Wat is een Security Operations Center (SOC, beveiligingscentrum)?
Ontdek hoe Security Operations Center-teams snel potentiële cyberaanvallen detecteren, prioriteren en analyseren.
Wat is een SOC?
Een SOC is een centrale functie of een gecentraliseerd team dat verantwoordelijk is voor het verbeteren van de houding tegenover cyberbeveiliging van een organisatie en het voorkomen, detecteren en reageren op bedreigingen. Het SOC-team, dat lokaal of uitbesteed kan zijn, controleert identiteiten, eindpunten, servers, databases, netwerktoepassingen, websites en andere systemen om potentiële cyberaanvallen in realtime te ontdekken. Het doet ook proactief beveiligingswerk door gebruik te maken van de nieuwste bedreigingsinformatie om op de hoogte te blijven van bedreigingsgroepen en infrastructuur en om kwetsbaarheden in het systeem of proces te identificeren en aan te pakken voordat aanvallers deze misbruiken. De meeste SOC's werken zeven dagen per week en 24 uur per dag. Grote organisaties die in meerdere landen actief zijn, kunnen ook afhankelijk zijn van een Global Security Operations Center (GSOC, wereldwijd beveiligingscentrum) om op de hoogte te blijven van wereldwijde beveiligingsrisico's en om de detectie en reactie te coördineren tussen verschillende lokale SOC's.
Functies van een SOC
SOC-teamleden voeren de volgende functies uit om aanvallen te voorkomen, erop te reageren en ervan te herstellen.
Inventaris van assets en hulpprogramma's
Om blinde plekken en hiaten in de dekking te voorkomen, heeft de SOC inzicht nodig in de assets die het beveiligt en in de hulpprogramma's die worden gebruikt om de organisatie te verdedigen. Dit omvat de verantwoordelijkheid voor alle databases, cloudservices, identiteiten, toepassingen en eindpunten, zowel on-premises als in meerdere clouds. Het team houdt ook alle beveiligingsoplossingen bij die in de organisatie worden gebruikt, zoals firewalls, antimalware, anti-ransomware en bewakingssoftware.
De kwetsbaarheid voor aanvallen verminderen
Een belangrijke verantwoordelijkheid van de SOC is het verminderen van de kwetsbaarheid voor aanvallen van de organisatie. De SOC doet dit door een inventaris bij te houden van alle workloads en assets, beveiligingspatches toe te passen op software en firewalls, onjuiste configuraties te identificeren en nieuwe assets toe te voegen wanneer ze online komen. Teamleden zijn ook verantwoordelijk voor het onderzoeken van opkomende bedreigingen en het analyseren van blootstelling, waardoor ze de nieuwste bedreigingen voor blijven.
Voortdurende bewaking
Met behulp van oplossingen voor beveiligingsanalyse, zoals een SIEM-oplossing (Security Information Enterprise Management), een SOAR-oplossing (Security Orchestration, Automation and Response) of een XDR-oplossing (Extended Detection and Response), bewaken SOC-teams de hele omgeving: on-premises, clouds, toepassingen, netwerken en apparaten. Dit gebeurt de hele dag, elke dag, om afwijkingen of verdacht gedrag te onthullen. Deze hulpprogramma's verzamelen telemetrie, aggregeren de gegevens en automatiseren in sommige gevallen de reactie op incidenten.
Bedreigingsinformatie
De SOC maakt ook gebruik van gegevensanalyse, externe feeds en bedreigingsrapporten van producten om inzicht te krijgen in het gedrag, de infrastructuur en motieven van aanvallers. Deze intelligentie biedt een totaaloverzicht van wat er op internet gebeurt en helpt teams te begrijpen hoe groepen werken. Met deze informatie kan de SOC snel bedreigingen aan het licht brengen en de organisatie versterken tegen opkomende risico's.
Bedreigingsdetectie
SOC-teams gebruiken de gegevens die zijn gegenereerd door de SIEM- en XDR-oplossingen om bedreigingen te identificeren. Dit begint met het filteren van fout-positieven uit de werkelijke problemen. Vervolgens geven ze prioriteit aan de bedreigingen op basis van ernst en mogelijke impact op het bedrijf.
Logboekbeheer
De SOC is ook verantwoordelijk voor het verzamelen, onderhouden en analyseren van de logboekgegevens die worden geproduceerd door elk eindpunt, besturingssysteem, virtuele machine, on-premises-app en netwerkgebeurtenis. Analyse helpt bij het vaststellen van een basislijn voor normale activiteit en toont afwijkingen die kunnen duiden op Informatie over malwaremalware, ransomwareof virussen.
Reactie op incidenten
Zodra een cyberaanval is geïdentificeerd, onderneemt de SOC snel actie om de schade aan de organisatie te beperken met zo min mogelijk onderbreking van het bedrijf. Stappen kunnen bestaan uit het afsluiten of isoleren van getroffen eindpunten en toepassingen, het tijdelijk intrekken van gecompromitteerde accounts, het verwijderen van geïnfecteerde bestanden en het uitvoeren van antivirus- en antimalware-software.
Respons en herstel
In de nasleep van een aanval is de SOC verantwoordelijk voor het herstellen van het bedrijf naar de oorspronkelijke staat. Het team zal schijven, identiteiten, e-mail en eindpunten wissen en opnieuw verbinden, toepassingen opnieuw opstarten, overschakelen naar back-upsystemen en gegevens herstellen.
Onderzoek naar de hoofdoorzaak
Om te voorkomen dat een vergelijkbare aanval opnieuw plaatsvindt, voert de SOC een grondig onderzoek uit om kwetsbaarheden, slechte beveiligingsprocessen en andere leerprocessen te identificeren die hebben bijgedragen aan het incident.
Verfijning van beveiliging
De SOC gebruikt alle informatie die tijdens een incident is verzameld om zwakke plekken aan te pakken, processen en beleid te verbeteren en de roadmap voor beveiliging bij te werken.
Compliancebeheer
Een essentieel onderdeel van de verantwoordelijkheid van de SOC is ervoor te zorgen dat toepassingen, beveiligingshulpprogramma's en processen voldoen aan de privacyvoorschriften, zoals bijvoorbeeld de Algemene verordening gegevensbescherming (AVG), de California Consumer Privacy Act (CCPA) en de Health Insurance Portability and Accountability Act (HIPPA). Teams controleren regelmatig systemen om naleving te garanderen en ervoor te zorgen dat regelgevers, politie en klanten worden gewaarschuwd na een gegevenslek.
Belangrijke rollen in een SOC
Afhankelijk van de grootte van de organisatie bevat een typische SOC de volgende rollen:
Directeur van reactie op incidenten
Deze functie, die doorgaans alleen voorkomt in zeer grote organisaties, is verantwoordelijk voor het coördineren van detectie, analyse, insluiting en herstel tijdens een beveiligingsincident. Ze beheren ook de communicatie met de juiste belanghebbenden.
SOC Manager
Het toezicht op de SOC is de manager, die doorgaans rapporteert aan de Chief Information Security Officer (CISO). Taken zijn onder andere toezicht houden op personeelszaken, het uitvoeren van werkzaamheden, het trainen van nieuwe werknemers en het beheren van de financiën.
Beveiligingsengineers
Beveiligingstechnici houden de beveiligingssystemen van de organisatie actief. Dit omvat het ontwerpen van de beveiligingsarchitectuur en het onderzoeken, implementeren en onderhouden van beveiligingsoplossingen.
Beveiligingsanalisten
De eerste respondenten in een beveiligingsincident, beveiligingsanalisten, identificeren bedreigingen, prioriteren ze en nemen vervolgens actie om de schade te beperken. Tijdens een cyberaanval moeten ze mogelijk de geïnfecteerde host, het eindpunt of de gebruiker isoleren. In sommige organisaties worden beveiligingsanalisten gelaagd op basis van de ernst van de bedreigingen waarvoor ze verantwoordelijk zijn.
Threat Hunters
In sommige organisaties worden de meest ervaren beveiligingsanalisten 'Threat Hunters' genoemd. Deze personen identificeren en reageren op geavanceerde bedreigingen die niet worden opgemerkt door geautomatiseerde hulpprogramma's. Dit is een proactieve rol die is ontworpen om de organisatie meer inzicht te geven in bekende bedreigingen en onbekende bedreigingen te ontdekken voordat een aanval heeft plaatsgevonden.
Forensische analisten
Grotere organisaties kunnen ook forensische analisten in dienst nemen, die informatie verzamelen na een schending om de hoofdoorzaken te bepalen. Ze spore beveiligingsproblemen in het systeem op, schendingen van het beveiligingsbeleid en patronen in cyberaanvallen die nuttig kunnen zijn om een vergelijkbare inbreuk in de toekomst te voorkomen.
Typen SOC's
Organisaties kunnen hun SOC's op verschillende manieren instellen. Sommige kiezen ervoor om een toegewijde SOC te bouwen met voltijds personeel. Dit type SOC kan intern zijn met een fysieke locatie on-premises, of het kan virtueel zijn met personeel dat op afstand coördineert met behulp van digitale hulpprogramma's. Veel virtuele SOC's gebruiken een combinatie van opdrachtnemers en voltijdse werknemers. Een uitbestede SOC, die ook wel een beheerde SOC of een leverancier van beveiligingsservices wordt genoemd, wordt uitgevoerd door een provider van beheerde beveiligingsservices die verantwoordelijk is voor het voorkomen, detecteren, onderzoeken en reageren op bedreigingen. Het is ook mogelijk om een combinatie van interne werknemers en een provider van beheerde beveiligingsservices te gebruiken. Deze versie wordt een comanaged of hybride SOC genoemd. Organisaties gebruiken deze aanpak om hun eigen personeel te versterken. Als er bijvoorbeeld bedreigingsonderzoekers ontbreken, kan het eenvoudiger zijn om een derde partij in te huren in plaats van intern personeel in te zetten.
Het belang van SOC-teams
Een sterke SOC helpt bedrijven, overheden en andere organisaties een steeds verder ontwikkelend landschap van cyberdreigingen voor te blijven. Dit is geen gemakkelijke opgave. Zowel aanvallers als de verdedigingscommunity ontwikkelen vaak nieuwe technologieën en strategieën, en het kost tijd en aandacht om alle veranderingen te beheren. Met behulp van de kennis van de bredere cyberbeveiligingsomgeving en het inzicht in de interne zwakheden en bedrijfsprioriteiten, helpt een SOC een organisatie bij het ontwikkelen van een roadmap voor beveiliging die aansluit bij de langetermijnbehoeften van het bedrijf. SOC's kunnen ook de bedrijfsimpact beperken wanneer er een aanval plaatsvindt. Omdat ze het netwerk voortdurend bewaken en waarschuwingsgegevens analyseren, is de kans groter dat ze bedreigingen eerder onderscheppen dan een team dat zich verspreid over verschillende andere prioriteiten. Met regelmatige training en goed gedocumenteerde processen kan de SOC een huidig incident snel aanpakken, zelfs onder extreme stress. Dit kan lastig zijn voor teams die zich niet de hele dag richten op beveiligingsbewerkingen.
Voordelen van een SOC
Door de mensen, hulpprogramma's en processen samen te voegen die worden gebruikt om een organisatie te beschermen tegen bedreigingen, helpt een SOC een organisatie efficiënter en effectiever te beschermen tegen aanvallen en schendingen.
Een sterk beveilgingspostuur
Het verbeteren van de beveiliging van een organisatie is een taak die nooit is voltooid. Er is continue bewaking, analyse en planning nodig om kwetsbaarheden te ontdekken en op de hoogte te blijven van veranderende technologie. Wanneer mensen concurrerende prioriteiten hebben, kan dit werk snel worden genegeerd ten faveure van taken die urgenter zijn.
Een gecentraliseerde SOC helpt ervoor te zorgen dat processen en technologieën continu worden verbeterd, waardoor het risico op een geslaagde aanval wordt verminderd.
Naleving van privacyvoorschriften
Branches, staten, landen en regio's hebben verschillende voorschriften die van toepassing zijn op het verzamelen, opslaan en gebruiken van gegevens. Er wordt vaak vereist dat organisaties gegevensschendingen melden en persoonsgegevens verwijderen op verzoek van een consument. De juiste processen en procedures zijn net zo belangrijk als de juiste technologie. Leden van een SOC helpen organisaties bij het naleven door verantwoordelijkheid te nemen voor het up-to-date houden van de technologie- en gegevensprocessen.
Snelle reactie op incidenten
Het maakt een groot verschil hoe snel een cyberaanval wordt gedetecteerd en gestopt. Met de juiste hulpprogramma's, mensen en intelligentie kunnen veel schendingen worden gestopt voordat ze schade aanrichten. Maar kwaadwillenden kunnen zich goed verbergen, enorme hoeveelheden gegevens stelen en hun privileges escaleren voordat iemand het merkt. Een beveiligingsincident is ook een zeer stressvolle gebeurtenis, met name voor mensen zonder ervaring in incidentenbestrijding.
Met behulp van geïntegreerde bedreigingsinformatie en goed gedocumenteerde procedures, kunnen SOC-teams snel aanvallen detecteren, erop reageren en deze herstellen.
Verminderde kosten voor inbreuken
De kosten van een geslaagde schending kunnen hoog oplopen voor organisaties. Herstel leidt vaak tot aanzienlijke downtime en veel bedrijven verliezen klanten of hebben moeite om kort na een incident nieuwe accounts te winnen. Door aanvallers voor te blijven en snel te reageren, helpt een SOC organisaties tijd en geld te besparen bij het hervatten van normale activiteiten.
Optimale praktijken voor SOC-teams
Met zoveel verantwoordelijkheden moet een SOC effectief worden georganiseerd en beheerd om resultaten te bereiken. Organisaties met sterke SOC's implementeren de volgende optimale praktijken:
Strategie afgestemd op het bedrijf
Zelfs een goed gefinancierde SOC moet beslissingen nemen over waar de tijd en het geld naartoe moeten worden gericht. Organisaties beginnen doorgaans met een risicoanalyse om de grootste risicogebieden en de grootste kansen voor het bedrijf te identificeren. Dit helpt bij het identificeren van wat er moet worden beveiligd. Een SOC moet ook inzicht hebben in de omgeving waarin de assets zich bevinden. Veel bedrijven hebben complexe omgevingen met een deel van de gegevens en toepassingen on-premises en een deel in meerdere clouds. Een strategie helpt bij het bepalen of beveiligingsprofessionals elke dag en te allen tijde beschikbaar moeten zijn, en bij de beslissing om de SOC intern op te nemen of een professionele service te gebruiken.
Getalenteerd, goed getraind personeel
De sleutel tot een effectieve SOC is een zeer ervaren team dat zich voortdurend verbeterd. Het begint met het vinden van het beste talent, maar dit kan lastig zijn omdat de markt voor beveiligingspersoneel zeer concurrerend is. Om een vaardigheidskloof te voorkomen, proberen veel organisaties mensen met verschillende expertises te vinden, zoals systemen en informatiebewaking, waarschuwingsbeheer, incidentdetectie en -analyse, opsporing van bedreigingen, integer hacken, cyber forensisch onderzoek en reverse-engineering. Ze implementeren ook technologie waarmee taken worden geautomatiseerd, zodat kleinere teams effectiever kunnen werken en de productie van jonge analisten kunnen verbeteren. Door regelmatig in training te investeren, kunnen organisaties belangrijke medewerkers behouden, een vaardigheidskloof opvullen en de carrière van mensen bevorderen.
End-to-end zichtbaarheid
Omdat een aanval kan beginnen met een enkel eindpunt, is het essentieel dat de SOC zichtbaarheid heeft in de hele omgeving van een organisatie, inclusief alles wat wordt beheerd door een derde partij.
De juiste hulpprogramma's
Er zijn zoveel beveiligingsevenementen dat teams gemakkelijk overspoeld kunnen raken. Effectieve SOC's investeren in degelijke beveiligingshulpprogramma's die samen goed functioneren en gebruiken AI en automatisering om aanzienlijke risico's te verhogen. Interoperabiliteit is essentieel om hiaten in de dekking te voorkomen.
SOC-hulpprogramma's en -technologieën
Security Information and Event Management (SIEM)
Een van de belangrijkste hulpprogramma's in een SOC is een cloudgebaseerde SIEM-oplossing waarmee gegevens uit meerdere beveiligingsoplossingen en logboekbestanden worden samengevoegd. Met behulp van bedreigingsinformatie en AI helpen deze hulpprogramma's SOC's om zich ontwikkelende bedreigingen te detecteren, reactie op incidenten te versnellen en aanvallers voor te blijven.
SOAR (Security Orchestration, Automation, and Response)
Een SOAR automatiseert terugkerende en voorspelbare verrijkings-, reactie- en hersteltaken, waardoor tijd en resources worden vrij gemaakt voor diepgaandere onderzoeken en opsporing.
Uitgebreide detectie en reactie (XDR, extended detection and response)
XDR is een Software-as-a-Service-hulpprogramma die holistische, geoptimaliseerde beveiliging biedt door beveiligingsproducten en gegevens te integreren in vereenvoudigde oplossingen. Organisaties gebruiken deze oplossingen om proactief en efficiënt een groeiend bedreigingslandschap en complexe beveiligingsuitdagingen in een hybride omgeving met meerdere clouds aan te pakken. In tegenstelling tot systemen zoals eindpuntdetectie en reactie (EDR) breidt XDR het bereik van beveiliging uit door beveiliging te integreren in een grotere reeks producten, waaronder de eindpunten, servers, cloudtoepassingen, e-mails en meer van een organisatie. Van daaruit combineert XDR preventie, detectie, onderzoek en reactie en biedt het inzicht, analyse, gecorreleerde incidentwaarschuwingen en geautomatiseerde reacties om gegevensbeveiliging te verbeteren en bedreigingen te bestrijden.
Firewall
Een firewall bewaakt verkeer van en naar het netwerk, waardoor verkeer wordt toegestaan of geblokkeerd op basis van beveiligingsregels die zijn gedefinieerd door de SOC.
Logboekbeheer
Vaak opgenomen als onderdeel van een SIEM, registreert een oplossing voor logboekbeheer alle waarschuwingen die afkomstig zijn van elk stukje software, hardware en eindpunt dat in de organisatie wordt uitgevoerd. Deze logboeken bevatten informatie over netwerkactiviteit.
Met deze hulpprogramma's wordt het netwerk gescand om zwakke plekken te identificeren die door een aanvaller kunnen worden misbruikt.
User and Entity Behavior Analytics (analyse van gebruikers- en entiteitsgedrag)
De analyse van gebruikers- en entiteitsgedrag is ingebouwd in veel hulpprogramma's voor moderne beveiliging en maakt gebruik van AI om gegevens te analyseren die van verschillende apparaten zijn verzameld om een basislijn van standaardactiviteit voor elke gebruiker en entiteit te bepalen. Wanneer een gebeurtenis afwijkt van de basislijn, wordt deze gemarkeerd voor verdere analyse.
SOC en SIEM
Zonder een SIEM wordt het erg moeilijk voor een SOC om zijn missie te realiseren. Een moderne SIEM biedt:
- Logboek-aggregatie: Een SIEM verzamelt de logboekgegevens en correleert waarschuwingen, dit wordt gebruikt door analisten voor detectie en opsporing van bedreigingen.
- Context: Omdat een SIEM gegevens verzamelt over alle technologie in de organisatie, helpt deze links te maken tussen afzonderlijke incidenten om geavanceerde aanvallen te identificeren.
- Minder waarschuwingen: Door analyse en AI te gebruiken om waarschuwingen te correleren en de meest ernstige gebeurtenissen te identificeren, vermindert een SIEM het aantal incidenten dat mensen moeten beoordelen en analyseren.
- Geautomatiseerd antwoord: Met ingebouwde regels kunnen SIEM's waarschijnlijke bedreigingen identificeren en blokkeren zonder tussenkomst van mensen.
Het is ook belangrijk te weten dat alleen een SIEM niet voldoende is om een organisatie te beveiligen. Er zijn mensen nodig om de SIEM te integreren met andere systemen, de parameters voor detectie op basis van regels te bepalen en waarschuwingen te evalueren. Daarom is het van cruciaal belang om een SOC-strategie te definiëren en het juiste personeel in dienst te nemen.
SOC-oplossingen
Er is een breed scala aan oplossingen beschikbaar om een SOC te helpen bij het beschermen van de organisatie. De beste werken samen om volledige dekking on-premises te bieden en voor meerdere clouds. Microsoft Beveiliging biedt uitgebreide oplossingen om SOC's te helpen hiaten in de dekking te voorkomen en een 360-graden beeld van hun omgeving te krijgen. Microsoft Sentinel is een cloud-gebaseerde SIEM die is geïntegreerd met uitgebreide detectie- en reactieoplossingen van Microsoft Defender om analisten en 'threat hunters' de gegevens te geven die ze nodig hebben om cyberaanvallen te vinden en te stoppen.
Meer informatie over Microsoft Beveiliging
Microsoft SIEM en XDR
Krijg geïntegreerde bedreigingsbeveiliging voor alle apparaten, identiteiten, apps, e-mail, gegevens en cloudworkloads.
Microsoft Defender XDR
Stop aanvallen met geautomatiseerde, domeinoverschrijdende bedreigingsbeveiliging aangedreven door Microsoft XDR.
Microsoft Sentinel
Ontdek geavanceerde bedreigingen en reageer besluitvaardig met een gemakkelijke en krachtige SIEM-oplossing, mogelijk gemaakt door de cloud en AI.
Microsoft Defender-bedreigingsinformatie
Identificeer aanvallers en hun tools en schakel deze uit met een ongeëvenaard zicht op een veranderend bedreigingslandschap.
Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen
Krijg continue zichtbaarheid buiten je firewall om onbeheerde resources te ontdekken en zwakke plekken in je omgeving met meerdere clouds te detecteren.
Veelgestelde vragen
-
Een netwerkbewerkingscentrum (NOC) richt zich op netwerkprestaties en -snelheid. Het reageert niet alleen op storingen, maar controleert ook proactief het netwerk om problemen te identificeren die het verkeer kunnen vertragen. Een SOC bewaakt ook het netwerk en andere omgevingen, maar zoekt naar bewijs van een cyberaanval. Omdat een beveiligingsincident de netwerkprestaties kan verstoren, moeten NOC's en SOC's de activiteit coördineren. Sommige organisaties hebben hun SOC ondergebracht in hun NOC om samenwerking te stimuleren.
-
SOC-teams bewaken servers, apparaten, databases, netwerktoepassingen, websites en andere systemen om mogelijke bedreigingen in realtime te detecteren. Ze doen ook proactief beveiligingswerk door op de hoogte te blijven van de nieuwste bedreigingen en kwetsbaarheden in systemen of processen te identificeren en aan te pakken voordat een aanvaller er misbruik van maakt. Als de organisatie getroffen wordt door een succesvolle aanval, is het SOC-team verantwoordelijk voor het verwijderen van de bedreiging en het herstellen van systemen en back-ups, indien nodig.
-
Een SOC bestaat uit mensen, hulpprogramma's en processen die een organisatie helpen beschermen tegen cyberaanvallen. Om de doelstellingen te bereiken, worden de volgende functies uitgevoerd: inventarisatie van alle assets en technologie, routineonderhoud en paraatheid, voortdurende bewaking, bedreigingsdetectie, bedreigingsinformatie, logboekbeheer, incidentreactie, herstel en herstelmaatregelen, onderzoek naar hoofdoorzaken, beveiligingsverbetering en compliancebeheer.
-
Een sterke SOC helpt een organisatie de beveiliging efficiënter en effectiever te beheren door verdedigers, hulpprogramma's voor bedreigingsdetectie en beveiligingsprocessen te verenigen. Organisaties met een SOC kunnen hun beveiligingsprocessen verbeteren, sneller reageren op bedreigingen en compliance beter beheren dan bedrijven zonder een SOC.
-
Een SOC bestaat uit de mensen, processen en hulpprogramma's die verantwoordelijk zijn voor de verdediging van een organisatie tegen cyberaanvallen. Een SIEM is een van de vele hulpmiddelen die het SOC gebruikt om zichtbaar te blijven en te reageren op aanvallen. Een SIEM verzamelt logbestanden en gebruikt analyses en automatisering om bedreigingen aan het licht te brengen voor leden van het SOC, die besluiten hoe ze erop reageren.
Microsoft volgen