Management

Dit is een bijdrage van Northwave
Cloud
northwave

Cloud-native security monitoring is game changer

SOC/SIEM gebouwd voor cloud zorgt voor snellere respons en betere analyse

19 mei 2020
Door: Northwave, partner

SOC/SIEM gebouwd voor cloud zorgt voor snellere respons en betere analyse

Hoewel het pas een jaar geleden is dat Microsoft de eerste cloud native SIEM-technologie onder de naam Azure Sentinel introduceerde, bestormt de ICT-leverancier de markt met deze security-oplossing. “Al onze klanten die met Microsoft werken vragen ons: moeten wij wel of niet gaan werken met Sentinel”, zegt Christiaan Ottow, CTO en manager van het Security Operations Center bij Northwave.

Wie permanent zijn IT-infrastructuur wil bewaken, kan dat doen met een goede SIEM-oplossing (security information event management tool). Tot voor kort was er alleen SIEM-technologie beschikbaar die onafhankelijk was van andere technologieën, zoals bijvoorbeeld AlienVault, ArcSight, LogRythm, Splunk en Q-Radar (IBM). Maar Azure Sentinel van Microsoft heeft in een jaar tijd een grote vlucht genomen.

Cloud-native is game changer

Gebruikers van Microsofts cloud aanbod Office 365 kunnen hierop aanhaken voor betere beveiliging. De oplossing is dan ook specifiek ontwikkeld voor clouddiensten. Ottow: “Doordat alles is geïntegreerd in  één oplossing geeft dit SIEM de mogelijkheid om veel sneller en dieper op een alert door te graven. Wie heeft binnen de organisatie nog meer op de phishing-mail geklikt? Aan welke Office-events is dit Defender-incident gerelateerd? Die koppelingen kan Sentinel maken doordat het de verschillende Microsoft-diensten integreert.”

Dat maakt van deze technologie wat Northwave betreft een game changer. “Als je ervan uit gaat dat steeds meer security-incidenten plaatsvinden, is het van groot belang om deze zo snel mogelijk te detecteren en natuurlijk hierop zo snel mogelijk te reageren. Klanten betalen voor de dienst naar gebruik. Zelfs voor klanten die niet werken met een Microsoft cloud-omgeving is het mogelijk deze dienst af te nemen. Want verder werkt Sentinel net als andere SIEM’s”. Het platform kan ook ‘niet-Microsoft’ bronnen betrekken in de analyse. Om die aansluiting ook goed te maken vraagt wel veel specifieke security  kennis”, zegt Ottow.

Expertise blijft belangrijk

Bedrijven krijgen dus op een laagdrempelige manier veel meer grip op hun security. Dat is  tegelijkertijd de valkuil van het systeem, waarschuwt Ottow. “Geen enkel SIEM is plug and play, ook Sentinel niet. Niet voor niets heeft Microsoft ons benaderd om hun partnerkanaal te versterken met specifieke security expertise.  De belofte van eenvoud en de laagdrempeligheid van een cloud native SIEM levert wat mij betreft toch wat schijnzekerheid op.”

Veel gewone IT-leveranciers bieden bovendien opeens SOC diensten volgens Ottow. “De gedachtegang is: ‘als wij Sentinel voor klanten aanzetten, hebben wij een SOC’. Maar het draait bij een goede security-aanpak niet alleen om een tool en het zetten van een paar vinkjes. Waar het om gaat is dat je begrijpt wat de informatie uit een SIEM betekent. Alleen echte experts zijn in staat op basis van zo’n alarm degelijk onderzoekt te doen naar oorzaak en gevolg en dat te vertalen in een adequate response. Dat is hoogwaardig vakwerk en dat blijft het. Daarbij is het natuurlijk ook maar de vraag of je jouw IT-beheerders ook deze bewaking wilt laten doen. Organisaties die hun beveiliging serieus nemen, sluiten hun IT-beheerders zelfs bewust uit van het leveren van SIEM/SOC diensten, om te voorkomen dat het de slager is die zijn eigen vlees keurt.”

Northwave’s Sentinel SOC

Hoe Norhtwave’s Sentinel SOC werkt? Ottow: “Azure Sentinel is actief binnen de Azure omgeving van de klant zelf. Wij beheren die omgeving vanuit onze Sentinel SOC, dus de data blijft altijd bij de klant. De meeste klanten hebben meer dan alleen een Microsoft-omgeving. Ze werken vanuit een hybride situatie, vaak met meerdere clouds, datacenters en on-premise IT. Er is veel kennis en ervaring nodig om dat totale landschap goed in de Sentinel SIEM omgeving onder te brengen.” 

De samenwerking tussen de analisten van Northwave en de IT-beheerders van de klant is een tweede essentiële voorwaarde voor een goede SOC dienst. Want IT weet alles van de eigen infrastructuur waar Northwave’s analisten de security experts zijn. “Enerzijds is het daarom heel belangrijk om de inrichting van het SOC samen te doen, anderzijds is het implementatietraject heel belangrijk om heel veel informatie uit te wisselen. Door veel te praten en maandelijks op tactisch maar ook op operationeel niveau te rapporteren, kunnen wij gezamenlijk de beste prestaties halen.”

Business, bytes & behaviour

Northwave integreert SIEM/SOC diensten op basis van Azure Sentinel in haar 360 graden aanpak voor Informatiebeveiliging. Ottow: “Het belangrijkste is om voordat een SIEM wordt ingezet eerst alle risico’s duidelijk in kaart te brengen. Op basis van de risicoanalyse richten wij de monitoring in. Daarbij kijken wij naar maatregelen op het gebied van organisatie, techniek en mens, bij Northwave hebben wij het altijd over Business, Bytes en Behaviour, want security moet je integraal bekijken. Onze SOC diensten sluiten dus naadloos aan op onze Security & Privacy Office as a Service, onze RedTeam diensten en onze doorlopende Awareness programma’s. Dat zorgt voor een heldere 360 graden aanpak van informatiebeveiliging die niets aan het toeval overlaat.”

KADER: Visie Microsoft

Mike Rodenburg, Partner Technology Strategist bij Microsoft: “De belasting en complexiteit van de IT-infrastructuur neemt nog steeds toe. Het aantal gegevens dat bedrijven creëren en uitwisselen en het aantal devices dat is gekoppeld aan de infrastructuur groeit exponentieel. De producten in ons platform hebben security built in. Met AI en Machine Learning filteren wij zo veel mogelijk ruis maar correleren ook informatie tussen de diverse producten binnen ons platform. Op alles wat overblijft kunnen analisten op focussen, want de factor ‘mens’ blijft belangrijk. We verschuiven hiermee van monitoring en detectie naar response en automation en geïntegreerde onderzoekservaring. Niet alleen voor cloud maar ook hybride en 3rd party door het bieden van connectoren zoals bijvoorbeeld Citrix, F5 en AWS.
Het partnerkanaal van Microsoft is essentieel om onze producten naar de markt te brengen. Met de komst van ons cloud native Azure Sentinel zien wij een kans in het type samenwerking. De traditionele cybersecurity partners hebben een focus op on premise infrastructuren. Maar er is vraag om cloud-diensten te monitoren. Daarom brengen we partners samen. Samen met Northwave en een system integrator kunnen wij klanten met een totaaloplossing bedienen. Omdat system integrators meestal niet de specialistische cybersecurity kennis hebben maar sterk zijn in deployment en configuratie van ons platform. Door een partner2partner-samenwerking kunnen wij klanten in de cloud helpen.”

 

Reactie toevoegen