Security Operations Center

 

In de afgelopen jaren hebben alle organisaties maatregelen genomen voor de beveiliging van de data en de infrastructuur. Daarbij is veel aandacht gegaan naar preventieve maatregelen en vaak minder aandacht en expertise naar detectie en response. Door gebruik te maken van een SOC (Security Operations Center) kan hier een grote sprong voorwaarts worden gemaakt. Daarbij is vaak wel de vraag hoe een SOC past binnen de bestaande security organisatie. Grote organisaties zijn in staat om een eigen SOC in te richten. Voor een eigen SOC zijn veel resources nodig en zeer specialistische kennis. De meeste organisaties zijn meer geschikt voor het afnemen van een dienst van een externe partij (een zogenaamde Managed Security Service Provider (MSSP)).

VITsafe kan uw organisatie begeleiden in de aanpak en keuzes die gemaakt moeten worden bij het inkopen van deze dienstverlening.

  • Strategisch advies

  • Begeleiding in aanbestedingstraject

  • Operationaliseren van SOC-dienstverlening

 

Strategisch advies

Om vast te stellen op welke wijze een SOC het beste kan worden ingericht zijn er een aantal fases die doorlopen moeten worden (bron: Gartner):

  1. Voorwerk

    • Motivaties en drijfveren bepalen

    • Vaststellen SOC vereisten

    • Inhuur extern expertise noodzakelijk?

    • Opstellen van een business case

  2. Plannen

    • Vaststellen scope en functies

    • Definiëren hybride model

    • Definiëren organisatiestructuur SOC

    • Bepalen governance binnen organisatie

Als de bovenstaande stappen zijn doorlopen dan gestart wordt met het selecteren van een security partner voor stappen 3 t/m 5 te weten:

3. Implementeren

4. Operationaliseren (actieve bescherming)

5. Continue verbeteren

Aanbestedingstraject

Vanuit het strategisch advies is vastgesteld op welke wijze de dienstverlening aanbesteed zal worden. Daarbij zal gebruik worden gemaakt van de inkoop regels binnen de organisatie en waar van toepassing mogelijk van Europese aanbestedingsregels.

De markt van SOC-dienstverleners (en Managed Security Service Providers in het algemeen) is nog steeds niet volwassen en daardoor ook niet gestandaardiseerd. Het is lastig om de verschillende dienstverleners met elkaar te vergelijken, ook omdat iedere dienstverleners zijn eigen terminologie hanteert voor de geleverde diensten.

VITsafe kan uw organisatie helpen door gebruik te maken van een aantal modellen die vrij beschikbaar zijn in de cybersecurity wereld. Dat kunnen best-practices zijn vanuit de overheden (zoals NCSC-NL, NCSC-UK, NIST en ENISA). Of door het gebruik van beschikbare standaarden zoals ISO27002 (sectie 12.1), SANS 20 critical controls, NIST 800-137 ISCM.

Een aanrader om te gebruiken is een gratis PDF boek van Mitre (Ten strategies of a World-Class Security Operations Center) uit 2014. Ondertussen wel enigszins aan het verouderen.

Operationaliseren SOC

De kosten voor SOC dienstverlening zijn aanzienlijk, maar wat krijg ik daar nu eigenlijk voor? Een grote uitdaging van een SOC-dienst, gebaseerd op detectie, is het vaststellen van de effectiviteit van de dienst. Voor de klant is het van cruciaal belang dat de dienst ook daadwerkelijk 24x7 werkzaam is en extreem snel zal reageren. U wilt continue beeld hebben van uw ‘security posture’ zoals het SOC dat kan waarnemen.

VITsafe kan u adviseren de afspraken en het contract met uw security partner te optimaliseren. Daarbij zal bekeken worden naar:

  • Processen: zijn deze efficiënt ingericht?

  • Mensen: is er vertrouwen? Zijn de juiste medewerkers aangehaakt?

  • Techniek: is de juiste techniek ingezet? Is de techniek up-to-date voor de huidige bedreigingen?

Een geschikte aanpak daarbij is het laten uitvoeren van een onafhankelijke pentest of redteam opdracht. De activiteiten tijdens deze testen moeten door het SOC adequate kunnen worden opgemerkt en afgehandeld. Als daar nog een purple-training aan wordt toegevoegd dan kan zal dit zeker meerwaarde opleveren.

Meerjaren plan voor een volwassen SOC dienst