Menu
Interview

Vooral de medewerkers vormen de kracht van een SOC

Hoe Ronald van der Westen voor Motiv zelf een Security Operations Center kon opzetten

Bedrijven besteden steeds vaker IT-activiteiten uit, er worden in toenemende mate clouddiensten ingezet en moderne medewerkers willen overal, altijd en met elk apparaat kunnen werken. Dit soort ontwikkelingen dwingt bedrijven om op een andere manier naar beveiliging te kijken dan ze tot nu toe gewend zijn om in control te blijven.

"Door deze ontwikkelingen dreigen organisaties de grip op hun data te verliezen," waarschuwt Ronald van der Westen, manager Managed Security Services, Professional Services en het SOC bij Motiv. "Want welke data bevindt zich waar als je outsourcing of de cloud inzet? Wie kan er bij en wat gebeurt er allemaal mee?" Traditioneel gezien ligt de focus bij beveiliging vooral op het eigen datacenter. De plek waar alle verbindingen binnenkomen en naar buiten gaan. Maar nu data altijd en overal benaderbaar moet zijn, verschuift de beveiliging steeds meer richting de eindgebruiker en de data zelf.

"Dan heb je wel een centraal punt nodig voor orchestratie, het op een gecontroleerde manier toegang bieden tot de informatie en het monitoren van alle activiteiten. In het Motiv SOC worden alle activiteiten op de applicatie en bijbehorende data gecentraliseerd verzameld, geanalyseerd, en gecorreleerd. Afwijkingen kunnen zo snel worden herkend en aan de klant worden gerapporteerd."


Ronald van der Westen
Manager Managed Security Services, Professional Services en het SOC
bij Motiv

Nieuwe uitdaging

Al in 2013 besloot Motiv te onderzoeken hoe een SOC ingezet kan worden om de dienstverlening aan klanten uit te breiden. "Vanuit mijn functie als consultant heb ik mij een jaar of vijf met verschillende producten uit ons portfolio beziggehouden," vertelt Van der Westen. "Van firewalls tot e-mailsecurity en web-security, van connectiviteit bij klanten tot het uitvoeren van beveiligingsonderzoeken en social engineering. Deze gevarieerdheid beviel mij uitstekend, maar ik was toe aan een nieuwe uitdaging." Van de directie mocht hij het SOC-onderzoek uitvoeren. "Het leek mij supergaaf om het SOC vanaf de grond op te bouwen."

Nadat Van der Westen had onderzocht wat een SOC nu eigenlijk is, welke typen er bestaan en hoe je een SOC effectief inzet, was enkele maanden later de business case afgerond en een roadmap opgesteld. "Tot dat moment was onze dienstverlening vooral reactief, terwijl we graag richting realtime alerting wilden gaan om sneller inzicht te krijgen in wat er bij onze klanten speelt. Problemen kun je dan direct analyseren en oplossen."

Nadat de roadmap was getoetst aan de nieuwe strategische plannen van het bedrijf, werd eind 2014 een gloednieuwe afdeling opgericht die zich volledig met security werkzaamheden bezighield. Het SOC was een feit.

Wil je weten wat het betekent om bij Motiv te werken? Kijk dan op de pagina Werken bij Motiv

Overigens is volgens Van der Westen een van de grootste uitdagingen voor een SOC het vinden van de juiste mensen. "Alleen al hierdoor is het voor een gemiddelde organisatie veel verstandiger om het SOC uit te besteden aan een gespecialiseerd securitybedrijf", stelt hij.

Eén van de beste van de wereld

Daarna is het SOC snel volwassen geworden. "Afgelopen mei hebben we, om te toetsen waar ons SOC staat, een onafhankelijk SOC assessment laten uitvoeren door HPE", vertelt Van der Westen enthousiast. "Hier kwam ons SOC als een van de beste in de wereld uit de bus. We hebben zelfs de allerhoogste score behaald die ooit bij een eerste assessment is toegekend! Daar zijn we heel trots op"

Het SOC is ook continu in ontwikkeling. Van der Westen: "We kijken doorlopend naar veranderingen in de markt, wat de klantvraag is, welke oplossingen erbij passen en hoe we onze dienstverlening erop kunnen aansluiten. Het is een continu proces." Inmiddels zijn alle diensten die met beveiliging te maken hebben in het SOC ondergebracht. Waaronder security monitoring, log management, vulnerability management, anti-DDoS oplossingen en beveiligingsonderzoeken. Daarnaast verruilde van der Westen in 2015 zijn rol als consultant voor een leidinggevende functie. "Als SOC manager is de aansturende rol die ik als consultant had formeel geworden."

Een andere verandering ten opzichte van de begintijd, is dat het trainen van medewerkers nu nog meer aandacht krijgt. "In het begin lag de nadruk alleen op productcertificatie en technische trainingen, nu worden ook soft skills getraind. Denk aan het prioriteren van het eigen werk, de communicatie met collega's en klanten en schriftelijke communicatie zoals het maken van adviesrapporten." Motiv heeft voor haar medewerkers een optimaal programma ontwikkeld dat medewerkers de juiste set aan kennis en expertise meegeeft die ze direct kunnen toepassen in de praktijk.

Alert reageren op abnormaliteiten

De kracht van het SOC zit hem er vooral in dat je er alle typen applicaties, servers en databases en andere informatiebronnen in kunt koppelen. Afhankelijk van de bedrijfsprocessen en het bijbehorende risicoprofiel ondersteunt Motiv haar klanten met het selecteren van de juiste bronnen die aan het SOC gekoppeld worden. Daarna worden op basis van een grote set aan Use Cases, ofwel potentiële gebeurtenissen, automatisch verdachte patronen of afwijkingen herkend en geanalyseerd. "Abnormaliteiten kun je er nu direct uithalen en onderzoeken," vertelt Van der Westen.

Allereerst komen er operationele zaken naar boven. Bijvoorbeeld een verlopen service account, waardoor een back-up script niet meer werkt en het net lijkt of er een brute force aanval plaatsvindt. Gewone beheerzaken dus. Daarnaast zijn er afwijkingen die wel degelijk een relatie kunnen hebben met een gerichte of ongerichte aanval.

DDoS-aanvallen en phishing

Zo kwamen er bij een nieuwe klant vreemde (en grote hoeveelheden) DNS-verzoeken voorbij. Dat trok meteen de aandacht van SOC-medewerkers. "We kwamen erachter dat er misbruik gemaakt werd van een DNS-server van de betreffende klant. Die werd voor DDoS-aanvallen gebruikt. De klant was al enige tijd onderdeel van een bot-netwerk. De oorzaak was een configuratiefout in deze DNS-server. Eenmaal geïdentificeerd was dit snel op te lossen."

Bij een andere klant waren enkele gebruikers per ongeluk op een phishing-mail ingegaan die nog niet als zodanig herkend werd. "Na het inloggen op een nep Outlook-portal werden de gestolen credentials via de echte portal gebruikt om gigantische hoeveelheden spam te versturen."

De kracht van het SOC

Begin dit jaar is Ronald van der Westen gepromoveerd tot manager Managed Security Services, Professional Services en het SOC, waarmee hij verantwoordelijk is geworden voor de volledige dienstverlening aan klanten. "Het is voor mij allemaal erg snel gegaan en ik kijk met plezier terug op de ontwikkeling die ik tot nu toe heb doorgemaakt. Het leukste aan het werken in het SOC, is dat je nooit weet wat je te wachten staat. Je reageert continu op veranderingen in infrastructuren en klantsystemen. Analyseren en onderzoeken wat er aan de hand is, dat is bijzonder leuk en uitdagend om te doen."

Naast dat je de juiste tools en processen nodig hebt, vormen vooral de mensen de kracht van het SOC, benadrukt Van der Westen: "Zij zijn het die het uiteindelijk moeten doen. Daar zit het analytisch vermogen. Hoe slim bepaalde software in de toekomst misschien ook wordt, het zijn altijd de medewerkers die de klant helpen en adviseren bij het oplossen van hun problemen."

Benieuwd naar vacatures bij Motiv? Kijk op de vacaturepagina!

7 / 21