SOC wat men je niet vertelt

De aanleiding voor een SOC is veelal dat je deze moet inrichten van een toezichthouder of een bepaalde wetgeving vereist het. Ben jij iemand die uit eigen beweging een SOC wilt realiseren, dan is er iets mis met je of je houdt van uitdagingen. Ik vind een SOC bouwen iets moois, maar naar mijn mening is dat duidelijk iets anders dan de verkopers van SIEM software je voorspiegelen. Na aanschaf van de software en inrichten van een ruimte met allemaal monitors, want zo hoort het toch, kunnen hackers worden gespot en gestopt. De realiteit is vaak anders. De ruimte met de schermen wordt meestal wel gecreëerd, maar het stoppen van de hackers gebeurt niet.

Waarom worden de hackers niet gestopt in een SOC?

Allereerst is men bezig met het aansluiten van logbronnen, bijvoorbeeld Firewalls en AD-servers. Ten tweede is men bezig met de ontwikkeling van use-cases. In de derde plaats kijkt men vaak alleen naar de alarmen die use-cases produceren, dus men ziet alleen dat iets bij de ontwikkeling van de use-case als risico werd gezien. Op de laatste plaats het onderhoud van de SIEM-software dat vaak meer tijd kost dan verwacht. Ondanks alle goede intenties van de SOC-medewerkers is dit vaak de realiteit. Het vinden van goede en voldoende mensen in de huidige markt is een belangrijke oorzaak dat het aantal goed functionerende SOC’s dun gezaaid is.

SOC

De 5 meest voorkomende issues bij het aansluiten van logbronnen

Het inrichten van een SOC is voor menig bedrijf een uitdaging want het is niet even een kwestie van de logbronnen aansluiten op de SIEM software en we kunnen aan de slag. Het oplossen van deze issues kost veel tijd en geld:

  • Logbronnen zitten bij derde partijen en daarmee moeten afspraken gemaakt worden.
  • Logbronnen worden niet altijd ondersteund en daarom is dure consultancy nodig.
  • Logbronnen zitten in netwerksegmenten die niet in contact staan met het netwerksegment waar de SIEM software zich bevindt.
  • Logbronnen worden beheerd door andere afdelingen die andere prioriteiten hebben.
  • Logbronnen leiden tot vele discussies binnen en buiten de IT-afdeling.

Welke use-cases heeft jouw bedrijf nodig?

Er zijn vele methodes en frameworks beschikbaar. MITRE ATT&CK® is hier een voorbeeld van. Ik adviseer om met ISO27001 te beginnen, dit omdat de use-cases vaak al out-of-the-box beschikbaar zijn en menig standaard is hierop gebaseerd. Uiteindelijk moet je met jouw use-cases het doel behalen dat je vooraf hebt bepaald in jouw risicoanalyses. Risicoanalyses dienen regelmatig te worden uitgevoerd dus niet alleen bij de inrichting.

Kan je hackers of hacks spotten als jij een goede use-cases hebt?

Dat is goed mogelijk. Toch zie je in eerste instantie veel false positives. Dit komt doordat je onvolkomenheden in jouw eigen IT gaat zien. Dit kan iets simpels zijn als een inlog die naar 3 AD servers wordt gestuurd, waardoor bij een foute login al een brute force alarm afgaat. Soms ontbreekt er netwerksegmentatie, waardoor het bepalen van datastromen erg lastig wordt. Afhankelijk van de kennis en kunde van jouw IT-afdeling en partners kan je beginnen met het tunen van use-cases op jouw bedrijf. Het tunen van use-cases is eigenlijk de drempelwaarden zo zetten dat jouw SOC niet overspoeld wordt met alarmen en toch de meest waarschijnlijke aanvallen opmerkt.

Moet je een SOC uitbesteden aan een derde partij?

Dit is geheel afhankelijk van jouw bedrijf. Een derde partij kan wel de expertise hebben, maar dat hoeft niet te betekenen dat zij je bedrijf kennen en dus ook de juiste use-cases maken.

Heeft een SOC zin voor jouw bedrijf?

Ja, want je kunt aantonen aan de auditor dat jij voldoet aan de gestelde eisen. Dat klinkt niet goed, maar zo zal toch in menig bedrijf gedacht worden. Een SOC is zinvol want ondanks alle opstartproblemen geeft het je meer inzicht in jouw IT en security. Uiteindelijk zal de beveiliging van jouw bedrijf verbeteren. Een goede aanpak en een duidelijk inzicht in de investeringen, kunnen het opzetten van een SOC tot een succes maken.

Vele vragen zijn hiermee natuurlijk nog onbeantwoord zoals “Wat is de beste aanpak voor het opzetten van een SOC?”, “Wat is de beste SIEM software?” en “Moet ik een SOC als al mijn applicaties in de Cloud draaien?”. Natuurlijk is het antwoord hierop “Dit is afhankelijk van je bedrijf”. Een SOC is altijd een vorm van maatwerk. Met deze zaken in het achterhoofd kan jij wellicht een betere start maken en meer bereiken met jouw SOC. Want het blijft natuurlijk wel iets heel moois om te bouwen.

WEBINAR

STATISTICS ON STEROIDS

8-DEC

Schrijf je gratis in!

Ander onderwerp?

Blijf altijd op de hoogte bij The Future Group en update jouw kennis! Is dit blogbericht toch niet helemaal wat je zoekt? Navigeer dan terug naar ons blogoverzicht.

Terug naar overzicht
Peter Kunkeler

Meer blogs van Peter lezen?

Bekijk dan alle blogs via onderstaande knop.

Alle berichten van Peter

Peter Kunkeler, Security

DEEL DIT BERICHT IN JE NETWERK:

MEER LEZEN?

Bekijk hier alle blogs.

Alle blogs