In een Security Operations Center (SOC) worden alle computer- en netwerkactiviteiten van een organisatie gemonitord. Voor de ultieme beveiliging moeten experts de boel 24/7 in de gaten houden. Dat vraagt natuurlijk wat van jouw organisatie. Daarom is het belangrijk om goed te bekijken of je het beste zelf een SOC kan inrichten of deze beter kan uitbesteden. Met onze checklist weet je zo of je er klaar voor bent.
1. Heb je de mensen in huis?
De grote waarde van een SOC is dat je snel kan reageren als dat nodig is. Maar… als je 24/7 wil monitoren dan moet je wel een club mensen klaar hebben staan die gebeld kunnen worden in geval van nood.
In de praktijk komt het erop neer dat je 5-8 mensen op stand-by moet kunnen zetten. Niemand wil natuurlijk iedere dag het klokje rond bereikbaar zijn. Daarom is het belangrijk om die verantwoordelijkheid te spreiden over een groep.
Als je denkt: van mij hoeft 24/7 niet. Dan moet je niet zelf beginnen aan een SOC. Hackers houden zich immers ook niet aan de 9 tot 5 mentaliteit ;-).
2. Heb je een dedicated security-budget?
Een SOC doe je er niet even bij, je moet bereid zijn te investeren in awareness, tooling en preventieve maatregelen. En ook niet onbelangrijk, de board moet ‘mee zijn’. Vaak zie je dat organisaties die op boardniveau bezig zijn met cybersecurity al bepaalde risico, zoals ransomware, meenemen in de strategie en risico-inventarisatie.
Moet het budget voor een SOC komen uit het algemene IT-budget of een marketingpotje dat nog op kan, dan mag je dat gerust beschouwen als een Red Flag.
Oke, een écht budget is dus belangrijk. Maar dan vraag je je vast af waar je aan moet denken. Wij helpen je op weg.
- De tooling voor een SOC varieert tussen de €2 en €200 per endpoint per maand (dat is zonder de kosten voor Microsoft-diensten die je al hebt).
- Huur je mensen in voor een in-house SOC of ga je voor een Managed Service? De afweging zal qua investering voor iedere organisatie verschillen, de een hoeft niet duurder te zijn dan de ander.
- Extra budget en resources voor mitigerende maatregelen. Dit zijn aanvullende kosten op een SOC. Je wilt niet alleen beschermd zijn, maar ook steeds beter worden. Voorbeelden van mitigerende maatregelen zijn:
- Geen sms meer toestaan voor Multi Factor Authenticatie (MFA) en dit omzetten naar een wachtwoordenmanager of authenticator app.
- Processen anders of beter inrichten.
- Reageren op nieuwe dreigingen.
- Extra budget en resources voor de nasleep van incidenten, zoals een melding of aangifte doen.
- Security-awareness creëren.
3. Ben je je bewust van je risico's en aanvalsoppervlak?
Je kan pas echt goed beginnen met monitoren als je weet wat jouw risico’s en (belangrijkste) aanvalsoppervlakken zijn. Breng in kaart waar de grootste risico’s liggen en ga dan stap voor stap te werk.
Je hoeft niet in één keer alles te monitoren, dat raden we zelfs af. Je kan dan te maken krijgen met een overweldigende hoeveelheid meldingen.
Voorbeelden van cyberrisico's die van toepassing kunnen zijn:
- Ransomware,
- Hacktivist aanval,
- Supply chain attacks,
- Grote financiële stromen geld,
- IP dat wordt gestolen (APT)
Wanneer je over je aanvalsoppervlak nadenkt, realiseer je dan dat sommige aanvallen gecompliceerd zijn en via verschillende onderdelen van je IT-infrastructuur kunnen plaatsvinden. De tools die je gebruikt om te monitoren bepalen het inzicht en overzicht dat je kan bereiken. Ben je net gestart met een SOC dan is het verstandig om te beginnen met EDR en SIEM en later NDR toe te voegen.
4. Heb je de juiste motivatie voor een SOC?
We zien steeds meer dat ‘monitoring in place hebben’ onderdeel is van normen en wet- en regelgeving. We zien ook regelmatig dat organisaties die bij een concullega een bepaalde aanval hebben gezien, snel willen regelen dat zij wel veilig zijn. Deze motivatie zorgt voor een ‘vinkjescultuur’. Ownership kan hiermee in het gedrang komen en daarmee ook de toegevoegde waarde van een SOC.
De toegevoegde waarde van een SOC ontstaat wanneer deze onderdeel is van een bredere visie. Je beseft dat je in de toekomst de effectiviteit wil testen en je zet ook andere stappen richting een hoger volwassenheidsniveau op het gebied van cybersecurity. Denk hierbij aan het verbeteren van de incident readiness van jouw organisatie. Vanuit deze motivatie zal de waarde van een SOC veel groter zijn dan wanneer je simpelweg alleen een ‘vinkje’ wil zetten.
5. Heb je een heldere afweging gemaakt tussen een managed service of in-house SOC?
Managed service: hiermee haal je ook aanvullende kennis en expertise erbij. Schakel je Computest Security in voor het inrichten en beheren van jouw SOC? Dan kijken we vanuit een security-breed perspectief naar wat jouw organisatie het beste kan doen om zichzelf te beschermen.
Intern SOC: deze optie wordt vaak gekozen als je alle data binnen de muren van jouw organisatie wil houden. Óf je hebt de juiste mensen in huis en specifieke regels en kennis die helemaal zijn afgestemd op jouw organisatie.
Een SOC kan veel ellende voorkomen, maar met alleen een ‘vinkje’ ben je er niet. Overweeg dus goed wat past bij jouw organisatie en maak een bewuste keuze. Alleen zo ben je echt beschermd tegen gevaren.
Contact
Wil je meer weten over een SOC? Of andere manieren waarop je cyberaanvallen kunt detecteren en voorkomen? Neem dan contact op met de security experts van Computest via info@computest.nl.
