Pink Elephant heeft een Naarden een eigen Security Operations Center (SOC) ingericht. Van daaruit wordt de IT-infrastructuur van klanten en Pink zelf 24/7 in de gaten gehouden. Want er komen continu nieuwe bedreigingen bij. Door de inzet van het SOC kunnen bedreigingen voorkomen of gemitigeerd worden. Het PinkSOC is onderdeel van PinkSecure dienstverlening.
Wat is een SOC?
Om beschermd en weerbaar te zijn tegen digitale aanvallen, is het nodig om zicht en grip te hebben op de digitale infrastructuur binnen uw organisatie en op wat daarbinnen allemaal gebeurt. Een Security Operations Center is een moderne aanpak om dit goed te regelen. In het SOC wordt zicht gehouden op de beveiliging van bedrijfsinformatie en digitale bedreigingen.
Een van de belangrijkste taken van het SOC is security monitoring, Hierbij wordt log-informatie van relevante applicaties en apparaten in het netwerk centraal verzameld en gecorreleerd om te zien of afwijkende zaken hebben plaatsgevonden.
Een hulpmiddel dat onlosmakkelijk verbonden is met een SOC is een Security Information & Event Management (SIEM) systeem. Het betreft software die in staat is om log-informatie vanuit verschillende bronnen te interpreteren en te correleren naar wat zich binnen en rondom het netwerk afspeelt op gebied van cyberaanvallen en andere beveiligingsincidenten.
Naast informatie over systemen en het netwerk, gebruikt een SOC ook ‘threat intelligence’. Dit is informatie uit derde bronnen over kwetsbaarheden en dreigingsinformatie op het gebied van cybersecurity. Deze informatie kan gebruikt worden bij het beoordelen van gebeurtenissen op systemen en binnen het netwerk.
Het PinkSOC is voorzien van al deze middelen. En meer. Want voor veel organisaties is het inrichten van een SOC een (te) grote opgave. Of ze hebben het beheer van hun IT-omgeving bij een derde partij, bijvoorbeeld Pink, gelegd. Dan is het een logische stap om ook de SOC diensten buiten de deur te leggen. Zodat u zich kunt richten op uw bedrijfsprocessen.
Lees ook wat het NCSC schrijft over SOCHet PinkSOC
Het PinkSOC staat in Naarden. In een state-of-the-art ruimte worden:
- incidenten en abnormaliteiten gesignaleerd en waar nodig opgevolgd
- kwetsbaarheden, zoals door het Nationaal Cyber Security Centrum (NCSC) gemeld, gemonitord
Klinkt misschien eenvoudig, maar om dit goed te doen komt heel wat kijken. Zo is het PinkSOC ingedeeld in een front-end, een back-end en een security team.
- In de front-end vindt de monitoring plaats. Hierbij wordt onder meer newsfeeds en een live cyber security threat map gemonitord. Ook wordt er aan triage gedaan, om de ernstige en minder ernstige zaken van elkaar te scheiden. Tenslotte verzorgt de front-end ook de directe respons op zaken die opgepakt moeten worden
- De back-end houdt zich meer bezig met de analyse van security-gerelateerde zaken. Ook worden hier rapportages gemaakt en worden de (instellingen van de) gebruikte tooling verder ontwikkeld
- Het security team houdt zich tenslotte bezig met het geven van advies. Het security team wordt ook ingezet als CSIRT (Computer Security Incident Response Team) bij grote security incidenten
Toegepaste techniek
Om dit werk uit te voeren worden verschillende tools en methodieken toegepast in het PinkSOC.
SIEM
Vanzelfsprekend is de inzet van een SIEM systeem (Security Information & Event Management). Hier heeft Pink Elephant gekozen voor Microsoft Sentinel. Een SIEM is feitelijk software die in staat is om log-informatie vanuit verschillende bronnen te interpreteren en te correleren naar wat zich binnen en rondom het netwerk afspeelt op gebied van cyberaanvallen en andere beveiligingsincidenten. Het SIEM is daarmee een eerste filter, want veel zaken die worden gedetecteerd (zoals het kopiëren van een groot aantal bestanden) hebben vaak een onschuldige verklaring. Maar soms ook niet. En dan detecteert het SIEM dat op basis van de parameters die zijn ingesteld.
IPS
Met een IPS (Security Prevention System) worden netwerk en/of systeem activiteiten gemonitord op ongewenst gedrag. Het IPS kan hier real-time en gericht op reageren door het voorkomen of blokkeren van deze activiteiten. Andere gebruikers of systemen hebben hier verder geen last van.
EDR
EDR staat voor Endpoint Detection Response. Dit is software die endpoints (zoals computers, tablets, mobiele telefoons, etc) monitors. Het EDR analyseert de endpoints die worden bewaakt, vooral door gedragsanalyse. Hierdoor kan na een leerfase afwijkend gedrag herkent worden. EDR software is ook in staat om de exploitatie van security gebreken te monitoren.
Vulnerability Management
Vulnerability management software scant actief omgevingen op bekende kwetsbaarheden. Staan er onbedoeld poorten open in het netwerk? Zijn de laatste patches geïnstalleerd? De vulnerability software gaat dus actief zoeken naar zaken die security incidenten kunnen opleveren. Het hoort daarmee bij een pro-actieve aanpak, want het doel hiervan is om security incidenten te voorkomen.
Phishing Simulatie en Awareness
Een keten is maar zo sterk als de zwakste schakel. En als het om security gaat, is dat vaak de mens. Dus leveren we als Pink Elephant ook diensten om de bewustwording van eindgebruikers (en eigenlijk alle medewerkers) te verbeteren. Want iedereen speelt een rol in het veilig houden van bedrijfsinformatie. In de praktijk blijkt dat zeker niet iedereen zich daarvan bewust is.
Een veel gebruikte techniek om digitaal in te breken begint met een zogenaamde phishing mail: een ogenschijnlijk onschuldige link die in een vertrouwd uitziende mail staat. Maar als er op de link wordt geklikt blijkt het allemaal zeker niet onschuldig te zijn.
Pink Elephant helpt organisaties met het verbeteren van het security-bewustzijn bij alle medewerkers door bijvoorbeeld een phishing simulatie. Hierbij wordt er binnen een organisatie een mail verstuurd van bijvoorbeeld de algemeen directeur. Alleen staat er nu een extra punt in dat email-adres. Als er op de link in die mail wordt geklikt verschijnt er een bericht dat die eindgebruiker “erin is getrapt”. En dit werkt. Security is voor veel mensen iets waarvan ze denken dat zij wel goed opletten. Als met zo’n phishing simulatie blijkt dat ze toch voor de maling genomen kunnen worden, letten ze daarna aantoonbaar beter op.
Security Awareness is tenslotte ook onderdeel van onze PinkAdopt diensten, waarin op maat gemaakte workshops medewerkers leren waar ze allemaal op moet letten om geen onnodige risico’s en problemen te veroorzaken.
