De processen van het SOC zijn vooral belangrijk omdat het detecteren, analyseren en reageren op dreiging op een consistente en voorspelbare manier moet gebeuren, die bij jouw organisatie past. In deze blog deel ik de vier belangrijkste processen en welke vragen je hierover moet stellen aan potentiële SOC-leveranciers.

Hoe blijft het SOC op de hoogte van het veranderende dreigingslandschap?

Het eerste proces dat cruciaal is voor een goede monitoring en detectie, is hoe de leverancier ervoor zorgt dat haar medewerkers op de hoogte zijn van de laatste dreigingen. De detectiemiddelen die ze voor je inrichten, moeten worden voorzien van de nieuwste updates om ervoor te zorgen dat je optimaal zicht hebt op het steeds veranderende dreigingslandschap. Daarnaast moet het SOC continu nieuwe detectie (use cases) ontwikkelen, testen en relevante dreigingsinformatie (geautomatiseerd) uitwisselen met andere SOC's. Een use case betreft een set van een of meerdere patronen van hackers, waaruit je kunt afleiden of een mogelijke aanval plaatsvindt of heeft plaatsgevonden.

Met alleen use cases ben je er niet; het SOC richt zich ook op 'bekende dreigingen', die in kaart zijn gebracht op basis van reeds beschikbare kennis. Naast de detectie van 'bekende dreigingen' creëert een SOC inzicht in afwijkingen op standaard gedragspatronen en slaat, indien nodig, alarm. Door aanvullend gebruik te maken van dreigingsinformatie (threat intelligence) worden ook dreigingen gedetecteerd die voor de organisatie op dat moment nog onbekend zijn. Het geautomatiseerd delen van deze informatie zorgt dat een organisatie snel voorzien is van actuele dreigingsinformatie. Alleen wanneer dit door de leverancier goed geregeld is, verklein je het risico om ten prooi te vallen aan dreigingen. Stel daarom altijd deze vier vragen aan een SOC leverancier:

Hoe blijft de leverancier op de hoogte van het veranderende dreigingslandschap? Hoe past de leverancier dreigingsinformatie toe in haar dienstverlening? Welke methodiek gebruikt de leverancier om nieuwe detectie (zoals use cases) te ontwikkelen? Welke continue ontwikkeling van detectie kunnen we gedurende het gehele contract verwachten?

Hoe past maatwerk in een gestandaardiseerde dienst?

Het tweede proces draait om maatwerk. Door alleen te monitoren op 'generieke' use cases mis je wellicht inzicht in klantspecifieke dreigingen. Een goed SOC gaat met jouw organisatie in gesprek over jullie risico's. Het is daarom belangrijk om te zorgen voor inzicht in de risico's en de belangrijkste data, oftewel de kroonjuwelen, en de daarbij behorende (informatie)systemen. In de praktijk blijkt echter dat het lastig is om als organisatie inzicht in deze risico's te geven.

Een goede leverancier weet dat iedere organisatie uniek is en helpt dan ook bij het verkrijgen van het benodigde inzicht voor security op maat. Daarnaast zorgt een goede leverancier ervoor dat er periodiek opnieuw naar de risico's wordt gekeken om samen te komen tot nieuwe, specifieke use cases. Richt samen je detectie goed in door de volgende vragen te stellen:

Op welke wijze detecteert het SOC dreigingen die passen bij onze risicobehoefte (risk appetite)? Hoe zorgt de leverancier dat het inzicht in klantspecifieke dreigingen en risico's optimaal is ingericht?

Enkel de detectiesnelheid geeft onvoldoende inzicht of een SOC-leverancier de juiste partner voor jouw organisatie is.

Hoe zorgt het SOC voor consistente en voorspelbare analyse?

Het detecteren, en met name de snelheid daarvan, staat bij de keuze van het SOC altijd volop in de schijnwerpers. Uiteraard is het belangrijk om af te stemmen dat het geen dagen duurt voor je op de hoogte wordt gesteld van gedetecteerde dreigingen. Maar misschien nog wel belangrijker is het stellen van de vraag: 'Stel er gebeurt iets, welke informatie ontvang ik dan?' Als het SOC je alleen voorziet van een melding, heb je zelf de expertise nodig om de dreiging in te schatten, te begrijpen en erop te acteren. Met alleen de technische informatie kun je zonder kennis over de risico's en impact op de organisatie ook vrij weinig.

Wat je nodig hebt is advies vanuit het SOC. Je wil weten wat er moet gebeuren om de dreiging te mitigeren. Bij de ontwikkeling van use cases is het essentieel om direct na te denken over de opvolging ervan. Er wordt een zogenaamd playbook ontwikkeld waarin alle activiteiten beschreven staan die een analist moet uitvoeren. Dit zorgt ervoor dat het onderzoek altijd op een consistente wijze wordt uitgevoerd, ongeacht welke analist het event oppakt. Bij slimme playbooks kunnen deze activiteiten zelfs (volledig) geautomatiseerd worden, waardoor de snelheid van analyse enorm verhoogd wordt. De analist hoeft immers niet meer handmatig alle informatie te verzamelen. Stel daarom altijd de volgende vragen bij de keuze van een SOC:

Hoe snel detecteert het SOC dreigingen? Hoe snel informeren jullie mij over deze dreiging? Welke informatie ontvang ik bij een incident en hoe wordt dit gerapporteerd? In hoeverre is de opvolging van events geautomatiseerd?

Wat mogen we verwachten nadat een incident is gedetecteerd?

Tot slot komen we aan bij het laatste proces: wat gebeurt er na de detectie? Vaak ben je als klant zelf verantwoordelijk voor het mitigeren van de dreiging, soms helpen SOC's je hierbij. Kunnen zij bijvoorbeeld direct (geautomatiseerd) aanpassingen in jouw systemen doen of alleen advies geven over de beste respons?

Maak hierover afspraken met het SOC en leg deze vast in een draaiboek. Hou in dit draaiboek ook rekening met derden die diensten aan jouw organisatie leveren waar mogelijk ook activiteiten moeten plaatsvinden. Ook daar moet je afspraken mee maken over de opvolging bij incidenten en dreigingen. Idealiter maakt het managed SOC ook afspraken met andere partijen zodat beperking en mitigatie sneller kan plaatsvinden. Je hoopt natuurlijk dat je al deze afspraken niet nodig hebt, maar het is goed om er wel over na te denken. Zo ben je er, wanneer er iets gebeurt, zeker van dat je weet welke acties uitgevoerd worden, door wie en hoe snel. Op deze manier loop je niet onnodig lang risico. Vragen die je dus zeker moet stellen zijn:

Hoe zorgen we ervoor dat alle partijen samenwerken in het belang van onze veiligheid? Wat kan ik van jullie verwachten bij een incident? Hoe wordt het handelen bij detectie standaard ingericht? Welke hulp kan ik verwachten bij het maken van een draaiboek? Wat kan ik van jou als leverancier verwachten en wat moet ik zelf inrichten?

Het is nu wel duidelijk dat alleen vragen over enkel detectiesnelheid onvoldoende zijn om inzicht te geven of een SOC-leverancier de juiste partner voor jou is. Richt je vooral op het innovatieve vermogen, het bijhouden van de laatste dreigingen en welke opvolging je mag verwachten. Die zaken bepalen of een SOC daadwerkelijk het verschil maakt en de eventuele schade beperkt bij een aanval. Dat maakt dat jij je bezig kunt houden met de business en je geen zorgen hoeft te maken over cyberdreigingen.

Ronald van der Westen is Manager SOC, Service Design & Architecture bij Motiv ICT Security