Als mensen spreken over cybersecurity wordt de rol van een Security Operations Center (SOC) vaak verkeerd begrepen, stelt Henk Liebeek, Product Manager bij Claranet Benelux. “Bedrijven zien het SOC als de instantie die alles oplost, in de beeldvorming zijn een SOC en verschillende XDR-oplossingen immers nauw met elkaar verweven. En in de afkorting XDR zit nu eenmaal de R van Response. Maar in werkelijkheid vervult het SOC vooral een monitoringrol. Bij incidenten neemt het SOC de regiefunctie, het signaleert iets en zal snel de relevante stakeholders informeren, zoals de klant of een serviceprovider.”
Henk Liebeek
Nu kan een SOC wel degelijk direct actie ondernemen, weet Liebeek. “Als je kijkt naar Endpoint Detection and Response (EDR), daar zit wel iets meer remediatie in vanuit het SOC. Vaak omdat het daarin al simpeler is, want je kan natuurlijk vanuit het SOC bijvoorbeeld, als je ziet dat iets heel erg fout gaat, een gebruiker al eventjes uit het netwerk gooien en blokkeren, maar de daadwerkelijke oplossing ligt vaak buiten hun verantwoordelijkheid,” gaat Liebeek verder. “Het is een coördinerende rol, waarbij andere partijen worden ingeschakeld voor de daadwerkelijke incidentresponse. En ook dat kan heel ver gaan, zeker bij een groot incident, dan zal een SOC snel opschalen, maar ze zijn niet degene die de echte remediatie gaan doen, en zeker niet bij MDR, waar de M immers staat voor managed”.
Realistisch beeld
Claranet organiseert vaker evenementen om security-uitdagingen onder de aandacht te brengen. Liebeek: “Tijdens ons Cyber Security event op 14 november aanstaande willen we de rol van het SOC nadrukkelijk nader toelichten.” Een ander onderdeel van de bijeenkomst is een interactieve Cyber Security crisisoefening, die te vergelijken is met een ontruimings- of brandoefening, die het team van Claranet samen met partner S-RM, specialist op gebied van incident Response, uitvoert. “We geven deelnemers een beeld van wat er gebeurt tijdens een cyberincident, en hoe belangrijk de samenwerking tussen verschillende stakeholders is.” Het zal volgens Liebeek een heel interactieve sessie worden met de deelnemers.
Defensief en offensief
Naast het SOC en Incident Response besteedt Claranet tijdens het evenement ook aandacht aan de bredere cybersecuritypropositie van het bedrijf. “Die behelst zowel defensieve als offensieve maatregelen,” legt de Product Manager uit. Defensief gaat het uiteraard om zaken als een SOC, firewalls en antivirussoftware, maar ook om meer geavanceerde diensten zoals Endpoint Detection and Response (EDR). “Een cruciaal onderdeel van deze verdediging is ook het bewustzijn van medewerkers, omdat zij vaak een kwetsbare schakel vormen in de keten.” De meeste cyberincidenten, zeker negentig procent, komen immers voort uit e-mails. En daar is het toch de medewerker die op een link klikt of een bestand opent. En daarom is e-mailbeveiliging, zoals door oplossingen als Mimecast, essentieel. Daarmee kun je al veel schadelijke berichten tegenhouden voordat ze in de mailbox van de gebruiker landen.”
Ook aan de offensieve kant is Claranet actief, onder meer met een heel uitgebreide groep ethisch hackers en pentesters. “ We hebben een breed team in verschillende landen, waaronder India, Verenigd Koninkrijk, Frankrijk en Portugal die gezamenlijk ruim 10.000 pentestdagen per jaar voor hun rekening nemen. De echte winst daarin zit in de combinatie van de ethische hackers aan de offensieve kant en de defensieve kant met het SOC. Door het voortdurend uitwisselen van kennis en ervaringen zie je beide teams groeien in hun rol en kunnen ze een echte meerwaarde bieden naar onze klanten.
Mens wordt niet vervangen
Daarnaast biedt Claranet, als internationaal opererend bedrijf, ook Continuous Security Testing (CST). Liebeek: “Dat is in eerste instantie bedoeld voor webapplicaties. Bij de bouw , en nog meer bij het updaten, van applicaties treden vaak veranderingen op. Als je dat steeds moet laten pentesten loop je uit de planning én het budget.”
Hiervoor ontwikkelde het bedrijf een dienst. “We maken daarbij gebruik van automatisering van de testtools, maar er kijken ook altijd nog mensen naar. De automatische scanning is natuurlijk mooi, maar een professional met diepgaande kennis én ervaring is hierin onvervangbaar. De werkelijkheid in security is vaak niet zwart-wit, dus menselijke expertise blijft gewenst.”
Wat Claranet hiermee wil bereiken is duidelijk voor Henk Liebeek. “Er zijn steeds weer onderzoeken waaruit blijkt dat het een maand tot 200 dagen duurt eer aanvallen ontdekt én geregistreerd worden. Het exacte aantal dagen is niet zo relevant voor ons: je wil het hebben over uren, niet over dagen. Incidenten moeten snel ontdekt en verholpen worden.”
Ready to be HACKED?
Het jaarlijkse Claranet Cyber Security Event staat dit jaar in het teken van Ready to be HACKED? Organisaties krijgen handvatten aangeboden waarmee ze zich kunnen voorbereiden op een criminele cyberaanval. Wat zijn de grootste gevaren anno 2024? Wat kun je daartegen doen? Hoe kun je je voorbereiden? En wat doe je als de aanval succesvol is, en je daadwerkelijk in een ‘cybercrisis’ terechtkomt?
Het event vindt plaats op donderdag 14 november, vanaf 13:00 uur bij Valk Exclusief – Hotel Eindhoven-Best, vlak naast de A2/A50. Klik de link voor meer informatie, link.