11 Vragen om te stellen bij het veranderen van je SOC-strategie

Niemand voelt de pijn van ransomware en andere verstorende en kostbare digitale cybersecurity-aanvallen meer dan de mensen die de dagelijkse leiding hebben in uw SOC (Security Operations Center). Met 13 aanvallen per seconde in 2023 zijn cybercriminelen, fraudeurs en hacktivisten van nationale staten overweldigend voor SOC-analisten.

Bijna tweederde (63%) van de SOC-analisten meldt dat de omvang van het aanvalsoppervlak is toegenomen. Tegelijkertijd worstelen CISO’s en SOC-managers met het omgaan met burn-outs en personeelsverloop van analisten op de werkvloer. Meer aanvallen betekent meer SIEM-waarschuwingen betekent een groter volume aan ‘gebeurtenissen’ voor analisten om te beheren.

“SOC-medewerkers melden verschillende gebieden die bijdragen aan hun ontevredenheid over hun baan”, zegt het SANS Institute in zijn analyse van SOC-prestatiegegevens . ” Te veel informatie, meer werk dan ze aankunnen, moeite met het vinden en behouden van SOC-experts, onvoldoende downtime, te veel tools (en gebrek aan toolintegratie) en te veel meldingen zijn de belangrijkste bronnen van hun pijn.”

CISO’s worden hier uitgedaagd. Ze moeten voorkomen dat analisten opbranden en personeelsverloop krijgen en schaalvoordelen vinden in cybersecuritytools. Ze moeten tegelijkertijd de waarschuwingsruis en vermoeidheid die het veroorzaakt verminderen en tegelijkertijd een stortvloed aan uitgebreide aanvalsscenario’s beheren – op moeilijk te lokaliseren plekken.

Is het tijd om uw SOC-strategie aan te passen?

Belangrijke vragen om te beantwoorden om uw SOC-strategie te verbeteren

Het simpelweg verhogen van het personeelsbestand lost het dubbele probleem van meer aanvallen en burn-out van beveiligingsanalisten niet op. In plaats daarvan hebt u een strategische aanpak nodig voor het beheer van uw SOC-team en technologieën. De juiste tools met naadloze integratie zijn cruciaal, maar het is niet genoeg om de hackers van vandaag tegen te houden. Even belangrijk zijn het juiste team en de juiste processen. Het op de juiste manier aanpakken van resourceproblemen is een van de grootste uitdagingen.

Gebruik de volgende 11 vragen om uw algehele SOC-strategie te evalueren:

1. 1. Heb je de juiste mensen?
      Beoordeel of je team de juiste vaardigheden en expertise heeft.
   2. Kan uw team de hoeveelheid bedreigingen aan?
      Zorg ervoor dat uw team is uitgerust om het huidige bedreigingslandschap te beheren.
   3. Zijn ze goed getraind?
      Voortdurende training is essentieel om gelijke tred te houden met de evoluerende bedreigingen.
   4. Hebt u de juiste processen?
      Stel duidelijke protocollen op voor incidentdetectie en -respons.
   5. Weet het team wat te doen in het geval van een inbreuk?
      Zorg dat iedereen op de hoogte is van zijn/haar rollen en verantwoordelijkheden.
   6. Wat zijn uw service level agreements (SLA’s)?
      Definieer de verwachtingen voor responstijden en prestaties bij incidenten.
   7. Wat is uw incidentresponsplan?
      Ontwikkel een uitgebreid plan dat de stappen schetst die u moet nemen tijdens een beveiligingsincident.
   8. Kunt u uw team opschalen indien nodig?
      Wees voorbereid om uw team uit te breiden om aan de groeiende vraag te voldoen.
   9. Hebt u toegang tot threat intelligence feeds?
      Threat intelligence feeds van externe bedrijven kunnen u helpen nieuwe en opkomende bedreigingen voor te zijn.
   10. Moet u externe hulp inschakelen?
       Evalueer of externe expertise uw SOC-capaciteiten kan verbeteren.
   11. Moet u uw SOC uitbesteden?
       Sommige organisaties vinden dat het uitbesteden van hun SOC hen in staat stelt zich te richten op strategische initiatieven en kernfuncties.

Het beantwoorden van deze vragen is cruciaal om de beste aanpak voor uw organisatie te bepalen op basis van zakelijke behoeften, budget en beveiligingsdoelen. Elke organisatie moet zijn eigen unieke situatie beoordelen om te beslissen of ze een interne SOC wil behouden, wil outsourcen of een hybride aanpak wil aannemen. Outsourcing kan bijvoorbeeld interne resources vrijmaken, waardoor uw team zich kan richten op meer strategische taken en de algehele groei van het bedrijf.

Hoe we onze SOC-werklast met 75% hebben verminderd

Gedurende de ontwikkeling van Forescout heeft het bedrijf zijn eigen producten gebruikt om continu, geautomatiseerd activabeheer en netwerktoegangscontrole in zijn omgeving te bieden en om activaherstel en incidentrespons te orkestreren tussen zijn beveiligingsproducten van meerdere leveranciers.

In het verleden waren dreigingsdetectie- en responsprocessen grotendeels handmatig, met veel problemen. Het SIEM-systeem dat het team bijna twee jaar lang gebruikte, was toereikend voor logopslag, maar bruikbare informatie ontbrak. Het SIEM-product genereerde te veel ruis en valse positieven, waardoor analisten zich niet konden richten op gebeurtenissen met een hoge prioriteit.

Ons team ontving vroeger 100 tot 300 meldingen per dag. Bovendien vereiste de tool speciale vaardigheden om query’s, meldingen en rapporten te bouwen. De SIEM van derden was bijna volledig onbruikbaar. Onze CISO moest bijna twee FTE’s aan de zorg ervan wijden, tussen incidentrespons, configuratie en onderhoud. En het SecOps-team moest de engineers van de leverancier blijven inhuren om zelfs een klein aantal dingen aan te pakken die ze eruit moesten halen.

Belangrijkste statistieken verkregen met Forescout Threat Detection and Response:

• • 316 detecties van 10 miljard logs per maand
  • 17 escalaties van 254 gevallen per maand
  • .5 FTE voor reactie op daadwerkelijke bedreigingen in plaats van 2 FTE

Bekijk alle details in onze SecOps-casestudy .

Een succesvolle SOC-strategie is afhankelijk van de keuze van de juiste combinatie van technologieën, de juiste mensen en de juiste processen. Uw technologieën moeten realtime detectie van bedreigingen, efficiënte incidentrespons, uitgebreide zichtbaarheid, schaalbaarheid en naadloze automatisering en integratie mogelijk maken. Door deze fundamentele vereisten te begrijpen en essentiële technologieën zorgvuldig te beoordelen, kunnen organisaties effectief sterke SecOps opzetten om zich te verdedigen tegen de geavanceerde cyberbedreigingen van vandaag.

Leer hoe u uw SOC-strategie kunt verbeteren met Forrester en Forescout

Als u moeite heeft met het navigeren door de stortvloed aan kwetsbaarheden, risico’s en bedreigingen waarmee u en uw analistenteams worden geconfronteerd, kunt u leren hoe u de samenwerking tussen Vulnerability Risk Management (VRM) en SOC-teams kunt verbeteren .

Tot onze vaste kern behoren Erik Nost, Senior Forrester Analyst , naast Forescout-managers van Vedere Labs, Elisa Costante en Rik Ferguson, en Daniel Trivellato, onze VP OT-oplossingen.

Wat u zult leren:

• • Integratie van kwetsbaarheid en incidentcontext: verbeter de ervaring van SOC-analisten door actieve aanvallen, blootgestelde activa en de kriticiteit van bedrijfsmiddelen te benutten.
  • Hulpmiddelen voor naadloze samenwerking: ontdek hulpmiddelen waarmee u belangrijke context kunt delen, weloverwogen beslissingen kunt nemen en informatie kunt uitwisselen.
  • Beveiligingsanalyses inzetten: ontdek de voordelen van het inzetten van beveiligingsanalyseplatforms en TDR-dashboards om incidenten te beheren die voortvloeien uit specifieke kwetsbaarheden en om prioriteringsworkflows voor VRM-teams te stroomlijnen.

Bekijk webinar

originele blog 

Voor meer informatie over het Forescout portfolio neemt u contact op met Exclusive Networks.
Bel +31(0)499 462121 of stuur een email naar info@exclusive-networks.nl