Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > SecOps heeft meer democratisering nodig, niet minder SOC
SecOps heeft meer democratisering nodig, niet minder SOC

SecOps heeft meer democratisering nodig, niet minder SOC

by Sergej Epp updated november 14, 2022 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

De toenemende complexiteit van technologieën, het groeiende aantal storingen en aanvallen, én de stijgende afhankelijkheid van bedrijfsdoelstellingen veranderen de manier waarop we Security Operations Centers aansturen. Eerder besprak ik het concept van een Fusion Centre als noodzaak om op de tweede trend in te spelen. Het betrekken van zakelijke experts bij een SOC-functie kan beveiligingsprofessionals helpen om beter op één lijn te komen met het bedrijf en de SOC-strategie te bepalen, maar het lost niet alle schaalbaarheids- en flexibiliteitsproblemen op die inherent zijn aan een SOC.

Hoe Cybersecurity-automatisering in SecOps te implementeren met SOAR

Automatisering is de voor de hand liggende oplossing. Daarom zien we dat de meeste SOC’s prioriteit geven aan Security Orchestration Automation and Response (SOAR)-projecten als een solide basis voor het automatiseren van SOC-playbooks. Sommige CISO’s beschouwen SOAR als de sleutel voor DevSecOps. Dat is logisch, want de meeste traditionele SOC-analisten hebben geen software engineering- of ontwikkelaarsachtergrond. In dat geval is een low- of no-code SOAR-platform de perfecte tactische oplossing om SOC-playbooks te automatiseren en gelijke tred te houden met DevOps of de groeiende vraag vanuit het bedrijf naar monitoring en incident response. “Automatisering introduceren in de SOC zet je security operating model volledig op z’n kop.” De eerste vraag in het automatiseringstraject is meestal: Waar leg ik de focus? Helaas zie ik te vaak dat SOC’s hun bestaande playbooks simpelweg in geautomatiseerde platforms gieten zonder veel aanpassingen. Misschien zijn de bestaande playbooks goed genoeg om zonder veel wijziging te automatiseren, bijvoorbeeld vanwege bepaalde wettelijke vereisten of andere verplichtingen. Maar deze aanpak heeft een fundamenteel probleem, zoals we eerder zagen bij andere transformatietrajecten. Bijvoorbeeld: de haast naar de publieke cloud en de drang om snel te leveren, zorgden ervoor dat veel CIO’s kozen voor een ‘lift and shift’-strategie in plaats van applicaties te refactoren om alle voordelen van de cloud te benutten. Het resultaat was snelle levering, maar slechts een fractie van de mogelijke voordelen werd benut. Automatisering introduceren in de SOC zet je security operating model volledig op z’n kop. Een SOC die het merendeel van zijn taken kan automatiseren, kan niet alleen efficiënter worden door alles veel sneller af te handelen, maar heeft ook het potentieel om de manier waarop je beveiligingsoperaties werken te revolutioneren. Met automatisering kun je je playbooks razendsnel uitvoeren in plaats van uren te wachten en eindeloze schaalbaarheid behouden om elke medewerker en klant een op maat gemaakte ervaring te bieden. “Na verloop van tijd zullen de ‘O’ en ‘C’ in ‘SOC’ langzaam verdwijnen.”

State of SecOps

De evolutie van SecOps wordt gedreven door de noodzaak om de effectiviteit van cyberbeveiliging te verbeteren, vooral bij grote organisaties. SecOps is geëvolueerd van een reactieve benadering van beveiliging naar een meer proactieve aanpak, gericht op automatisering en orkestratie.

SecOps-uitdagingen omvatten de complexiteit van de omgeving en de noodzaak om te integreren met bestaande processen en systemen. Organisaties moeten ervoor zorgen dat ze hun assets en data veilig beheren, terwijl ze ook voldoen aan compliance- en wettelijke vereisten. Daarnaast moet het SecOps-team snel beveiligingsincidenten kunnen detecteren en erop reageren.

In het verleden reageerden organisaties pas op beveiligingsincidenten nadat ze zich hadden voorgedaan, vaak met handmatige processen. Tegenwoordig gebruiken SecOps-teams automatisering om het aantal handmatige taken te verminderen, zodat ze sneller beveiligingsincidenten kunnen identificeren, erop kunnen reageren en deze kunnen beperken.

Laten we enkele voorbeelden bekijken van hoe toonaangevende security operations centers deze automatiseringsreis aanpakken.

  • Amazon AWS heeft al een tijd aangegeven dat ze geen gecentraliseerde SOC hebben. Alle waarschuwingen worden direct geëscaleerd naar medewerkers en er is slechts één engineer stand-by om de monitoringsystemen in de gaten te houden. Dit klinkt als een sprookje voor de meeste organisaties, maar die hebben ook niet het voorrecht om met een schone lei en een leger aan engineers te beginnen.
  • Bij Palo Alto Networks hebben we een klein team van security operations engineers die werken volgens het 30/30/30-model. Analisten besteden 30% van hun tijd aan het triëren van high-fidelity signalen, 30% aan het bouwen en afstemmen van detectie-analyses, en 30% aan threat hunting en het uitvoeren van retrospectieve analyses. De meeste waarschuwingen gaan eerst naar de betrokken medewerkers voor triage en de SOC-analist komt pas in actie als een bepaald feedback- of waarschuwingsdrempel wordt bereikt. Deze methode heeft duidelijke kostenvoordelen; je hebt niet per se een duur 24/7-rotatiemodel nodig. De meeste waarschuwingen worden door automatisering afgehandeld, en als een waarschuwing buiten kantooruren de drempel bereikt, is er een analist stand-by om het op te pakken.
  • Tot slot: Google, bekend om zijn sterke en diverse groep beveiligingsexperts, publiceerde recent een whitepaper over dit onderwerp. Ze deelden hun lessen over interne beveiliging en het transformeren van traditionele SOC’s naar Autonomic Security Operations. In deze whitepaper stellen Anton Chuvakin en collega’s dat cloudadoptie een belangrijke drijfveer is voor de transformatie van security operations-strategieën. Na verloop van tijd zullen de “O” (operations) en “C” (center) in “SOC” verdwijnen. Het resultaat lijkt sterk op bovenstaande concepten: een SOC-loze organisatie.

SecOps Automation Challenges

De securitygemeenschap houdt zich al geruime tijd bezig met automatisering. Waarom is het dan nog steeds zo’n uitdaging voor SOC’s om te automatiseren? Vraag het aan terughoudende CISO’s en ze zullen zeggen dat hun aarzeling technisch van aard is, bijvoorbeeld: “we proberen onze controls nog te instrumenteren” of “volgens onze playbooks kan automatisering stabiliteitsproblemen veroorzaken.” Maar de feedback draait meestal om de vereisten van de SOC zelf en niet om de vereisten van de business teams of het personeel. Dit zou wel eens de kern van het automatiseringsprobleem kunnen zijn. Te vaak vergeten we uit te zoomen en de problemen en vereisten van onze interne klanten opnieuw te valideren. Als SecOps-helden denken we (ten onrechte) dat de meeste medewerkers het probleem niet begrijpen en gaan we er arrogant van uit dat alleen wij het goed kunnen doen; wij zijn de tovenaars en alle medewerkers zijn de dreuzels. Maar laten we niet vergeten dat de meeste problemen met traditionele SOC’s samenhangen met één enkel probleem: waarschuwingen zonder zakelijke context. “Te vaak vergeten we uit te zoomen en de problemen en vereisten van onze interne klanten opnieuw te valideren.”

Hoe kunnen we dan een meer klantgerichte benadering hanteren in het automatiseringstraject? Een van mijn CISO-collega’s vatte het als volgt samen: “Tegenwoordig willen medewerkers of bedrijfsfuncties zelf bepalen hoeveel zichtbaarheid en hoeveel waarschuwingen ze krijgen van hun securityteams. Zolang ze verantwoordelijk blijven en de risico’s begrijpen, bieden wij hen dit comfort, maar we doen nog wel steekproeven ter controle.” In de praktijk kan zo’n gedemocratiseerd SOC-model er voor elke organisatie anders uitzien, maar er zijn goede voorbeelden van deze strategie:

  • Detectie van datalekken is mogelijk het lastigst om te implementeren en vaak de meest luidruchtige cybersecuritymaatregel die er bestaat. Centrale beoordeling van DLP-waarschuwingen is niet alleen ineffectief en kostbaar, maar heeft ook een grote impact op de privacy van gegevens. Statistieken tonen aan dat de meeste datalekken niet opzettelijk zijn, dus het direct escaleren van deze waarschuwingen naar de betreffende medewerkers en hun manager en hen helpen het probleem te begrijpen, levert uiteindelijk het beste rendement op voor het bedrijf. Het verbeteren van je databeveiligingscultuur kan het verschil maken.
  • Applicatiefouten of configuratieproblemen. Geloof je echt dat je SOC-analisten consequent de kloof kunnen overbruggen tussen applicatiebeveiligingsproblemen en DevOps-teams? Elk DevOps-team begrijpt het simpele principe: je bouwt het, je beheert het. Als CISO moeten we daar “je beveiligt het” aan toevoegen.
  • CISO’s en hun teams voegen waarde toe aan de SOC door de juiste, geprioriteerde beleidsregels en waarborgen te definiëren en te configureren als onderdeel van de SDLC of CI/CD-pijplijn. Alle waarschuwingen gaan direct naar de betreffende DevOps-teams voor beoordeling en afhandeling. Voorbeeld: Een nieuw project dat live gaat op Google Cloud met een verkeerde configuratie wordt automatisch afgesloten en teruggekoppeld aan het DevOps-team voor herstel. Geen uitzonderingen!
  • Phishing. Ja, het is 2021 en iedereen zou zich bewust moeten zijn van phishing en weten hoe hiermee om te gaan. Medewerkers in staat stellen en waarschuwingen terugkoppelen voor niet-geblokkeerde phishing-e-mails, bijvoorbeeld via een interface in je mailprogramma, extra e-mails, robocall of bedrijfsbericht, zorgt er niet alleen voor dat je analist zich op belangrijkere taken kan richten, maar verhoogt ook het bewustzijn onder je medewerkers.
  • Compliance monitoring. Sommige branchetoezichthouders eisen monitoring van systeembeheerder-activiteiten of toegangsverzoeken tot kritieke applicaties. Hoewel er duidelijke risico’s zijn, zoals insider threat, bij het direct escaleren van deze waarschuwingen naar het betreffende team, zou ik stellen dat het onrealistisch is te verwachten dat je gecentraliseerde SOC ooit in staat is deze activiteiten te interpreteren zonder hulp van een SME. Waarom deze waarschuwingen dan niet direct escaleren naar tribe leads of gespecialiseerde security-experts binnen die teams?
  • Uiteindelijk houd je nog traditionele SOC-waarschuwingen over zoals netwerkinbraak en malware-incidenten, die alleen door je SOC-expert kunnen worden afgehandeld. Anderzijds zijn de meeste moderne IPS/sandbox-technologieën in staat deze waarschuwingen direct om te zetten in preventieve signatures. Er is dus geen noodzaak om elke waarschuwing te beoordelen en te triëren. De enige gecentraliseerde operationele functie die je SOC mogelijk behoudt, is incident response en een gespecialiseerd threat hunting/forensics-team dat achteraf data en malware onderzoekt bij succesvolle inbraken en je beleid en analyses verbetert.

De lijst met gedemocratiseerde SOC-use cases is eindeloos, maar het punt dat ik wil maken is dat een geautomatiseerde SOC altijd moet beginnen met het opnieuw evalueren van het probleem dat samen met de klant wordt opgelost. Een proces democratiseren vereist altijd een tweezijdige aanpak. Informeer je medewerkers, zorg voor hun betrokkenheid bij de scope, en pas daarna kun je hen als verlengstuk van je SecOps-analisten inzetten. Idealiter doe je dit voordat je automatisering in de SOC introduceert. Je zult versteld staan van wat je anders doet of juist niet meer doet. Daardoor kunnen sommige organisaties zelfs de visie van een SOC-loze organisatie realiseren, maar de realiteit is dat de meeste organisaties toch een gecentraliseerd team nodig hebben om hun legacy-infrastructuur of processen te beheren. Tegelijkertijd zullen steeds meer traditionele SOC-verantwoordelijkheden worden overgedragen aan het personeel van je organisatie, waardoor zij verantwoordelijk worden voor hun eigen beveiligingsoperaties. Dit is een gedemocratiseerde SOC.

De toekomst van SecOps

SecOps zal zich blijven ontwikkelen richting meer proactief beveiligingsbeheer. Dit omvat meer automatisering van beveiligingsprocessen, het detecteren van potentiële bedreigingen en het voorkomen van datalekken. Kunstmatige intelligentie (AI) en machine learning (ML) zullen worden ingezet om potentiële bedreigingen te identificeren, data te analyseren en responstijden te versnellen. Daarnaast zullen organisaties cloudgebaseerde diensten gebruiken om beveiligingsoperaties te centraliseren, waardoor handmatige processen worden verminderd en securityteams meer tijd krijgen. Securityteams zullen multi-inzetbaar moeten blijven, met een combinatie van technische, analytische en communicatieve vaardigheden om succesvol te zijn in SecOps.

Veelgestelde vragen

Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale assets, zoals hardware, systemen, klantgegevens en intellectueel eigendom, te identificeren, te beoordelen en te prioriteren. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, bijvoorbeeld met preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om nieuwe dreigingen en organisatorische veranderingen te verwerken. Het uiteindelijke doel van risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waarmee het een cruciaal onderdeel is van het totale risicobeheer van elke organisatie.

De belangrijkste onderdelen van een risicobeheerprogramma voor cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en evaluaties.

Organisaties kunnen cyberbeveiligingsrisico’s beperken met verschillende strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en elimineren van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen beperken. Een incident response-plan kan de schade tijdens een cyberincident minimaliseren, en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-standaarden, organisaties om cyberbeveiligingsrisico’s verder te beperken.

Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en respons mogelijk, waardoor schade wordt voorkomen of beperkt. Het zorgt ook voor naleving van cybersecurity-standaarden en regelgeving, zodat organisaties snel eventuele non-compliance kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvorming ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks