SOC inrichten: begin klein

SOC inrichten: begin klein

DearBytesBlogDetectieSOC inrichten: begin klein

vrijdag 24 november 2017

Onlangs publiceerde het Nationaal Cyber Security Centrum (NCSC) een nieuwe factsheet: “SOC inrichten: begin klein”. Het is een verhaal waar wij ons volkomen in kunnen vinden. En dan ook niet geheel toevallig in lijn met de modulaire manier waarop DearBytes monitoring diensten aanbiedt. Dus zeg ik,

SOC inrichten: begin met DearBytes!

De essentie van de boodschap in de factsheet is dat monitoring een virtueel oneindig groot thema is. De ervaring leert dat je er goed aan doet het niet oneindig groot aan te vliegen, maar in kleine hapjes. Want security monitoring is een ingewikkeld thema, en zoals Bill Murray ons leerde in What About Bob hoe daarmee om te gaan: baby steps.

Stel een alarm in

Security Monitoring werkt doorgaans door alarmen op 1 plek te presenteren aan een analist. Deze stelt als gevolg van een alarm een onderzoek in. Als gevolg van het onderzoek kan al naar gelang de bevinding een oplosgroep worden aangestuurd om het incident te stoppen of herhaling te voorkomen.

Bijvoorbeeld:

  1. Indicator: de firewall constateert een verbinding naar een online IP-adres met een slechte reputatie;
  2. Validatie: de analist stelt vast dat deze verbinding wordt opgesteld door een onbekende applicatie op een computer;
  3. Stoppen: de computer wordt in quarantaine gezet voor nader onderzoek.

Het begint dus met een alarm. Die het gevolg is van een indicator in het netwerk of op een computer. Het NCSC adviseert allereerst een enkelvoudige logbron toe te voegen aan de monitoring functie. Bijvoorbeeld de firewall of anti-virus software. Om daarmee bovenstaand proces netjes in te richten en te oefenen. En als dat onder controle is pas de volgende logbron toe te voegen.

Security Monitoring Service

Bij DearBytes bieden wij de Security Monitoring Service aan. In die dienst plaatsen wij een eigen sensor in het netwerk. Deze staat in verbinding met een SIEM systeem waarop later ook andere logbronnen kunnen worden toegevoegd. Maar we beginnen dus met alleen die eigen sensor.

Veel van onze klanten bedienen wij met oplossingen tegen malware en/of firewalls. Dit zijn in feite preventieve maatregelen: ze kunnen security incidenten voorkomen. Maar we hebben geleerd dat klanten ook wensen dat we iets doen met de alarmen die daaruit voortkomen. Dus voegen we aan deze diensten ook basis monitoring toe. We koppelen de anti-virus en/of de firewall aan de SIEM die ik eerder bedoelde. Exact dus zoals NCSC beschrijft.

Onze ervaring uit de praktijk? Het werkt. Voor afnemers die dus besluiten de monitoring functie uit te besteden is het des te prettiger om mondjesmaat te beginnen. En we slagen er dan samen in de om de monitoring functie samen uit te bouwen, op een behapbare en constructieve manier.

Kortom: ik juich het advies van NCSC toe en nodig u van harte uit om geheel in lijn daarmee te starten met onze monitoring dienst!