Effectieve security monitoring in twee stappen

| Motiv | 3 min | 12 juni 2020 8:58
Gewaardeerd
Copyright: Motiv
In het securitylandschap werden Security Information en Event Managementsystemen (SIEMs) lang als heilige graal gezien. Security Operation Centers (SOC) werden daarentegen vaak buiten de deur gehouden – we kunnen toch wel zelf de problematiek rondom security oplossen? De afgelopen jaren heb ik een tweetal belangrijke lessen geleerd als het aankomt op effectieve security monitoring. Wat blijkt? Federated SOC’s winnen aan populariteit. En die zitten júíst achter je eigen deur.

Les 1. Nauwe en lokale samenwerking

Een nauwe samenwerking met een klant is de allerbelangrijkste component wat betreft security. Je moet je klant door en door kennen. Het credo één team, één taak zorgt hier voor de snelste afhandeling van security-incidenten en de minste schade. De onboarding van een SOC is daarom heel belangrijk, evenals constante verbetering van de dienstverlening. Spreek daarom uit wat je verwacht van een SOC en heb helder wat een SOC voor je kan betekenen. Een volledig on-premise SOC is dan ook niet altijd nodig, zeker gezien de schaarste van IT-specialisten. Een hybride oplossing, met zowel een centraal SOC met centrale tooling en processen als een specialist die op de klantlocatie actief is, biedt veel organisaties uitkomst.

Op deze manier kom je ook tegemoet aan een veelvoorkomend probleem: de barrière die afstand heet. Als men op afstand werkt, kan het contact al snel onpersoonlijk worden. Het liefst zit je toch tegenover elkaar: zodra een melding van een incident binnenkomt, kun je deze snel samen afhandelen. Dit wordt mogelijk met een federated SOC. Daarnaast maakt direct contact dat mensen spontaner informatie delen, je met elkaar de situatie beter kunt inschatten en dus snellere incident response krijgt. Resultaat: minder bedrijfsschade.

Les 2. Geen hooiberg 2.0, maar volledig inzicht

Traditionele SIEMs beperken hun detectie vaak tot bekende dreigingen en hanteren beperkte monitoringperiodes. Detectie vindt primair plaats op loginformatie en use cases hebben weinig correlatiemogelijkheden. Zonder volledig inzicht in gebeurtenissen die nu, maar ook in het verleden gebeurd zijn, zet je helaas geen effectieve security monitoring neer. Zo is het plaatsen van gebeurtenissen in een bepaalde context (met informatie over die context), net als inzicht in relevante externe dreigingen en inzicht in eigen on-premise-, cloud-, IT- en OT-oplossingen van belang. Door volledig inzicht te hebben in verschillende situaties en locaties, ben je beter voorbereid op mogelijke aanvallen. Zo detecteren SOC’s dreigingen op drie niveaus: interne kwetsbaarheden, externe dreigingen en werkelijke aanvallen. Daarnaast speelt je infrastructuur een belangrijke rol. Op het moment dat deze in stukken is geknipt, oftewel je leveranciers doen zelf aan security monitoring in hun eigen oplossing, is het lastig om het als één geheel te laten werken. Hoe blijf je dan nog in control over alle security-initiatieven die een partij levert? Eén hub waarin alles samenkomt, is dus gewenst.

Verbondenheid maakt sterk

Naast de lokale samenwerking en de mogelijkheden qua detectie, zit de meerwaarde van federated SOC’s in de zogehete SOC federation service. Dit multi-vendor landschap laat alle autonome SOC’s met elkaar communiceren op een overkoepelend niveau. Op deze manier heb je 100 procent inzicht in de actuele securitystatus van het totale dreigingslandschap. De alerts van verschillende SOC’s worden gebundeld, waardoor dreigingen worden ontdekt die vervolgens dienen als universele use cases. Op basis van deze use cases kunnen weer incident response playbooks worden gemaakt. Daarnaast liggen er veel kansen op het gebied van klantspecifieke content. Hiermee bedoel ik de ontwikkeling van klantspecifieke use cases en betere triage en analyse. Zo kun je sneller inschatten of een alert inderdaad een incident is en kunnen incidenttickets ook sneller gesloten worden. Zeker voor bedrijven die geen op zichzelf staand SOC nodig hebben, biedt een federated SOC een goedkoper en schaalbaar alternatief.
Auteur: Gerard Klop, Product Manager Security bij Motiv

Hoe vind je dit artikel?


Waardering: Uitstekend (5 ratings).

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Motiv

Motiv is een Nederlandse, private onderneming die al 20 jaar toonaangevend is als cybersecurity- dienstverlener. Motiv voorziet organisaties in zowel de publieke als de private sector van ICT-Securityoplossingen en –diensten ter voorkoming van cybercriminaliteit, datadiefstal en datalekken. De ervaren security-professionals van Motiv identificeren zorgvuldig beveiligingsrisico’s bij klanten en bieden, door het combineren van hoogwaardige kennis, slimme ideeën en technologische mogelijkheden, innovatieve oplossingen die zorgen voor optimaal beveiligde bedrijfsprocessen en –toepassingen.
Meer over Motiv

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029224512.jpg
Het no-nonsense internetbureau
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.