Security Operations Center (SOC)

Opbouwen van een succesvolle Security Operations Center (SOC)
Deze informatie schetst onze best practices voor het bouwen en het uittbouwen van een security operations center (SOC). Voor die organisaties die van plan zijn om een ​​SOC te bouwen of die organisaties hun bestaande SOC willen verbeteren is het lezen van deze informatie zeker zinvol.

Cyberaanvallen zijn aan de orde van de dag en ook de aanpassing van de wetgeving. Denk daarbij aan "Wet Meldplicht Datalekken". Met het oog op deze aanvallen te voorkomen kunnen organisaties zich naturlijk wenden tot 1 van de talloze vendoren zoals IBM Internet Security Systems voor hun netwerk intrusion prevention systemen (IPS), Cisco voor hun firewall-oplossingen, en McAfee voor endpoint detectie. Deze heterogene benadering door 1 van de vele oplossingen te selecteren biedt organisaties de best-of-breed technologieën geeft tevens zekeheid niet door 1 vendor gelocked te worden.  

De combinatie van technologieën heeft echter wel een grote uitdaging: Er is geen inherente manier om te normaliseren en te correleren tussen alle technologieën.
Verder kan één team de firewalls ondersteunen, kan een ander team het netwerk van IPS-apparaten ondersteunen  en weer een ander de endpoint security ondersteunen. 

Wanneer er een aanval wordt geconstateerd zal de samenwerking tussen de teams om de details van een aanval in real-time in kaartte brengen van crusiaal belang zijn 
Uit ervaring van ons blijkt dat de forensische analyse na een aanval wordt vertraagd door de noodzaak om gezamelijk in de teams de logstreams te combineren.

Hieruit blijkt dat een centrale monitoring noodzakelijk is om snel te kunnen analyseren en te reageren op een aanval . 
 
We zien dat om aan deze behoefte te voldoen, veel organisaties zich wenden tot Managed Security Services Providers (MSSPs) om het grootste deel van het toezicht op de security uit te besteden.
MSSPs bieden een aantal voordelen, omdat ze:
* 24/7 monitoring bieden
* Informatiebeveiligsdeskundigen direct beschikbaar hebben en je die zelf niet in dienst hoeft te nemen.
* Doordat ze meerdere klanten hebben kunnen ze patronen herkennen en nieuwe bedreigingen vaak voor zijn die je eigen organistaie kunnen treffen.
De MSSP's hebben echter ook een aantal nadelen
*Als organisatie geef je je beleid, de procedures van je totale IT-omgeving uit handen.
* De deskundige werkt voor meerdere klanten dus ook je concurrenten
* Bij uitzondering kennen ze klantgerichte teams
* Zullen zoveel mogelijk diensten standaardiseren om schaalvoordelen te krijgen in de MSSP dienst voor de klanten hetgeen mogelijk aanpassingen in de IT infra bij je eigen organisatie vereist. 
* Bedrijfsgegevens worden verzonden en opgeslagen op de MSSP locaties (al dan niet in het land van herkomst).

Vaak wordt op basis van bovenstaande situatie (de MSSP's nadelen zijn groter dan de voordelen) besloten een eigen Security Operations Center (SOC) te bouwen om events te correleren met daarbij centralisatie van de security monitoring, analyse en reactie binnen één SOC team. 

Lees meer: Opbouwen van een succesvolle Security Operations Center (SOC) de vereisten

Wilt uondersteuning bij het inrichten van een succesvol Security Operations Center (SOC) of heeft u behoefte aan extra capaciteit,neem dan contact op via ons contactformulier

Note: Gezien onze relatie met Rijkswaterstaat krijgen Rijkswaterstaat medewerkers op dit moment voorrang.

Of lees meer over onze  Expert Services