Wie aan de slag gaat om een Security Operations Center (SOC) functie in de organisatie in te richten, doet er verstandig aan de factsheet van het NCSC te volgen. SOC inrichten: begin klein. Het is een goede factsheet en ik ben het er roerend mee eens, maar ik heb wel 2 aanvullingen voor organisaties die gebruik maken van Microsoft365. En dat zijn er nogal wat.
Mijn 2 aanvullingen op de NCSC factsheet gaan om het focussen op de jackpot en te werken met de middelen die je al hebt.
Waarom niet GROOT beginnen?
De SOC functie is iets nieuws voor de organisatie. Het is ingewikkeld en je hebt er mensen bij nodig die al heel druk zijn en geen of weinig ervaring erbij hebben. Het SOC werkt met alarmen die onderzocht moeten worden. Het alarm kan duiden op een incident, maar het kan ook een duplicaat zijn. Of een false-positive (dus onterecht). Of wel terecht maar niet belangrijk. Dus je moet al even aan de slag om te begrijpen of je überhaupt iets moet doen met een alarm, en daarna begint het onderzoeken pas. en dáárna pas het proces van afhandeling met relevante organisatieonderdelen. Hoe vaak kan je zoiets erbij hebben op een dag? Eén keer? Of is dat al teveel?
Kortom het zal averechts werken om het team te overladen met alarmen. Binnen afzienbare tijd zal de waarde van een alarm gereduceerd zijn tot iets wat je kan negeren. Precies wat je niet wilt.
Daarom dus: begin klein. Zoals Desmond Tutu , Dr. Leo Marvin en Bob Wiley ons leerden.
Focus op De Jackpot
Allereerst suggereert het NCSC om als eerste stap monitoring in te richten voor “infrastructurele of middlewarecomponenten, bijvoorbeeld de firewall een webserver of de antivirusoplossing“. Ik snap wel waar dit vandaan komt en op zichzelf is er als beginpunt niet veel mis mee. Maar ik vind het zelf logischer om te beginnen met iets waar de kans op misbruik het grootst is. Jarenlang waren de genoemde componenten daar logische componenten bij, maar door de komst van Cloud en SaaS zal het gros van cyberaanvallen helemaal niet langs een firewall of antivirusoplossing komen. Immers: wanneer het gebruikersaccount van een medewerker in verkeerde handen valt, kan men hoogstwaarschijnlijk vanaf elke plek in de wereld inloggen op office.com of gmail.com en toegang krijgen tot e-mail.
En laat het nu zo zijn dat de meeste cybercrime begint bij e-mail en vaak zelfs ook blijft. CEO-fraude ofwel BEC, daar heeft de aanvaller alleen maar de e-mailbox voor nodig, verder niks. Veel ransomware incidenten beginnen ook bij gelekte inloggegevens waarna aanvallers zich zonder malware ‘gewoon’ als een collega door de infrastructuur gaan bewegen en nauwelijks te onderscheiden zijn van een legitieme werknemer.
Dus ik zou als eerste stap ervoor zorgen dat authenticatie en het gebruik van Office365 / Microsoft365 wordt gemonitord op misbruik. Dat is waar de jackpot van jouw organisatie zit. Begin daar.
En als je al in het netwerk wilt monitoren, wat inhoudelijk behoorlijk ingewikkeld is en ook veel loze alarmen zal opleveren: overweeg dan om met Thinkst Canaries een paar struikeldraden in het netwerk te plaatsen. Implementatie is eenvoudig en ook goed betaalbaar. Bovendien zijn de alarmen eigenlijk altijd aanleiding voor onderzoek, dus veel efficiënter dan door bakken aan netwerkverkeer te moeten filteren. We helpen graag.
Werk met middelen die je al hebt
Het tweede punt dat ik wil maken bij de Factsheet gaat over de selectie van een SIEM tool op pagina 6. Ik snap wel dat een NCSC niet eenvoudig een bepaalde tool kan aanprijzen en dat past ook niet in een factsheet. Maar laten we wel wezen: je hebt al een SIEM tool. In jouw Microsoft365 abonnement betaal je automatisch ook voor Microsoft Sentinel. Een functie die niet standaard aan staat, maar wel kan. Afhankelijk van hoe je het gaat gebruiken, kan het meerkosten opleveren in je Microsoft abonnement, maar tot flinke hoogte kan je zonder extra kosten gebruik maken van de tool.
En als je een zekere weerzin voelt om te snel in een vendor lockin te trappen, weet dan ook dit:
- Microsoft Sentinel wordt door marktanalisten als leider gezien in de sfeer van SIEM aanbieders
- De Microsoft Sentinel gebruikerscommunity is by far de meest actieve van SIEM aanbieders, waardoor veel kennis beschikbaar is bij partners of zelfs gratis online.
Attic Sentinel Addon
Inmiddels had u begrepen dat Attic precies langs de lijn van deze visie u hulp biedt om een SOC functie in te richten. Onze focus met alarmen ligt op misbruik in de Microsoft365 omgeving. Alarmopvolging werkt zoals u van Attic gewend bent waardoor binnen uw organisatie geen kennis hoeft te worden opgebouwd over het bedienen van Sentinel. En vanuit het startpunt kunnen we met u aan de slag om meer bronnen van informatie toe te voegen aan de monitoring.
Check onze SOC-as-a-Service oplossing.