Tijdens het Axians Cyber Security Event van 2024 namen diverse experts het podium om inzichten te delen over actuele security topics. Tijdens de tweede sessie van de dag namen SOC analist Davey Sprenger en Solution Architect Henri van den Heuvel het podium voor een exclusief kijkje achter de schermen van het Security Operations Center. Want wat gebeurt er nu eigenlijk wanneer er een beveiligingsincident wordt gedetecteerd?
Ethical hacking, business reviews, Security Maturity Reviews: het zijn allemaal tools om te achterhalen hoe het staat met je security-architectuur. Het zit in de aard van de mens dat we wachten tot er iets misgaat om actie te ondernemen. Maar soms is het niet nodig om te wachten tot er iets misgaat. Een cyberaanval gaat gebeuren, hoe je het ook went of keert. Het is daarom zaak dat je ervoor zorgt dat wanneer het gebeurt je voorbereid bent op het ergst mogelijke scenario en snel kunt acteren.
Wat is het SOC?
Dat is precies waar het Security Operations Center bij ondersteunt. Met als doel om proactief bedreigingen te identificeren en schade te minimaliseren van een onvermijdelijke cyberaanval, maakt het Axians SOC zich iedere dag hard voor onze diverse klanten. En dat gebeurt door ‘gewone mensen’. Geen mysterieuze, donkere ruimte met indrukwekkende schermen en mensen in hoodies. Het team bestaat uit analisten die nauw samenwerken om samen met onze klanten hun netwerken te monitoren, bedreigingen te detecteren en mitigeren, en incidenten te rapporteren.
Dit is wat een SOC doet
De eerste stap die continu binnen het SOC plaatsvindt is monitoring. Alle omgevingen worden continu geobserveerd om verdachte activiteiten op te sporen. Dat is precies waar het zich onderscheidt van preventieve security-maatregelen, omdat juist de eerste momenten nadat een hacker toch is binnengedrongen het verschil maken in het minimaliseren van de schade.
De volgende stap is detectie. Wat is er nu precies gebeurd? Het SOC-team analyseert wie er toegang probeert te krijgen tot het netwerk, welke kwetsbaarheden worden misbruikt en welke route de aanvaller heeft genomen om binnen te dringen. Zodra dit duidelijk is, wordt er een rapport opgesteld over de bevindingen. Dit wordt gedeeld met de klant zodat zij altijd op de hoogte zijn van de actuele status en welke maatregelen er zijn genomen om de incidenten te verhelpen.
Trends en kwetsbaarheden
Ook worden actief de laatste trends en alom bekende kwetsbaarheden binnen veelgebruikte applicaties bijgehouden. Vanuit de diverse leveranciers en nieuwsbronnen is het SOC-team als eerste op de hoogte van de nieuwste kwetsbaarheden. Dit stelt het SOC in staat om snel te kunnen reageren op nieuwe bedreigingen en proactief besluiten te nemen om potentiële dreigingen geen schijn van kans te geven.
Door te kijken naar actuele trends, gaat het SOC-team analyseren welke soort aanvallen toenemen en welke technieken het meest worden gebruikt. Dit stelt het SOC in staat om de beveiligingsstrategie hierop aan te passen en klanten proactief te adviseren.
Wat gebeurt er in het geval van een cyberaanval?
Tijd om dit eens in de praktijk te aanschouwen. Tijdens de sessie gaf Davey een demonstratie van een typische cyberaanval. Wat gebeurt er vanaf het moment dat een hacker probeert binnen te dringen en hoe reageert het SOC daarop? Davey schetst een scenario waarin een medewerker een e-mail ontvangt met een – op het eerste gezicht – onschuldige bijlage. Achter deze bijlage zit echter een kwaadaardig script dat de aanvaller toegang geeft tot de computer van de medewerker.
Dat is waar de radars van het SOC gaan draaien. Het SOC-team ontvangt onmiddellijk een melding van het Endpoint Detection and Response (EDR) systeem dat er een verdachte activiteit plaatsvond. Het is direct inzichtelijk dat er verbinding is gemaakt met een externe server en dat er mogelijk schadelijke software is gedownload. Het script wordt geïdentificeerd, geanalyseerd en onschadelijk gemaakt om verdere schade te voorkomen.
Automatisering en de toekomst van het SOC
Met het toenemende aantal cyberaanvallen en de complexiteit van hedendaagse bedreigingen is het onmogelijk voor het SOC om alles handmatig te doen. Daarom wordt automatisering steeds belangrijker. Het helpt bij het filteren van false positives, het sneller identificeren van echte bedreigingen en het uitvoeren van standaard acties op bekende aanvallen. Hierdoor heeft het SOC-team meer tijd voor complexe vraagstukken die menselijke expertise vereisen.
Automatisering zal met de komst van kunstmatige intelligentie en machine learning een vogelvlucht nemen binnen het SOC om bedreigingen nóg sneller en nauwkeuriger te detecteren. Ook routinetaken kunnen hierdoor steeds meer weggehaald worden bij het SOC-team. Uiteraard is educatie en training cruciaal om dit goed toe te passen. Om complexe cyberdreigingen bij te kunnen houden is het essentieel dat het SOC-team altijd op de hoogte is van de nieuwste techniek en strategieën.
Partnership centraal
Maar het SOC is niets zonder de effort van de klanten waarvoor we werken. De relatie tussen het SOC en de klant is namelijk een partnership. Het SOC-team is als een verlengstuk van de security afdeling van de klant. Wij constateren trends en kwetsbaarheden proactief, waarna we gezamenlijk kijken hoe deze het beste bestreden kunnen worden. Deze samenwerking is essentieel voor het creëren van een robuuste security-strategie.
Heb jij als organisatie ook behoefte aan een partnership zoals deze? Vul dan onderstaand contactformulier in zodat we samen kunnen kijken hoe het SOC jou kan helpen. Benieuwd naar de andere inzichten van het Axians Cyber Security Event? We hebben alles voor je gebundeld in dit blogartikel.
