In gesprek met Daniël Jansen (manager Managed Security Services) en Joost Geusebroek (manager SOC) bij Tesorion. Het SOC is het Security Operations Center waarbij klanten worden beschermd tegen dreigingen van zowel binnenuit als buitenaf op IT-gebied. In deze blog geven we wat meer inzicht in de werkzaamheden van het SOC. Want: wat doet het SOC precies, welke stappen worden hierbij gevolgd en wat zijn de wensen voor de toekomst?
Wat doet het Tesorion SOC precies?
Op mijn vraag wat het Tesorion SOC precies doet leggen ze uit: “Wij monitoren het IT-landschap van onze klanten op mogelijke dreigingen. Onze SOC-analisten geven hier actieve opvolging op. We bieden onze klanten een 24/7 dienstverlening zodat zij veilig blijven.”
Al snel krijg ik visioenen van een grote groep analisten die midden in de nacht op kantoor zitten en constant op scherp staan tot er mogelijk iets gebeurt. “Wij bewaken onze klanten inderdaad 24/7, al is de bezetting ’s nachts wel anders dan overdag tijdens kantooruren”, vertelt Joost. “Overdag voeren we dan ook meer de structurele en planmatige activiteiten uit, hebben we regelmatig voortgangsgesprekken met onze klanten en ’s nachts grijpen we alleen in bij cyberincidenten die direct aandacht vereisen. Cybercriminelen houden er immers geen vaste werktijden op na.”
Klanten veilig maken en houden
Kort door de bocht dient het Tesorion SOC uiteindelijk om klanten veiliger te maken en te houden. “Dat is wel de essentie van onze dienstverlening, dat we over de schouders van de klanten meekijken”, vertelt Daniël. “Vanuit onze tooling kunnen wij bepaalde zaken signaleren. We nemen contact op met de klant en geven vervolgens advies over de te nemen stappen of om direct in te grijpen. We kijken naar mogelijke verdachte activiteiten, beoordelen deze en als het een zogenaamde true positive is, dan geven we hier direct opvolging aan.” Wat precies de toegevoegde waarde is van deze dienstverlening? “Dat we naast automatische tooling ook fysieke mensen achter de knoppen hebben”, zegt Daniël beslist. “We automatiseren zoveel mogelijk en laten de tooling voor ons werken. Maar onze kracht ligt vooral in het feit dat onze securityspecialisten achter de schermen met je meekijken en je kunnen adviseren. Door onze jarenlange kennis en ervaring met het analyseren en beoordelen van cyberdreigingen zijn wij in staat die punten er uit te pakken die ook daadwerkelijk een dreiging vormen voor jouw organisatie.”
”Door de coronacrisis werken natuurlijk veel mensen thuis. Dit is een enorme verschuiving. Eerst kon je vanuit een kantoornetwerk goed monitoren, nu moet je het veel meer hebben van gegevens uit de cloud en van endpoints.
Daniël JansenManager Managed Security Services
Voorbeeld van verdachte activiteiten
Nog even over die verdachte activiteiten. Daniël geeft een voorbeeld om een wat beter beeld te krijgen. “Verdachte activiteiten zijn onder andere malware of een phishingaanval. Maar ook verdacht verkeer wat uit een netwerk wordt getrokken. Het gaat echt alle kanten op. We zien bijvoorbeeld een phishingmail binnenkomen. Op zich is dit niet geks, want dit komt bij elke organisatie voor. Maar als we daarna opeens zien dat er op het betreffende werkstation verkeer naar China wordt opgezet terwijl de klant verder geen banden heeft met China, dan schakelen met de klant. Eigenlijk kijken we met name naar afwijkend gedrag. Zo detecteren we wanneer je iets doet wat anders niet voorkomt. Bijvoorbeeld als iemand om 3 uur ’s nachts op de administratie inlogt, of wanneer een collega ineens overboekingen doet van veel hogere bedragen. We geven advies over wat ze kunnen doen en hoe ze dit verder kunnen onderzoeken.”
Hoe gaan ze te werk bij het Tesorion SOC?
Natuurlijk gebeurt het opvolgen van meldingen zeer gestructureerd. Joost legt het stappenplan uit voor wat betreft de werkwijze bij het SOC. “Uiteraard kijken we bij de onboarding van nieuwe klanten eerst naar waar de klant behoefte aan heeft. We kunnen natuurlijk niet alles in de gaten houden, dus sluiten we eerst een aantal zaken uit. Daarbij bepalen we ook meteen de scope: wat vinden we essentieel om zicht op te hebben en wat gaan we monitoren? Van hieruit doen wij ons werk, waarbij je in verschillende scenario’s – oftewel use cases – terecht kunt komen. Denk aan het voorbeeld van net, over het verdachte verkeer naar China. Dit gaan wij eerst onderzoeken. Hier bedoelen wij mee dat elke activiteit die plaatsvindt niet meteen slecht hoeft te zijn. Het kan natuurlijk ook zijn dat je gewoon een Chinese website bezoekt. Je kijkt eerst samen met de klant of de verdachte activiteit ook daadwerkelijk iets is wat mogelijk schade kan berokkenen. Dan kom je bij de beslissing: is het een false positive of een true positive? Bij dit laatste is er wel iets aan de hand. In het verdere onderzoek naar het incident kun je verschillende paden volgen. Het hangt vooral af van het type incident. De opvolging doen we via standard operating procedures.”
”Overdag voeren we de structurele en planmatige activiteiten uit en ’s nachts grijpen we alleen in bij cyberincidenten die direct aandacht vereisen. Cybercriminelen houden er immers geen vaste werktijden op na.
Joost GeusebroekManager SOC
Zichtbare trends, onder andere door COVID-19
Ook zijn er al een aantal trends zichtbaar waarbij het SOC moet inspringen of op een iets andere manier te werk moet gaan. “Door de coronacrisis werken natuurlijk veel mensen thuis”, geeft Daniël aan. “Dit is een enorme verschuiving. Eerst kon je vanuit een kantoornetwerk goed monitoren, nu moet je het veel meer hebben van gegevens uit de cloud en van endpoints zoals een laptop.”
“Voorheen plaatsten we altijd een fysiek apparaat bij de klant”, gaat Joost verder. “Een sensor die aan het netwerk hangt. Maar nu zie je dus die verschuiving. We koppelen de gegevens van deze sensor, van de endpoints én de gegevens uit de cloud. De klant kan specifiek aangeven of zo’n fysieke sensor in hun kantoornetwerk nog gewenst is. De trend die je ziet is dat er steeds meer focus wordt gelegd op de eindgebruiker.”
“Een andere trend die je ziet is dat encryptie steeds meer wordt toegepast”, vult Daniël aan. Hierdoor moet je ook op andere manier naar je data gaan kijken. Vroeger kon je met een traditionele netwerkingang alles afluisteren. Dat wordt nu steeds minder relevant. Je hebt nu veel meer tools en gegevens nodig om een volwaardige dienst te kunnen leveren.”
Wensen voor de toekomst
We willen een actief onderdeel van de bedrijfsvoering van onze klanten worden. Niet alleen monitoren en een advies geven, maar geautomatiseerd ingrijpen waar toegestaan. Zo beschermen we onze klanten volledig. Wij nemen die taak op ons zodat zij zich kunnen richten op hun kernactiviteiten.
Op mijn vraag of er nog wensen voor de toekomst zijn, is het antwoord van Daniël en Joost eensgezind. “We willen nog meer geautomatiseerd kunnen reageren”, geeft Daniël aan. “Nu is het heel erg incident gedreven: we reageren op iets dat plaatsgevonden heeft en overleggen met de klant hoe dit in de toekomst kan worden voorkomen. We willen er naartoe dat incidenten automatisch worden opgespoord, zodat we nog sneller kunnen ingrijpen en daarna de klant informeren: “Dit heeft plaatsgevonden, op deze manier hebben we het opgelost. Dat kan gaan van het uitvoeren van aanpassingen op de firewall, het blokkeren van een gebruiker tot isoleren van een endpoint.” Bovendien bespaart dit veel tijd en reduceer je direct de potentiële dreiging voor de klant. We willen de klant een zo volledig mogelijke dienstverlening bieden; niet alleen met SOC dienstverlening maar met het volledige portfolio.”