Wat is een Security Operations Center (SOC)?
Optimalisering van een model voor beveiligingsactiviteiten
Hoewel de afhandeling van incidenten een groot deel van de resources van het SOC monopoliseert, is de chief information security officer (CISO) verantwoordelijk voor het grotere geheel van risico’s en compliance. Om operationele en gegevenssilo’s tussen deze functies te overbruggen, vereist een effectieve strategie een adaptieve beveiligingsarchitectuur die organisaties in staat stelt geoptimaliseerde beveiligingsactiviteiten uit te voeren. Deze aanpak verhoogt de efficiëntie door middel van integratie, automatisering en orkestratie, en verlaagt het aantal benodigde arbeidsuren terwijl de beheershouding van uw informatiebeveiliging wordt verbeterd.
Een geoptimaliseerd model voor beveiligingsactiviteiten vereist de invoering van een beveiligingsraamwerk waarmee beveiligingsoplossingen en bedreigingsinformatie gemakkelijk in de dagelijkse processen kunnen worden geïntegreerd. SOC-tools zoals gecentraliseerde en bruikbare dashboards helpen bedreigingsgegevens te integreren in dashboards en rapporten voor beveiligingsbewaking om de bedrijfsvoering en het management op de hoogte te houden van zich ontwikkelende gebeurtenissen en activiteiten. Door bedreigingsbeheer te koppelen aan andere systemen voor risico- en nalevingsbeheer, kunnen SOC-teams de algehele risicopositie beter beheren. Dergelijke configuraties ondersteunen doorlopend overzicht over systemen en domeinen en kunnen bruikbare informatie gebruiken om de nauwkeurigheid en consistentie van beveiligingsactiviteiten te verbeteren. Gecentraliseerde functies verminderen de last van handmatige gegevensuitwisseling, auditing en rapportage.
Het operationaliseren van bedreigingsbeheer moet beginnen met een doordachte beoordeling. Naast de verdediging moet een organisatie ook processen en beleidslijnen evalueren. Waar is de organisatie sterk? Wat zijn de hiaten? Wat is de risicopositie? Welke gegevens worden verzameld, en hoeveel van die gegevens worden gebruikt?
Hoewel elke organisatie anders is, zijn bepaalde kerncapaciteiten en best practices op het gebied van beveiligingsactiviteiten vandaag de dag de juiste zorg. Een redelijk proces voor bedreigingsbeheer begint met een plan en omvat ontdekking (inclusief berekening van de basislijn ter bevordering van de detectie van anomalieën, normalisering en correlatie), triage (op basis van risico en waarde van bedrijfsmiddelen), analyse (inclusief contextualisering) en scoping (inclusief iteratief onderzoek). Processen voor dreigingsbeheer voeden geprioriteerde en gekarakteriseerde gevallen in programma’s voor respons op incidenten. Een goed gedefinieerd responsplan is absoluut essentieel om een bedreiging in te dammen of de schade van een datalek tot een minimum te beperken.
Figuur 1. Plannen voor bedreigingsbeheer integreren en structureren veel processen binnen de beveiliging en IT-activiteiten.
Effectief overzicht en bedreigingsbeheer maken gebruik van veel gegevensbronnen, maar het kan moeilijk zijn om de nuttige en tijdige informatie te sorteren. De meest waardevolle gegevens blijken eventgegevens te zijn die worden geproduceerd door tegenmaatregelen en IT-middelen, indicators of compromise (IoC’s) die intern (via malware-analyse) en extern (via threat intelligence feeds) worden geproduceerd, en systeemgegevens die beschikbaar zijn via sensoren (bijv. host, netwerk, database, enz.).
Dergelijke gegevensbronnen zijn niet alleen een input voor bedreigingsbeheer. Zij voegen context toe en maken de informatie waardevol en bruikbaar voor preciezere, nauwkeurigere en snellere beoordeling gedurende de gehele iteratieve en interactieve inspanning op het gebied van bedreigingsbeheer. Toegang tot en doeltreffend gebruik van de juiste gegevens ter ondersteuning van plannen en procedures is een maatstaf voor de mate van volwassenheid van de organisatie. Een “volwassen” scenario zou een workflow omvatten die de juiste informatie doorgeeft of directe actie binnen operationele consoles en over producten heen mogelijk maakt. Deze stroom integreert IT-operations en beveiligingsteams en -tools in de respons op incidenten wanneer zich een kritieke gebeurtenis voordoet.
Al deze beoordelingen helpen bij het vaststellen van de prioriteiten die moeten worden gesteld bij het verhogen van de investeringen of het verminderen van de wrijving om de implementatie van threat management op de doelstellingen af te stemmen. Consultants en penetratietests kunnen helpen bij het benchmarken van de strategie en de volwassenheid van de organisatie en bij het toetsen van de beveiligingsrespons aan aanvallen om een actuele meting te verkrijgen van het vermogen van een organisatie om schadelijke gebeurtenissen op te sporen en in te dammen. Door een vergelijking te maken met soortgelijke ondernemingen kan deze doorgelichte beoordeling helpen de noodzaak van heroriëntering van of investeringen in middelen voor cyberbeveiligingsactiviteiten te rechtvaardigen en uit te leggen.