1. Blog
  2. Managed Detection & Response
  3. De correcte manier om een Security Operation Center te implementeren

De correcte manier om een Security Operation Center te implementeren

Meer informatie over het succesvol implementeren van een SOC

Wat is een SOC?

Een SOC is een entiteit die afhankelijk is van zowel software als georganiseerde security analysts om cybersecurity incidenten te detecteren, analyseren, rapporteren, erop te reageren en te voorkomen.

Om deze missies uit te voeren, vertrouwt het SOC op de analyse van zeer grote hoeveelheden gegevens, die in realtime worden geanalyseerd.

Zoals dit GBHackers artikel uitlegt: “Om een ​​organisatie als een SOC te kunnen beschouwen, moet het de bestandsdelen een middel bieden om vermoedelijke cybersecurity incidenten te melden, hulp bij incidentafhandeling aan haar leden en de verspreiding van incidentinformatie aan belanghebbenden en externe partijen.”

Welke voorbereidingen moeten worden getroffen voordat een SOC wordt ingezet?

Uw behoeften definiëren

Alvorens te worden ingezet, moet een SOC worden ontworpen om te voldoen aan specifieke behoeften, die uniek zijn voor elk bedrijf. Geen twee SOC’s zijn hetzelfde.

Voor sommige organisaties vloeit een deel van deze behoefte voort uit nationale regelgevende vereisten. Op Europees niveau is het de NIS-richtlijn die bepaalde bedrijven kwalificeert als exploitanten van essentiële diensten.

Nadenken over gegevensverzameling

Naast de regels opgelegd door nationale en internationale wetten, is het ontwerp gebaseerd op verschillende onderzoeken. Deze studies hebben tot doel detectieregels te definiëren (waaraan we hieronder een paragraaf wijden). Ze zijn ontworpen om risico’s te dekken op basis van de meest waarschijnlijke gebruiksscenario’s die betrekking hebben op het grootste aantal mensen (detectie van phishing, malware, enz.) of scenario’s die specifieker zijn voor elke context. Een SOC identificeert dus wat er verschilt van een standaard.

Om de gegevens te verzamelen die nodig zijn om de detectieregels te ontwerpen, is het noodzakelijk om:

  • een risicoanalyse uit te voeren
  • de verzamelde gegevens die de uit de analyse geïdentificeerde risico’s dekt vast te stellen.

Nadenken over werkorganisatie

Het bouwen van een SOC vereist een complexe organisatie omdat deze 24/7/365 operationeel blijft. Een context die bepaalde vragen oproept op het vlak van werving en werkorganisatie: zonder analisten geen SOC.

SOC: de constructiefase of “build” fase

Zodra de bovenstaande informatie is verzameld, begint de “build”-fase. Deze fase is vrij technisch omdat het de configuratie van de SIEM is, oftewel Security Information and Event Management. Dit is de software waarmee een incident of afwijking kan worden gedetecteerd. De SIEM is geconfigureerd om te voldoen aan de behoeften en beveiligingscontext van elk bedrijf.

Om dit te doen, moet het gegevens verzamelen.

SIEM: welke gegevens moeten worden verzameld?

Het belangrijkste doel van de “build”-fase is:

  • om de SIEM in te stellen
  • zorg dragen voor het verzamelen van gegevens
  • gegevens extraheren en normaliseren
  • verrijk van de data met contextuele informatie
  • opstellen van de correlatieregels

De verzamelde gegevens zijn afkomstig van uiteenlopende bronnen zoals:

  • applicaties
  • user workstations en terminals (als het bedrijf een EDR-apparaat gebruikt)
  • infrastructuur of beveiligingsapparatuur (relay, firewall, antivirus, etc.)
  • Windows- en Linux-servers, fysiek, virtueel, op locatie of in de cloud
  • connected devices, industriële systemen, etc.

SIEM: Hoe bepaal je de detectieregels?

De implementatie van detectiescenario’s is een complex proces. Deze zijn gebaseerd op de analyse en correlatie van de verzamelde gegevens.

Om de juiste scenario’s voor uw bedrijf te bepalen, worden infrastructuurregels en zogenaamde ‘business’-regels opgesteld. Deze regels zullen ongetwijfeld evolueren volgens de realiteit van het veld en in het bijzonder als permanente monitoring van de logs is gepland.

SOC, SIEM: managing false positive

De SOC is ontworpen om waarschuwingen te genereren wanneer afwijkingen worden gedetecteerd. Deze waarschuwingen kunnen echter false positives zijn. Dat wil zeggen, het zijn geen echte dreigingen. Om dit type meldingen zoveel mogelijk te beperken, is een nauwkeurige definitie van de dreigingen en de acties van een scenario noodzakelijk.

Een slecht geconfigureerde SIEM verspilt veel analistentijd. Het is dus beter om de nodige tijd te besteden aan het bepalen van de configuratie voor uw bedrijf.

Opgemerkt moet worden dat het incorporeren van Threat Intelligence vooral voor de onderzoeksfase een effectieve oplossing blijft.

Beheer van de SOC-operatiefase

De inzet van een SOC in een bedrijf doorloopt de RUN-fase: dit is het gedrag van het SOC. Het is een kwestie van ervoor zorgen dat alarmen worden gemeld en onderzoeken worden uitgevoerd.

Zoals hierboven te zien is, moet een SOC continu worden gebruikt. Hiervoor zijn personele middelen nodig. U hebt analisten, operators en experts nodig om de SOC te beheren en te bewaken. In deze RUN-fase zijn er verschillende opties voor u beschikbaar. U kunt ervoor kiezen om een ​​intern team te vormen of de diensten van een extern team in te huren.

Het is ook mogelijk om de SIEM van het bedrijf te hosten binnen de infrastructuur van het bedrijf. Veel bedrijven kiezen voor cloud hosting. De organisatie van het personeel dat verantwoordelijk is voor het SOC moet onderdeel zijn van een grondigere studie en het regelgevend kader inzake dag/nacht-rotatie respecteren.

Ter illustratie: in Frankrijk ligt in 2020 het gemiddelde salaris van een junior SOC analist rond de 38.000 euro per jaar. Om 24/7 te kunnen opereren heeft een bedrijf minimaal zes analisten per team nodig, goed voor minimaal 230.000 euro per jaar. Naast deze kosten zijn er de kosten van werving, beheer en onderhoud van vaardigheden, evenals de aanschaf, ontwikkeling of integratie van software en infrastructuur waarvan het onderhoud in operationele of security condities moet worden gegarandeerd. Er moet ook rekening worden gehouden met de tijd die nodig is om het systeem operationeel te maken.

Niet alle bedrijven hebben de middelen om hun SOC op te bouwen. Dus wenden ze zich tot cybersecurity service providers.

Automatisering van alert management

Het automatiseren van een aantal vervelende taken die gepaard gaan met het runnen van het SOC is vaak een grote hulp voor operators en analisten. Er zijn veel automatiseringstools op de markt, waaronder die voor alert management. Andere zijn nog in ontwikkeling. Het is belangrijk om ze te kiezen op basis van hun werkelijke prestaties en volwassenheid.

De implementatie van automatisering vereist echter een voorwaarde op het gebied van efficiëntie en volwassenheid van de ingestelde detectiesystemen.

Conclusie

Een goed geconfigureerd SOC is uw beste bondgenoot bij het detecteren van dreigingen. Belangrijk is dat detectie- en correlatieregels regelmatig moeten worden bevraagd en bijgewerkt door deskundige, ervaren teams die op de hoogte zijn van de zakelijke context

Veiligheid is een reeks processen, geen product.

Klik hier voor onze whitepaper voor uitgebreidere informatie over het zelf bouwen van een SOC of ontdek onze Managed Detection en Response (MDR) Services.

Delen