management; Beveiligingsinformatie en Evenementbeheer) en/of een oplossing voor scanning op kwetsbaarheid op te zetten. Wat zou uw advies zijn?

Het in-house opzetten van een SIEM en/of Vulnerability Scanning-oplossing is zeer complex. Als het niet correct wordt opgezet, onderhouden en geanalyseerd, loop je het risico dat je wordt overspoeld met irrelevante informatie en/of onvoldoende zichtbaarheid van belangrijke onderdelen in je omgeving. Over het algemeen kan het de effectiviteit van deze oplossingen, waarbij belangrijke informatie niet wordt opgemerkt, verminderen – de droom van een aanvaller! Dit maakt het veel gemakkelijker voor de aanvaller om onder de radar te blijven. We zien ook veel klanten bij wie hun netwerk- en infrastructuurteams verantwoordelijk zijn voor de beveiliging van het bedrijf. Waar multidisciplinaire teams een veel soepeler en efficiënter bedrijfsmodel creëren, kan dit zonder de relevante expertise grote schade aanrichten. Om het bedrijf te beschermen tegen een aanvaller is deze expertise essentieel, samen met een goed begrip van de gebruikte aanvalsmethoden en het groeiende bedreigingenlandschap. Daarom geven onze klanten er meestal niet de voorkeur aan om zelf een infrastructuur te hosten, aangezien dit operationele overhead veroorzaakt, extra kosten met zich meebrengt en nog een extra component toevoegt die ook weer moet worden beveiligd.

Wat waren (en zijn) de gevolgen van de gezondheidscrisis voor onze klanten en onszelf in termen van detectie en respons?

Door de gevolgen van de gezondheidscrisis moesten we ons flexibel aanpassen aan een veranderend landschap. De meeste bedrijven in het VK hebben zich aangepast door vanuit huis te gaan werken, wat een verandering betekent in de manier waarop apparaten verbinding maken met het netwerk en de bijbehorende gegevensoverdracht. Daarnaast heeft het de eisen van veel bedrijven om naar de cloud te migreren versneld. We krijgen veel meer vragen over het detectievermogen van cloudactiva en het scannen op kwetsbaarheden, en hoe we behulpzaam kunnen zijn bij het testen en verifiëren van de beveiliging van de implementaties en bijbehorende configuraties in deze omgevingen.

Wat zou je zeggen tegen iemand die dezelfde carrière als jij nastreeft?

Wees creatief. Bedenk of er een andere manier is om dingen te doen, daag de norm uit en beoordeel hoe je omgeving evolueert. Na 15 jaar operationeel management is een van de belangrijkste dingen die ik geleerd heb om het nooit als vanzelfsprekend te beschouwen dat dingen op een bepaalde manier gedaan moeten worden. Ik heb enkele van de grootste successen in mijn carrière behaald door buiten de gebaande paden te denken. Je moet altijd een stap terug doen, naar het grotere plaatje kijken en jezelf afvragen wat je probeert te bereiken.

Delen