Bij detectie van een dreiging zoals malware, een cyberinbraak of een datalek is het van groot belang dat direct wordt ingegrepen. Een Security Operations Center (SOC) helpt de schade bij een cyberincident te beperken. Hoe zorgen we ervoor dat een SOC de aanvaller te snel af is? Bastiaan Bakker, security specialist bij Motiv beantwoordt deze vraag.
Een korte reactietijd kan bij cyberaanvallen veel winst opleveren. Bakker: “Als u bijvoorbeeld een inbraak op uw bedrijfsnetwerk detecteert en deze aanval direct kunt stoppen, beperkt u hiermee de schade die de aanvaller kan aanrichten. Denk echter ook aan een uitbraak van ransomware, een agressieve vorm van malware die data en volledige systemen in gijzeling neemt door deze te versleutelen. Als u deze malware vroegtijdig detecteert en direct stopt, kan de malware veel minder data versleutelen. De schade blijft daardoor beperkt.”
Steeds meer alarmmeldingen
Om cyberaanvallen te detecteren, analyseren slimme inbraaksensoren continu het netwerkverkeer. Als in dit verkeer signalen worden ontdekt die kunnen wijzen op een cyberaanval, creëren de oplossingen een alarmmelding. Bakker licht toe: “Organisaties worden met een toenemende hoeveelheid dreigingen geconfronteerd en nemen steeds meer beveiligingsoplossingen in gebruik om zich hiertegen te wapenen. Als gevolg hiervan neemt het aantal alarmmeldingen waarmee IT-afdelingen te maken hebben enorm toe.”
“Een overdaad aan alarmmeldingen vermindert de effectiviteit van deze meldingen. IT-afdelingen hebben slechts een beperkte capaciteit. Het grote tekort aan cybersecurityspecialisten staat het aannemen van nieuw talent in de weg. Slechts een deel van de alarmmeldingen kan hierdoor worden opgepakt. Welke meldingen zijn echter van kritiek belang? Dergelijke prioritering is niet alleen complex, maar ook foutgevoelig. Doordat niet alle alerts kunnen worden opgepakt, bestaat bovendien het risico dat cybercriminelen langere tijd ongehinderd hun gang kunnen gaan op uw bedrijfsnetwerk zonder dat ze worden gestopt.”
Automatisch ingrijpen
Veel bedrijven zetten daarom een SOC in om te jagen op zwakke plekken en beveiligingsincidenten te detecteren. De focus ligt hierbij op detectie; eventuele maatregelen om dreigingen te mitigeren, worden doorgaans uitgevoerd door of in overleg met de IT-afdeling. Bakker raadt aan het SOC anders in te zetten: “Het is veel effectiever om dit proces te automatiseren en een SOC zelfstandig maatregelen te laten nemen. De reactietijd op alarmmelding kan hierdoor worden teruggebracht tot nagenoeg nul. Ook weet u zeker dat alle gedetecteerde dreigingen worden geadresseerd en security-alerts die direct aandacht vereisen ook daadwerkelijk prioriteit krijgen.”
“Blijkt bijvoorbeeld dat verdachte activiteiten plaatsvinden vanaf een apparaat van een medewerker? Dan kan het SOC geautomatiseerd ingrijpen door de rechten van deze gebruiker tijdelijk te blokkeren, zodat de gebruiker niet langer kan inloggen totdat de dreiging is geëlimineerd. Hetzelfde geldt voor misbruik van een bekende kwetsbaarheid waarvoor nog geen patch beschikbaar of geïnstalleerd is, waarbij bijvoorbeeld via een specifieke poort verbinding wordt gelegd met een apparaat op uw bedrijfsnetwerk. Een SOC kan communicatie via deze poort actief monitoren en dankzij automatisering direct ingrijpen indien misbruik plaatsvindt, vaak nog voordat schade ontstaat”, aldus Bakker.
Playbooks
Om een SOC nauwkeurig en snel te laten bepalen welke reactie een bepaalde dreiging vereist, maken organisaties gebruik van playbooks. Bakker legt uit: “Dreigingen worden hierbij als een ziekte benaderd, waarbij bepaalde symptomen samen de diagnose bepalen. Door deze symptomen in kaart te brengen, kan het SOC nauwkeurig bepalen met welke dreiging het te maken heeft en welke maatregelen genomen moeten worden om deze dreiging te mitigeren. Dit playbook kan op ieder moment worden uitgebreid met nieuwe symptomen om ook de nieuwste dreigingen het hoofd te bieden. De doorlooptijd voor het stellen van diagnose inclusief reactietijd wordt dankzij deze playbooks gemiddeld verkort met 90 procent, waardoor de tijd dat een organisatie vatbaar is voor een aanval drastisch verlaagd wordt. Daarmee neemt de kans en de grootte van de schade af. Bovendien kunnen de analisten dankzij geautomatiseerde playbooks focussen op complexe diagnoses.”
Belangrijke bijdrage aan strijd tegen cybercrime
Bakker verwacht dat het automatiseren van SOC’s een cruciale bijdrage gaat leveren aan de strijd tegen cybercriminaliteit. “Handmatig ingrijpen kost te veel tijd om de hedendaagse hoeveelheid dreigingen het hoofd te bieden. Automatisering helpt de reactietijd drastisch terug te dringen en zorgt dat alle security-alerts kunnen worden opgepakt, ongeacht prioriteit of aard.”
Kom met uw praktijkervaringen op het terrein van managen en organiseren
Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)
Word een pro!
SCHRIJF MEE >>