“Hoe zou jij je werk omschrijven?” vraag ik Elise. Lang hoeft ze niet na te denken: “Puzzelen voor gevorderden!” komt er al snel uit. “Eigenlijk ben ik de hele dag bezig puzzels op te lossen. Vaak meerdere tegelijkertijd. De ene puzzel is lastiger dan de andere maar uiteindelijk past ook het laatste stukje.”
Ik zit met Elise in een vergaderkamer op Covid-veilige afstand aan de koffie in het verder vrij uitgestorven kantoor van Tesorion. Elise werkt hier als analist op het Security Operations Center, het SOC.
Een dag uit het leven van een SOC-analist
Als ik haar vraag hoe een gemiddelde werkdag er uitziet antwoordt ze: “Als ik in de vroege dienst werk, open ik vaak als eerste het kantoor. Met een kop koffie start ik de controle van de logs van de afgelopen nacht. Bij onze klanten hebben wij sensoren in het netwerk geplaatst waarmee we de infrastructuur van de klant monitoren. De data die deze monitoren verzamelen combineren we met ’threat intelligence’. Als afwijkingen worden geconstateerd, worden er automatisch tickets aangemaakt. Het monitoringsysteem bepaalt op basis van ingevoerde regels de ‘severity’ van een ticket. Boven een bepaalde waarde gaat er een alarm af. Op het SOC betekent dit dat de rand om het monitoring dashboard rood oplicht. Door de coronamaatregelen werkt een deel van mijn collega’s vanuit huis. Een van hen heeft een lamp ontwikkeld die de thuiswerkers naast hun beeldscherm hebben staan. Deze lamp kleurt met het dashboard op kantoor mee.”
“Zou je een voorbeeld kunnen geven van een incident waarvan de lampen rood kleurden?” vraag ik. Elise lacht: “Heel veel voorbeelden zelfs, maar het werk dat ik doe is vaak heel vertrouwelijk. We kennen de zwakheden van onze klanten. Informatie die voor een kwaadwillende van grote waarde is. Bovendien hebben onze klanten ook hun reputatie hoog te houden. Maar ik kan je wel een geanonimiseerd voorbeeld geven. Niet zo lang geleden zagen we dat op het netwerk van een van onze klanten in korte tijd wachtwoorden onversleuteld over het netwerk gingen. Bovendien werd er in een zeer korte periode een ongeveer twintigduizend keer geprobeerd om in te loggen. We hebben meteen contact opgenomen met de klant. Die heeft maatregelen genomen om de aanval te stoppen. Aanvullend hebben we de klant geadviseerd hoe ze de kans op dit soort aanvallen in de toekomst kunnen verkleinen. Het puzzelen doen we overigens vaak in tweetallen: zo brengt ieder zijn eigen kwaliteiten in en hou je elkaar ook scherp.”
Samenwerking
Als het echt misgaat en de klant er zelf niet uit komt, dan schakelen we ons Computer Emergency Response Team (CERT) in. Die gaat ter plaatse en helpt de klant om het incident onder controle te krijgen, de schade te beperken en eventuele gevolgen ongedaan te maken. Bijvoorbeeld bij een aanval met ransomware.”
“Als ze klaar zijn koppelt het CERT hun bevindingen aan ons terug zodat wij onze monitoring tooling daarmee kunnen verfijnen want, naast het puzzelen, besteden we ook dagelijks tijd aan projecten. Onder andere om onze monitoring en onze geautomatiseerde interpretatie van de monitoring gegevens te verbeteren en up-to-date te houden.”
“Wat vind je het leukste aan je werk?” “Het is nooit saai” zegt Elise. “Er kan altijd iets gebeuren, je moet altijd alert zijn. De omgeving verandert, de aanvalstechnieken veranderen. Gelukkig werk ik in een hecht team. Er is veel onderling vertrouwen, we helpen elkaar en hebben veel plezier in ons werk. Je mag fouten maken en op z’n tijd wordt er veel gelachen want we zijn dan wel techneuten, maar humor hebben we zeker!”
“Is er ook een nadeel aan het werk dat je doet?” vraag ik. Elise hoeft niet lang na te denken: “Als ik thuiskom kan ik mijn partner nooit eens vertellen wat ik nu weer heb meegemaakt op mijn werk…”
*Deze blog is de eerste uit een reeks waarbij we lezers een kleine blik achter de schermen van het SOC geven