Column


Jeroen Veraart over...

SOC: zelf doen of uitbesteden?

Bij de inrichting van een SOC moeten keuzes worden gemaakt in het gebruik van tooling. Maar misschien nog belangrijker zijn de processen en de mensen die gebruikmaken van de gereedschappen. En dan dringt zich onvermijdelijk de vraag op: gaan we zelf aan de knoppen zitten, of besteden we dit uit? Het antwoord is echter minder zwart-wit.

Een van de prominent aanwezige stukken gereedschap in een Security Operations Center is SIEM. SIEM staat voor Security Information en Event Management en is tooling die zowel voor de opslag van relevante informatie alsook voor de verwerking (of security-intelligence) kan zorgen. 

Een algemene regel voor de inzet van tooling is natuurlijk altijd dat deze ook echt toegevoegde waarde levert. Het inzetten van tooling om een compliancevinkje te halen, of gewoon omdat het een leuke hobbytool is, is desastreus voor de uiteindelijke kwaliteit van het SOC. 

Uitersten

Naast de toegevoegde waarde van tooling zijn de specialisten die een gereedschap zoals SIEM bedienen van cruciaal belang. Daarbij komt natuurlijk ook de vraag: kan ik de tooling zelf bedienen, of moet ik dit uitbesteden? Daarbij probeer ik de klant altijd de twee uitersten in deze keuze te laten zien:

1. Zelf doen 
Je kunt ervoor kiezen om een SOC volledig in eigen beheer te doen. Dat betekent dat je alle specialismen zelf in huis haalt. Zowel de gympen die rondrennen om de eenvoudige brandjes te blussen als de zeer gespecialiseerde en opgeleide cybercrimebestrijders. Die specialisten moeten continu worden getraind en opgeleid om alle ontwikkelingen op het gebied van cybercrime bij te kunnen houden. Dit betekent een team van tientallen personen op verschillende kerngebieden. Dat is dus alleen weggelegd voor de grote multinationals in deze wereld. En natuurlijk voor de inlichtingendiensten die alles binnen hun eigen muren moeten houden. 

2. Uitbesteden 
Een andere keuze is om een SOC volledig uit te besteden. Alle relevante informatie wordt bij de leverancier neergelegd. Zowel de eenvoudige analyses als de geavanceerde zaken zoals het opsporen van APT’s (Advanced Persistent Threats – die maanden doorlooptijd hebben) worden door de externe leverancier opgepakt. Om dit efficiënt te laten verlopen, zal de leverancier tot in de haarvaten moeten weten wat zich afspeelt binnen de organisatie die beschermd moet worden. Eigenlijk moet de leverancier binnen zitten bij die organisatie. Maar ja, er was juist gekozen voor uitbesteding… 

Hybride oplossing
Er is met andere woorden eigenlijk maar één keuze, en dat is hybride. Bij een hybride oplossing wordt afgestemd welke diensten het SOC levert en hoe deze worden verdeeld tussen de eigen organisatie en de leverancier die delen van de SOC-dienstverlening verzorgt. Een aantal zeer specifieke intelligencefeeds worden ingekocht omdat deze informatie alleen maar door een beperkt aantal grote partijen samengesteld kan worden op basis van wereldwijd verzamelde gegevens. Het vinden van het juiste evenwicht tussen zelf doen en inkopen zal in veel gevallen een aantal jaren in beslag nemen, maar dat is afhankelijk van de volwassenheid van de beveiligingsorganisatie.

Kies wat past
Een SOC met de bijbehorende tooling is voor praktisch alle organisaties noodzakelijk. Alleen de manier waarop het wordt ingericht, moet goed worden overwogen. Maak hierbij niet de klassieke fout dat je iets probeert uit te besteden dat je zelf nog onvoldoende in de hand hebt. Dit voorkomt dat je voor verrassingen komt te staan. Bovendien zorgt het dat je het geld dat je eraan besteedt optimaal kan benutten.

Jeroen Veraart is Security Business Consultant bij Motiv.

 

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht