Navigeren door het digitale mijnenveld
Cybersecurityspecialisten staan voor een aantal fikse uitdagingen. Aanvallers krijgen bijvoorbeeld steeds meer mogelijkheden en worden met de dag professioneler. Het aanvalsoppervlak groeit snel door ontwikkelingen als thuiswerken, bring your own device en de grotere verwevenheid van IT en OT. AI zorgt voor nieuwe cybersecuritytechnologieën, maar wapent aanvallers tegelijkertijd met meer mogelijkheden.
Ook problematisch: cybersecuritybudgetten staan sterk onder druk. Bovendien hebben organisaties de grootst mogelijke moeite om bekwame mensen aan te nemen. Wereldwijd zijn er zelfs meer dan 3 miljoen extra cybersecurityprofessionals nodig.
De weg naar digitale weerbaarheid en veerkrachtigheid
Als organisatie wil je cyber resilient worden, oftewel digitaal weerbaar en veerkrachtig. Daarbij focus je niet alleen op het voorkomen van cyberaanvallen (‘prevent’). Minstens zo belangrijk: je dient je cybersecuritylandschap goed te onderzoeken (‘assess’), aanvallen tijdig te detecteren (‘detect’), daar adequaat op te reageren (‘response’) en de situatie uiteindelijk te herstellen met de minst mogelijke schade (‘recovery’).
Wil je daadwerkelijk cyber resilient worden? Dan moet je zorgen dat IT- en cybersecurity-operaties op één lijn liggen, alle noodzakelijke basissecuritymaatregelen zijn geïmplementeerd (zoals netwerkssegmentatie, patch management, user awareness, degelijk beheer van toegangsrechten en multi-factor authenticatie) én dat je beschikt over een adequaat continuous improvement-programma.
Dat laatste betekent dat je je cybersecuritypraktijken, beleidslijnen, procedures en technologieën voortdurend evalueert en verbetert. Heb je dit allemaal op orde? Alleen dan kun je de kans op cyberaanvallen en businessverstoringen minimaliseren en het vertrouwen van klanten behouden.
(Managed) SOC als onmisbare asset
Als organisatie ben je op zoek naar zoveel mogelijk return on security investment (ROSI). Outsourcen in de vorm van managed services klinkt misschien kostbaar. Maar de meeste organisaties zijn anders niet in staat om werkelijk cyber resilient te worden: cybersecurity is daarvoor te complex en veranderlijk. Een groot deel van de organisaties die digitale weerbaarheid ambieert, kiest daarom voor een managed security operations center (SOC).
De belangrijkste taken van een SOC zijn:
1. Monitoring en detectie
SOC-analisten onderzoeken continu de security-alarmeringen om te bepalen wat daadwerkelijk incidenten zijn die een reactie vereisen en wat juist false positives zijn.
2. Incident response
Zodra er een incident wordt gedetecteerd, reageren analisten snel om het incident te isoleren en de potentiële schade te mitigeren.
3. Digitaal forensisch onderzoek
Na een incident voeren de analisten een digitaal forensisch onderzoek uit. Niet alleen om de oorzaak en impact te bepalen, maar ook om te zorgen dat het incident volledig is opgelost.
4. Inzichten en observability
Door allerlei gegevens en rapportages te verzamelen en te delen, zorgen SOC’s voor in-depth inzichten – en dus voor observability.
De beperkingen van traditionele SOC’s
SOC’s bestaan al sinds de jaren 90. Van oudsher hanteren ze een aanpak waarin technologie centraal staat. Die focus op technologie zorgt ervoor dat de cybersecuritymaatregelen van het SOC niet altijd matchen met de bredere bedrijfs- en resilience-doelen van de organisatie. Denk aan een snelle digitale transformatie met een grote cloudmigratie, terwijl het SOC nog geen adequate cloudbeveiligingsmaatregelen heeft geïmplementeerd. Dit kan leiden tot cybersecurityrisico’s die een grote impact op de organisatie hebben.
Bovendien kampen traditionele SOC’s met:
- te veel aanvallen en andere dreigingen om handmatig te kunnen verwerken, mede door het grote personeelstekort
- een gebrek aan end-to-end zicht op het hele landschap doordat de cybersecurity-infrastructuur van veel organisaties in hoge mate gefragmenteerd is.
Door de grotere blootstelling aan cyberrisico’s, de vertraagde incidentrespons en de incomplete beveiliging maakt zo’n traditioneel SOC je organisatie een stuk kwetsbaarder voor (significante) schade.
Modern SOC: adaptief, geïntegreerd en geautomatiseerd
Om al dit soort uitdagingen te kunnen tackelen, bieden partijen zoals Cegeka een (managed) modern SOC aan. De beveiligingsoperaties in zo’n modern SOC zijn veel meer adaptief, geïntegreerd en geautomatiseerd dan in een traditioneel SOC.
Plus: niet langer vormt technologie het zwaartepunt. In plaats daarvan brengt de aanpak mensen, processen en technologie op een gebalanceerde manier samen.
Modern SOC als resilient pad naar de toekomst
Belangrijke aspecten bij een modern SOC – zo leggen we uit in ons vervolgartikel Hoe een modern SOC zorgt voor méér cybersecurity met minder mensen – zijn onder meer menselijke expertise, het automatiseren van processen en taken, 24/7 operationeel zijn en geavanceerde detectiemogelijkheden. Security orchestration automation & response (SOAR), dat zorgt voor een geïntegreerde en geautomatiseerde aanpak van cybersecurity, speelt daarin een belangrijke rol.
Een modern (managed) SOC met SOAR-laag zoals C-SOR²C van Cegeka signaleert meer dreigingen en laat analisten daar sneller op reageren. Als organisatie verhoog je zo je cybersecurityniveau en zet je een grote stap richting zowel cyber- als business resilience
Lees ook het volgende deel van dit tweeluik: Hoe een modern SOC zorgt voor méér cybersecurity met minder mensen, waarin we inzoomen op de kenmerken en voordelen van een modern SOC.