SOC

De evolutie van het Security Operations Center

In deze blog lees je hoe de evolutie van het Security Operations Center zorgt voor snellere detectie van, en reactie op moderne cyberdreigingen.

Clip path group@2x

Ellipse 6

Weet je nog: het incident bij het Kadaster, waarbij miljoenen woonadressen toegankelijk waren door een kwetsbaarheid in hun systeem? Of recenter, het incident bij Ahold waarbij er 6 terabyte aan data is gestolen? Het zijn dit soort heftige incidenten die vaak voorkomen – en die het belang van detectie door een Security Operations Center (SOC) uitlichten.

In beide gevallen werd namelijk duidelijk dat de organisaties niet genoeg zicht hadden op wat er zich in hun omgevingen afspeelde. Dit zijn incidenten waarvan de impact met de inzet van een SOC snel in de kiem kunnen worden gesmoord. Maar dan moeten SOCs wel meegroeien met de altijd-evoluerende cyberdreigingen. Wat is de evolutie van SOCs tot nu toe? En hoe ontwikkelen ze zich om tegen de dreigingen van de toekomst op te kunnen?

SOCs van toen: handmatig, intensief en reactief

In de jaren 80 en 90 werden systemen geïsoleerd beheerd, maar de groei van cyberdreigingen maakte dit onhoudbaar. In de vroege jaren 2000 kregen organisaties de behoefte aan een centraal verzamelpunt om netwerken en systemen continu te monitoren, wat in eerste instantie leidde tot de oprichting van NOCs (Network Operations Center). Deze waren met name gericht op het waarborgen van de beschikbaarheid van IT-omgevingen. In de jaren daarna ontstonden er SOCs, die ook inhoudelijk kijken naar mogelijk kwaadaardige activiteiten.

Maar hoewel SOCs stevig werden ingebed in grote organisaties, kende de manier van werken nog duidelijke beperkingen. Zo’n tien jaar geleden waren SOCs vooral gericht op de detectie van dreigingen binnen netwerken en applicaties, want het herkennen van afwijkend gedrag stond nog in de kinderschoenen. De meeste detecties gebeurden aan de hand van regels – rule en threshold based detectie – die SOC-analisten handmatig moesten opstellen. Vervolgens werd de ernst van de dreiging beoordeeld (triage) en werden passende maatregelen getroffen. Reacties op incidenten kwamen over het algemeen in de vorm van mitigatieadvies: maatregelen om een herhaling van de aanval te voorkomen. Kortom, SOCs van tien jaar geleden waren zeker functioneel, maar vooral reactief en enorm tijdrovend.

SOCs van nu: ondersteund door technologie

Sindsdien zijn SOCs volwassener geworden. Voor detectie wordt er nog steeds gebruikgemaakt van rule based detectieregels, maar nieuwe detectieregels worden sneller gebouwd op basis van machine learning en worden verrijkt met actuele threat intelligence. Daarbij is er nu ook sprake van behavior based detectie. SOCs weten wat ‘normaal’ gedrag is binnen IT-omgevingen en applicaties, en kunnen op basis daarvan afwijkend gedrag meteen signaleren. Denk bijvoorbeeld aan handelingen vanaf een onbekend apparaat of die vanuit het buitenland worden uitgevoerd. In overleg met klanten kan een SOC in zo’n situatie passende maatregelen nemen.

Een SOC krijgt dagelijks bergen aan detecties binnen. Het overzien van al die detecties maakt de triage complex, maar gelukkig helpen geavanceerde systemen en automatisering hierbij. Denk aan het automatisch verwijderen of samenvoegen van dubbele detecties (deduplicatie), uitbreiding van de informatie die detecties bieden (verrijking) en het combineren van verschillende soorten detecties die bij dezelfde aanval horen tot één coherent verhaal, zodat het aanvalspad duidelijk is (correlatie).

SOC-analisten gebruiken ook vandaag de dag nog steeds use cases en playbooks voor het analyseren van detecties, waarbij ze ondersteund worden door tooling die steeds meer zelflerend is. Ook is dit proces tegenwoordig deels geautomatiseerd door AI-modellen. Daardoor kunnen analisten zich focussen op het valideren en verfijnen van detecties. Daarnaast zijn de vervolgacties van SOCs effectiever en actiegericht. In sommige gevallen grijpt een SOC direct in: bij een verdachte inlogpoging wordt het account bijvoorbeeld automatisch geblokkeerd, waarna analisten het incident onderzoeken. In minder duidelijke gevallen voert het team eerst een analyse uit en wordt daarna het account geblokkeerd en contact opgenomen met de klant.

Wat er nog ontbreekt? Detectieregels en responses die op basis van de ‘businesscontext’ zijn opgesteld. Een SOC snapt dan wat de rollen, gevoeligheden en verantwoordelijkheden binnen een specifieke organisatie zijn en kan op basis daarvan nog accurater detecteren. Een gemeente heeft immers andere kenmerken dan een supermarktketen of retailer. Denk hierbij aan afwijkende aanpassingen aan facturen of toegang tot gevoelige HR-gegevens door niet-HR-personeel. Gelukkig hoeven we daar niet lang op te wachten.

SOCs van de toekomst: semi-autonoom

In de toekomst zullen SOCs dankzij AI namelijk zelfstandig detectieregels en andere procedures kunnen opstellen, ook aan de hand van de businesscontext. De verwachting is verder dat een SOC steeds autonomer zal opereren. AI wordt slimmer, playbooks, detectiemodellen en -regels worden (deels) zelflerend en routinewerk verdwijnt vrijwel volledig. Triage gebeurt dan meer geautomatiseerd op basis van risico-inschattingen, met automatische clustering en verrijking van detecties. Analyses en threat hunting worden (deels) uitgevoerd via autonome AI agents. Ook de reacties op detecties worden slimmer en sneller: ingrijpen gebeurt automatisch, tenzij menselijk oordeel écht nodig is. Dit ontwikkelt zich steeds verder, waarbij niet alleen wordt ingegrepen, maar er bijvoorbeeld ook een configuratie wordt gewijzigd of er iets wordt gepatcht.

Van middel tot partner

De ontwikkeling van een SOC door de tijd heen weerspiegelt de ontwikkeling van cyberaanvallen: steeds slimmer en complexer. Vroeger was een SOC vooral goed voor reactie en herstel. Nu ligt de nadruk op preventie en efficiëntie. En in de toekomst? Dan is een SOC niet slechts een digitale politieagent die monitort en ingrijpt wanneer dat nodig is, maar echt een strategische partner die je helpt om stapsgewijs steeds veiliger te worden.