Security Operations heeft in de loop der jaren terecht veel aandacht gekregen van bedrijven. Van het schrijven van SIEM rule logic over het uitbouwen van Threat Intelligence mogelijkheden tot het managen van een CSIRT en het ontwerpen / runnen van een SOC operationeel framework, ik heb veel ervaring met alle rollen en hun inhoud, begrijp hoe zij zich tot elkaar verhouden, waar mogelijke moeilijkheden zich bevinden en hoe SOC werking optimaal bereikt kan worden binnen verschillende soorten organisaties.
Wat is security operations?
Historisch gezien was het IT departement verantwoordelijk voor het reilen en zeilen van de IT-infrastructuur in een bedrijf; hun belangrijkste doel was zorgen dat 'het' werkte, dat de IT-systemen beschikbaar waren. Doorheen de jaren ontstond de nood om een holistische aanpak te voorzien voor de beveiliging van deze IT-infrastructuur. De finaliteit van het cybersecurity team strookte echter niet met deze van het IT-departement, want zij wilden ook de confidentialeit en de integriteit van de systemen en hun data bewaren. Security Operations poogt de brug te vormen tussen deze 2 partijen en beide visies te verzoenen, met de focus op verhoging van de operationele veiligheid in de IT-omgeving.
Wat doet security operations?
Bij een SOC denken velen aan een ruimte met veel grote schermen met flitsende grafieken aan de muur, gevuld met noest typende nerds die het netwerk van de organisatie verdedigen tegen hackers en ransomware. Hoewel dat mogelijk is hoe een SOC in sommige bedrijven is ingericht, zit onder die facade vooral een goed ge-oliede machine, waarbij verschillende functies elkaar aanvullen om niet alleen aanvallen af te slaan, maar ook de inlichtingen leveren aan de organisatie hoe ze zich beter kunnen verdedigen, gebaseerd op werkelijke, tastbare gegevens.
Welke rollen vinden we in een SOC?
Event / Alert Analyst
Wanneer beveiligingsalarmen afgaan en deze niet kunnen automatisch worden vermeden of verholpen, moet iemand met kennis van de infrastructuur, systemen en toepassingen onderzoeken wat de context, het doel en de potentiële impact is van de oorzaak van dat alarm. Wanneer er malefide bedoelingen worden vastgesteld, of een overtreding van de veiligheidsregels en er is impact op de werking, wordt het alarm een beveiligingsincident.
Incident Responder
Hoewel CSIRT in sommige modellen of organisaties een apart, losstaand team is, hebben zij een dichte affiniteit met een SOC en vinden we ze meestal erbinnen terug, of vlak ernaast. Hun taak is cyberaanvallen die impact hebben op de werking in te perken, te verwijderen uit de omgeving en de omgeving zo snel mogelijk toe te staan zich te herstellen.
Detection Engineer
De taak van een detection engineer is om op basis van gekende, gemeenschappelijke aanvalstechnieken van tegenstanders op zoek te gaan naar welke systemen en sensoren de juiste data kunnen verschaffen om dit ongewenst gedrag te detecteren. Zij bouwen logica op gebeurtenissen uit alle mogelijke lagen van de infrastructuur om verdacht of ongeoorloofd gedrag in de omgeving vast te stellen. Deze regels vormen, tesamen met user alerts de alarmen die de analysten moeten onderzoeken.
Threat Hunter
In deze rol gaan we op zoek naar hetzij gebeurtenissen die buiten het gewone, normale gedrag van de omgeving vallen om te analyseren of er potentiële negatieve impact wordt veroorzaakt, hetzij een specifieke vorm van overtreding of aanval die niet wordt afgedekt door regels van detection engineering.
Vulnerability Manager
Zij bewaken de 'attack surface' van de omgeving en zorgen ervoor dat zwakheden in systemen, toestellen of software worden opgespoord en binnen redelijke tijd worden afgedicht zodat de gelegenheid om misbruik te maken van de omgeving zoveel mogelijk beperkt wordt. Indien de oorzaak van de kwetsbaarheid niet kan worden weggenomen staan ze bij om de risico's op andere manieren in te perken en te zorgen dat deze zwakheden gekend zijn bij de relevante verdedigende rollen binnen de organisatie.
Threat Intelligence Officer
Het doel van deze rol bestaat erin om alle andere rollen van een SOC te voorzien van informatie van buitenaf die hun werk efficiënter kan maken. Verzamelen en verspreiden van indicatoren van misbruik, het team informeren over nieuwe technieken en tactieken, doorgeven welke vulnerabilities worden misbruikt, hoe en door wie en de tendenzen in de infosec wereld monitoren en projecteren op de eigen, te verdedigen omgeving om prioriteitsadvies te kunnen geven bij te nemen verbeteringen.
Threat Researcher
Niet elk SOC beschikt over deze functie. Deze onderzoekers gaan malware, geinfecteerde websites en andere gevonden verderfelijkheden onderzoeken in een gecontroleerde (sandbox) omgeving om bij te leren over de impact en de manier waarop deze wordt gecreëerd om nog beter de omgeving te kunnen afschermen.
Welke rollen ondersteunen een SOC?
Bovenstaande rollen zijn klassiek de kern van SOC-werking, hoewel andere inrichtingen mogelijk zijn. Om hun volledig potentieel te vervullen, bestaat er de nood aan een goed werkende IT-Security omgeving, die idealiter volgende ondersteunende functies bevat:
Security Architect
Zij zorgen voor de security fundamenten wanneer nieuwe processen en applicaties worden ontworpen. Zij zijn normaal verantwoordelijk voor het opmaken van het Threat Model dat de dreigingen oplijst, prioritiseert en de grondslag legt om deze te voorkomen of mitigeren. Hun output is van primordiaal belang voor het begrip van de SOC analisten over elk component in de omgeving en de gevaren en zwakheden ervan.
Security Engineer
Dit zijn de IT specialisten die instaan voor de security kant van de configuratie van de omgeving. We denken aan systeem- en applicatie hardening, maar ook configureren van security producten als firewalls, API gateways, ... Vaak zitten deze profielen verspreid over de klassieke IT-teams al naargelang hun verantwoordelijkheid en expertisegebied.
Asset Manager
Essentieel voor elke verdediging is weten wat er moet worden verdedigd, wie daarmee werkt en ervoor verantwoordelijk is, waar dat staat en hoe dat geconfigureerd werd. Asset management staat in voor een inventaris van alle toestellen en systemen, met de nodige linken naar personen, applicaties, configuration items en andere assets.
Log & Event Manager
De basis van welke events op welke manier waar worden opgeslagen en geformatteerd, op een eenvormige manier over de organisatie zodat correlatie wordt vergemakkelijkt, wordt door dit team gelegd. Een nauwe samenwerking met SOC als consument van deze informatie is essentieel.
Governance Manager
Een governance manager legt het grondwerk over hoe beleidsbeslissingen en de koers die een organisatie vaart zich van bovenaf vertaalt naar de uitvoerende IT-laag.
Risk Manager
Risk managers trachten risico te quantificeren zodat de technische realiteit van dreigingen begrepen kan worden door (hoger management) en deze op die basis hun beleid en keuzes kunnen bijsturen. Risk managers zijn ook verantwoordelijk voor het bijhouden van een risk register en begeleiden vaak het volledige risico traject (avoidance, mitigation, acceptance, transfer).
Compliance Manager
Compliance managers stippelen uit op welke manier wordt bewaakt dat de richtlijnen, aanvaardbaar gebruik en regels worden gevolgd door alle lagen van de organisatie.
Security Manager
Deze term dekt een brede lading, van SOC manager tot CISO, maar een SOC heeft de draagkracht en ondersteuning van management nodig om hun waarde binnen de organisatie te kunnen verwezenlijken en de juiste plaats te geven.