Supercharge your Security Operations Center

Het SOC moet efficiënter werken om de opkomende golf van cyberdreigingen tegen te houden. Een logische beginstap is het kijken naar de bedrijfscultuur en de technologische aanpak. Dit kan mogelijkheden onthullen om de effectiviteit te vergroten.

Het toenemende belang van incident response
Een goed functionerend IR-team kan een indrukwekkende return on investment opleveren. Uit het Ponemon Cost of a Data Breach-rapport 2020 blijkt dat datalekken ruim 3 miljoen dollar kosten voor bedrijven met een IR-team dat regelmatig zijn incident response-plan test. Dat is 2 miljoen dollar minder dan voor bedrijven zonder IR-team.

Veel incidenten waar sprake is van een datalek kosten meer dan alleen maar geld. Geen enkele organisatie staat op zichzelf. Elk bedrijf maakt deel uit van een groter geheel. Een incident heeft daarom meestal ook negatieve effecten op partijen in de gehele value chain. Sommige van deze effecten kunnen pijnlijk persoonlijk zijn.

Een voorbeeld van zo’n incident is de cyberaanval op Vastaamo, het grootste privé therapiecentrum van Finland. Tijdens de cyberaanval stalen de aanvallers niet alleen duizenden gevoelige gegevens van patiënten. Ze chanteerden ook de eigenaren van deze data en dreigden hun gegevens openbaar te maken. In deze zaak ging het dit niet alleen om geld, ook liepen personen gevaar.

Tijd is een essentiële factor. Hoe krijgen we die?
Omdat er veel op het spel staat, is het op de juiste manier detecteren en afhandelen van cyberdreigingen essentieel. Maar hoe kunnen SOC's hun effectiviteit meten en verbeteren?

Het incident response-proces omvat verschillende fasen: de risico’s minimaliseren, het incident identificeren, beheersen, reageren, opschonen en herstellen. In de meeste fasen is tijd een essentiële factor. Er moet snel worden gereageerd, zowel bij het detecteren als neutraliseren van een aanval.

Aanvallers worden echter steeds sneller en dus ook schadelijker. SOC’s hebben moeite om de aanvalssnelheid bij te benen. Dit komt vaak doordat er onsamenhangende security-tools worden gebruikt.

Wanneer SOC’s geconfronteerd worden met nieuwe dreigingen, waarbij vaak gebruik wordt gemaakt van nieuwe technieken, zoeken veel van hen naar middelen die op deze nieuwe technieken inspelen. Voor elke dreiging wordt een ander middel ingezet. Mensen hebben de neiging om bij het omgaan met onbekende bedreigingen allerlei extra tools te willen gebruiken, in plaats van aanpassingen te maken aan de huidige middelen. Hierdoor ontstaat er een arsenaal van verdedigingstools, die niet strategisch worden ingezet.

Als teams stapsgewijs allerlei security-tools installeren, eindigen ze vaak met een scala aan hulpmiddelen die niet goed samenwerken. Hierdoor is de workflow onsamenhangend en heeft die geen geautomatiseerde herstelmogelijkheden. Dit maakt SOC's te sterk afhankelijk van menselijke handelingen. De mens dient dan de hiaten op te vullen die de technologie heeft achtergelaten. Mensen kunnen dit echter niet op hoge snelheid of in realtime doen. Dit soort menselijke knelpunten maken de organisatie kwetsbaar.

Door die slechte interoperabiliteit zit belangrijke beveiligingsinformatie vast in verschillende silo's. Dit maakt het werk voor bedrijfsanalisten moeilijk. De gegevens die zij hebben zijn niet goed gefilterd door een gecoördineerde keten van oplossingen, waardoor de signal-noise ratio toeneemt en aanvallen moeilijker te herkennen zijn. Dit zorgt voor meer false-positives en ook kan het voorkomen dat meldingen die er wél toe doen niet als zodanig herkend worden. Analisten missen daarnaast ook de contextuele gegevens die hen een completer beeld kunnen geven van een opkomende dreiging, met aanvullende informatie over de vorm, betekenis en reikwijdte ervan.

Deze zwakke punten zorgen voor een onsamenhangend incident response-proces dat moeilijk te controleren en te begrijpen is. Bij elke stap in het proces hebben operators de keuze tussen te veel opties. Er ontbreekt een samenwerkingsplatform dat de mogelijkheid biedt snel te kunnen reageren.

Het is dan ook geen verrassing dat in het Ponemon-rapport werd vastgesteld dat de complexiteit van het beveiligingssysteem de duurste factor is bij het beoordelen van de kosten van een datalek. Het verhoogt de kosten van een datalek met gemiddeld 292.000 dollar.

The way forward
Uw SOC-team heeft de potentie om deze uitdagingen het hoofd te bieden. Om dit te bereiken moet eerst uw huidige incident response-proces in kaart worden gebracht en beoordeeld. Focus hierbij op de resultaten. Het proces moet er namelijk op gericht zijn om vooraf vastgestelde doelen te bereiken.

De doelen kunnen meetbaar gemaakt worden door ze te koppelen aan specifieke metrics. Evalueer de door u gebruikte metrics die uw succes meten. Zoek hierbij naar zaken die nu niet goed gemeten worden en die u daarom kwetsbaar kunnen maken vanwege slechte prestaties. Is het mogelijk om ze op te splitsen in factoren en vast te stellen wat hen positief zou beïnvloeden?

In de vroege stadia van de incident response-keten moeten metrics gericht zijn op preventie. Hoe beoordeelt u het risiconiveau voor verschillende assets en het mogelijke effect ervan op de organisatie? Gebruikt u een wiskundige benadering om risico’s vast te stellen op basis van de beschikbare middelen?

In latere stadia van het proces moeten metrics gericht zijn op de tijd die ervoor nodig is om cyberaanvallen te identificeren, beheersen, neutraliseren. Ook moet er rekening gehouden worden met de tijd die nodig is om van zo’n cyberaanval te herstellen.

Met de juiste meettechnieken tot uw beschikking kan gewerkt worden aan het bouwen van een naadloos end-to-end incident response-proces. Binnen dit proces moeten er heldere procedures en rollen gedefinieerd worden, zodat er geen enkele dreiging doorheen glipt.

Om het proces te ondersteunen, moeten de security-tools geïntegreerd worden. De ideale keten van tools ondersteunt uitgebalanceerde gegevensstromen die het aantal overdrachten en tool- of platformwijzigingen verminderen of elimineren. Dit stelt operators in staat zich bezig te houden met taken zoals het wijzigen van firewallregels over de gehele linie, zonder dat ze hierbij elke platformeigenaar afzonderlijk om hulp moeten vragen. Ze hebben bovendien volledig inzicht in de geschiedenis en omvang van een dreiging. Daarnaast kunnen analisten de verzamelde data in één vertrouwde omgeving inzien in plaats van dat ze steeds moeten switchen tussen verschillende omgevingen. Dit bespaart ze tijd en hersencapaciteit. Processen die dagen duurden, kunnen in enkele minuten worden uitgevoerd.

Een geïntegreerde tool chain biedt een solide platform voor automatisering. Door geautomatiseerde workflows te definiëren die uw incident response-proces ondersteunen, wordt de menselijke interactie en dus de latency verminderd. Dit heeft een gunstig effect op de met tijd gemoeide metrics. Dit biedt analisten tijd om zich bezig te houden met strategische beslissingen.

Dit optimalisatieproces heeft, wanneer het op de juiste manier wordt uitgevoerd, positieve gevolgen voor uw SOC. Een reactieve benadering van incident response maakt plaats voor een toekomstgerichte aanpak, gedreven door heldere doelen zoals vroege detectie en een snelle beheersing van cyberaanvallen. Te lang hebben we alleen op basis van voorkennis gehandeld, waardoor we onszelf niet konden verdedigen tegen nieuwe aanvallen. Een nieuwe benadering zorgt ervoor dat u beter voorbereid bent op opkomende dreigingen en dat, wanneer deze dreigingen zich voordoen, u er beter op kunt reageren.

Het verbeteren van de verdedigingstools en het versnellen van uw reactietijd reduceert de detectietijd van cyberaanvallen, waardoor cybercriminelen minder lang ongezien hun gang kunnen gaan. Doordat het hele proces meer geïntegreerd is kunnen workflows geautomatiseerd worden. De totale impact van een cyberaanval kan hierdoor verminderd worden. Sterker nog, een cyberaanval kan hierdoor helemaal voorkomen worden.

Door Jan Tietze, Security Director, EMEA