Een SOC is niet te verwarren met de sokken aan je voeten maar is een heuse security-oplossing die heel wat bedrijven een hoop geld en kopzorgen kan besparen. We spraken met Robin Bruynseels, Cybersecurity en SOC engineer bij Easi, die ons haarfijn kon uitleggen wat het is en hoe het werkt.
Een SOC, of een Security Operations Center, is een geheel van mensen (security experten) en tools dat tot doel heeft veiligheidsincidenten voor bedrijven te beheren.
Wanneer zich beveiligingsincidenten voordoen, kunnen deze experts de juiste beslissingen nemen en maatregelen treffen om deze incidenten te verhelpen en het bedrijf te beschermen en dat zo snel mogelijk.
Een SOC geeft een bedrijf de visibiliteit die nodig is om snel te kunnen reageren in geval van een probleem.
Het is vandaag bekend dat veiligheidsincidenten zich voordoen, maar vaak worden ze niet op tijd ontdekt. Soms ontdekt een bedrijf een incident pas na een paar weken of maanden. Dit geeft de kwaadwillige genoeg tijd om te handelen en zich te oriënteren.
Met een SOC kan je snel reageren en het risico op datalekken, fraude of andere risico's voor het bedrijf beperken. Een SOC werkt namelijk 24/7 en monitort continu de IT-omgeving, op deze manier zit de SOC er steeds bovenop wanneer er iets gebeurt.
Een SOC genereert een grote hoeveelheid gegevens die moeten worden beheerd en verwerkt. De onderneming moet kunnen weten welke gegevens het eerst moeten worden verwerkt, maar ook welke gegevens niet relevant zijn.
Er is inderdaad een verschil tussen wat een alert en een incident wordt genoemd. Een alert kan worden gezien als een eenvoudige melding in verband met een specifieke gebeurtenis. Een incident, daarentegen, is een reeks alerts die een incident zullen genereren. Voor bedrijven is het de bedoeling om actie te ondernemen wanneer zich een incident voordoet, maar niet noodzakelijkerwijs om te springen bij elke alert.
Voor bedrijven is het een echte uitdaging om te weten waar het verschil tussen de twee ligt en om correct te kunnen reageren om geen tijd te verliezen aan valse positieven.
Daarnaast moet je heer en meester zijn over je omgeving, je moet de informatiestromen kennen, weten wie er aanwezig is in de omgeving, maar ook of er een 3th party aan de pas komt.
Naast het grondig kennen van je netwerk zijn de tools die je gaat gebruiken om een SOC op te bouwen belangrijk, ze dienen je voldoende visibiliteit te bieden en moeten vooral goed afgestemd kunnen worden op elkaar dankzij integraties. Dit zal het fundament van je SOC vormen.
Een SOC kan door elk type onderneming worden gebruikt, maar elk op zijn eigen niveau. Het is niet nodig zwaar geschut in te zetten voor bedrijven die niet over de middelen of het aantal mensen beschikken om hun SOC naar behoren te beheren.
Er is niet één situatie die beter is dan de andere. Ook hier zal alles afhangen van de situatie van de onderneming.
Een bedrijf dat over het nodige personeel en de nodige middelen beschikt, zou de SOC intern kunnen verzorgen, maar dat is niet altijd het geval, en in die gevallen is het beter om het uit te besteden.
Zoals we tijdens de coronapandemie hebben gezien, worden we met steeds meer cyberdreigingen geconfronteerd.
Hoewel een SOC een belangrijke rol speelt in de IT-security situatie van een bedrijf, zal het in de komende jaren zeker evolueren. De SOC die wij vandaag kennen, zal er niet uitzien als de SOC van 1 of 5 jaar later.
Dit is waar het voordeel van een gespecialiseerde security provider ligt. Die zal de verschillende evoluties volgen en zijn klanten begeleiden, zodat zij steeds mee-evolueren met de oplossingen en de nieuwe soorten bedreigingen.