Onder het MKB begint langzaamaan het belang van cybersecurity door te dringen. Toch horen we nog vaak de misvatting: ‘bij ons valt niets te halen, waarom zou ik interessant zijn voor een hacker?’. Het tegenovergestelde blijkt uit de praktijk, waarbij juist middelgrote bedrijven vaak het doelwit zijn van cybercriminelen. Inlogpogingen en phishing aanvallen zijn dagelijkse kost voor organisaties van elk formaat. Daarom is het inschakelen van een SOC geen overbodige luxe maar een verstandige keuze. In deze blog gaan dieper in op de vraag waarom een SOC van essentieel belang is voor het MKB.
Hoe gaat een SOC te werk?
Een Security Operations Center (SOC) is een centrale locatie waar een team van cybersecurity specialisten 24×7 de IT-systemen en netwerken van een organisatie monitort en beveiligt. Dit bestaat uit de volgende onderdelen:
- Continu monitoren op verdachte activiteiten en beveiligingsincidenten;
- Detecteren van mogelijke beveiligingsproblemen zoals malware, inbraakpogingen of datalekken;
- Snelle respons op en onderzoeken van beveiligingsincidenten zodra deze worden ontdekt;
- Preventie door middel van het proactief versterken van de beveiliging.
Het SOC van Masero gebruikt hiervoor de nieuwste Microsoft technologieën en vergaart constant nieuwe inzichten aangezien cybercriminaliteit zich in een razend tempo ontwikkelt.
24/7 Managed Detection & Response
Ons SOC monitort 24 uur per dag, 7 dagen per week de IT-omgeving van uiteenlopende klanten. Zodra ze iets verdachts detecteren, zoals een phishingmail, komt er een melding binnen en beoordelen de SOC analisten hoe hierop te reageren. Collega Krijn, cybersecurity engineer bij Masero, vertelt: ‘de eerste stap is het verifiëren van de melding. Bij een verdachte mail bijvoorbeeld, kijken we naar de context en checken we de eindbestemming van de URL. Zo kunnen we vrij snel beoordelen of er verdere actie nodig is of dat het gaat om een zogenaamde false positive.’ Aanvallen worden steeds vernuftiger en phishing mails zijn op het blote oog steeds lastiger te herkennen: ‘we zien vaak dat de gebruiker niet eens door had dat hij of zij op een verkeerde link heeft geklikt, omdat je in eerste instantie op een legitieme site uitkomt. Ook is het vrij eenvoudig om een phishing mail te personaliseren wat een gevoel van vertrouwen opwekt’.
De werkwijze
Het SOC streeft ernaar om alle phishing aanvallen of inbraakpogingen te onderscheppen. Dit gebeurt grotendeels automatisch, mits alles goed is geconfigureerd. Mocht het toch gebeuren dat iemand inlogt op een onveilige site dan moeten we zo snel mogelijk een aantal stappen ondernemen om eventuele schade te voorkomen of te beperken. Deze stappen worden indien van toepassing in nauwe samenwerking met de Managed Service Provider (MSP) genomen.
‘Als eerste wordt het account van de gebruiker gereset om zo te voorkomen dat deze nog verder misbruikt kan worden’, legt Krijn uit. ‘Er wordt contact gelegd met de gebruiker omdat deze vaak niet eens in de gaten heeft dat er iets gaande is. Vervolgens wordt er gekeken of andere gebruikers binnen de omgeving dezelfde mail hebben ontvangen. Zo ja, dan moeten we checken of er al wachtwoorden zijn ingevuld en een domino-effect zien te voorkomen’. Vaak maken hackers gebruik van een domeinnaam die bijna niet van het origineel te onderscheiden is waardoor de fout snel gemaakt is, licht Krijn toe: ‘ik heb wel eens gezien dat ze er Micrasoft van maakten in plaats van Microsoft. Als je niet op je hoede bent en het ziet er in eerste instantie geloofwaardig uit, klikken mensen nietsvermoedend op een verkeerde link. Daarna heeft een hacker vaak maar vijf minuten nodig om binnen te dringen.
De vereisten van een goed SOC
Zeker met de komst van AI worden steeds meer handelingen geautomatiseerd en ontwikkelt de technologie zich aan beide kanten razendsnel. Toch is de menselijke expertise binnen het SOC onmisbaar, benadrukt Krijn. ‘We zijn constant op zoek naar de perfecte balans tussen veiligheid en werkbaarheid’. Een vereiste hierbij is een proactieve houding binnen het SOC-team, waarbij we trends en ontwikkelingen op de voet moeten volgen. Dit is onderdeel van ‘threat intelligence’, waarbij er zoveel mogelijk inzicht wordt verkregen van cybercriminelen en hun werkwijze. Wat speelt er momenteel bij andere organisaties, welke technische kennis bezitten hackersgroepen, welke tactieken gebruiken zij en wie zijn hun voornaamste doelwit? Daarnaast is de motivatie van cybercriminelen ook belangrijk hierbij. ‘Het gaat in de meeste gevallen om financieel gewin, maar ze hebben soms ook tactische beweegredenen’, verklaart Krijn. Al deze kennis helpt het SOC niet alleen bij het reageren op incidenten, maar ook bij het nemen van preventieve maatregelen om de aanvallers een stap voor te blijven.
Als antwoord op de vraag over welke vaardigheden een goede SOC-analist beschikt, deelt Krijn het volgende:
- Het vermogen om incidentonderzoek te doen en bronnen aan elkaar te koppelen
- Analytisch en technisch denkvermogen
- Sterke communicatieve vaardigheden
- Proactieve houding bij incidenten
Door de snelle technologische ontwikkelingen is continue educatie en training van het SOC-team tevens essentieel.
Conclusie
Een SOC is de verdedigingslinie van je bedrijf tegen geavanceerde cyberdreigingen. Door snel te reageren op incidenten, voortdurend op de hoogte te blijven van trends en hun kennis up-to-date te houden, spelen onze SOC-analisten een cruciale rol in de beveiliging van het MKB. Bedrijven, ongeacht hun grootte, kunnen het zich niet veroorloven om cybersecurity te negeren. Eén enkele klik kan namelijk al desastreuse gevolgen hebben. Dankzij ons SOC kan jouw bedrijf zich beter weren tegen deze dreigingen en een veilige toekomst tegemoet gaan.
© 2023 Masero