Home Magazine

Het SOC als onmisbaar element voor cyber-weerbaarheid

28 februari, 2023
Om de cyberweerbaarheid van diensten, producten en vitale infrastructuur te borgen en cyberdreigingen het hoofd te (blijven) bieden, is de inzet van een Security Operations Center (SOC) van groot belang.
Digitalisering van bedrijven vindt in hoog tempo plaats. En met verstrekkende gevolgen, waaronder een verdere groei van het digitale aanvalsoppervlak. De toenemende (beheer)complexiteit van IT & OT (operationele technology) en de steeds lager wordende technische drempel voor kwaadwillenden om een dreiging te uiten, maken onvoldoende cyberweerbaarheid tot een steeds hoger risico. De impact hiervan uit zich op meerdere vlakken, zoals het niet voldoen aan wet- en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) en de Wet op Financieel Toezicht), evenals het uitlekken van persoonlijke of gevoelige informatie. Wanneer het vertrouwen in financieel dienstverleners of vitale infrastructuur afneemt als gevolg van succesvolle cyberaanvallen door een te lage cyberweerbaarheid, dan kan dit een ontwrichtende werking hebben op de maatschappij. En juist om de cyberweerbaarheid van diensten, producten en vitale infrastructuur te borgen en cyberdreigingen het hoofd te (blijven) bieden, is de inzet van een Security Operations Center (SOC) van groot belang.

Daarbij komt dat een optimaal ingericht SOC een directe bijdrage levert aan de realisatie van de strategische doelstellingen van een onderneming. Een SOC levert dus, naast een hogere cyberweerbaarheid, ook waarde voor de onderneming door het verhogen van business resilience en bescherming van waarden (producten en diensten, kennis, data, etc).

Het inzichtelijk krijgen van de geleverde meerwaarde en verbeterpunten is moeilijk. Waar leg je de nadruk op en hoe realiseer je aansluiting? En hoe krijg je objectief inzicht in de volwassenheid van een SOC? Deze vragen zijn de basis voor het Security Operations Center – Maturity Framework (SOC-MF), dat wij in dit artikel uiteen zetten.
Wat is een SOC?
Cyberweerbaarheid draait vooral om het continue mee kunnen bewegen van organisaties met nieuwe en evoluerende dreigingen, aanvalspaden en daadwerkelijke aanvallen. Het SOC speelt een cruciale rol bij het stoppen van potentiële en ingezette aanvallen, door centraal loginformatie te aggregeren, deze te correleren en daarop te acteren. Het SANS Institute hanteert de volgende definitie voor een SOC:

A SOC is a combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects. (SANS Institute, 2019)
Zimmerman (2014) concretiseert de kerntaken van een SOC verder. Hij stelt dat een SOC altijd aan de volgende kerntaken moet voldoen:
  • Het voorkomen van cybersecurity-incidenten door middel van:
    • Continue dreigingsanalyse;
    • Kwetsbaarhedeninventarisatie op netwerk- en hostniveau;
    • Gecoördineerde implementatie van maatregelen;
    • advies op securitybeleid en - architectuur.
  • Het real-time monitoren, detecteren en analyseren van mogelijke intrusies op basis van op security-relevante databronnen gestoelde historische trend-data;
  • Het tijdig reageren op bevestigde cybersecurity-incidenten door middelen en capaciteiten te coördineren om passende maatregelen te implementeren;
  • Het leveren van situationeel bewustzijn door het rapporteren over cybersecurity-incidenten evenals over trends gerelateerd aan het gedrag van actoren;
  • Het ontwikkelen en toepassen van technologieën gericht op het beschermen van netwerken.

Hiermee concretiseert Zimmerman welke taken een SOC zou moeten uitvoeren. Echter, een SOC zou deze taken zowel kunnen verrichten in aansluiting met de strategische doelstellingen van een organisatie, als zonder deze aansluiting. Daarom geven deze kerntaken geen duiding van de wijze en vlakken waarop een SOC aansluiting zou kunnen zoeken met de strategische doelstellingen.
De relatie tussen een SOC en bedrijfsdoelstellingen
Als een SOC niet (goed) aansluit op de bedrijfsdoelstellingen, is het maar zeer de vraag of het SOC daadwerkelijk een zinvolle bijdrage levert aan de cyberweerbaarheid van de onderneming. Als bijvoorbeeld de monitoring licentie-gedreven (i.e. een licentie per asset in scope van monitoring) plaatsvindt, in plaats van risico-gedreven, dan bestaat de kans dat niet alle vitale componenten (assets) worden gemonitord.

Een SOC werd in de begindagen vooral reactief ingezet, om te signaleren en te rapporteren. Gezien de continue evolutie van dreigingen en aanvalspaden, is een meer proactieve inzet van een SOC randvoorwaardelijk geworden om deze dreigingen het hoofd te kunnen blijven bieden. MDEC (2017) schaart deze beweging onder de noemer ‘next generation SOC’s’ waarbij, naast de kerntaken van Zimmerman (2014), twee extra inrichtingsprincipes zijn geformuleerd:
  • Het opzetten van verrijkte context om operationele en strategische cybersecurity-besluiten te onderbouwen, wat vraagt om een organisatie brede aanpak om cybersecurity-investeringen en activiteiten te integreren en een organisatie breed cyberdreigingen-raamwerk dat moet zijn ontwikkeld op basis van en moet zijn geïntegreerd met de bedrijfsdoelstellingen.
  • Het uitlijnen van cybersecurity-doelstellingen met het dreingingslandschap, bedrijfsdoelstellingen en de risicobereidheid om reeds gedane investeringen over de volledige breedte en diepte van de organisatie maximaal te benutten.
Concreet onderscheiden wij vier inrichtingsprincipes (Nield, Schmidt & Verharen, 2023) die weergeven in welke mate een SOC op de bedrijfsdoelstellingen aangesloten is, zoals weergegeven in figuur 1.
Figuur 1. Vier inrichtingsprincipes voor een effectief SOC (Nield, Schmidt & Verharen, 2023).
De sleutel voor een écht optimaal functionerend SOC is in de verankering van deze inrichtingsprincipes in governance, werkwijzen en de organisatie. Het SOC beschermt dan niet alleen de vitale bedrijfsassets, maar voegt actief waarde toe, is risicogericht ingestoken en ondersteunt maximaal de bedrijfsstrategie. Dit kan bijvoorbeeld gerealiseerd worden door risk-based bedrijfskritieke assets te monitoren, proactief (dreigings)informatie beschikbaar te stellen aan besluitvormers, het faciliteren van actueel inzicht in de eigen organisatie (situationeel bewustzijn) en het eigen mandaat op orde te hebben.
Op zoek naar een geschikt kader voor de IT-auditor of security professional
Hoe ziet een normenkader eruit dat een objectief inzicht geeft in de mate waarin de werking van een SOC de realisatie van bedrijfsdoelstellingen ondersteunt en aan de hand waarvan gericht verbeteringen kunnen worden voorgesteld? Bij het uitvoeren van ons literatuuronderzoek vonden wij geen antwoord op deze vraag. Het framework waarin wij de meeste aanknoping zagen, was het ‘Security Operations Center – Capability Maturity Model’ (SOC-CMM) (van Os, 2016).

Dit SOC-CMM is als self-assessment ontwikkeld op basis van literatuuronderzoek, is wetenschappelijk gevalideerd en is bij meerdere SOC’s in de praktijk getest. Het SOC-CMM is als open-source framework uitgebracht en ingedeeld naar de vijf domeinen, zoals weergegeven in figuur 2:

Figuur 2 De vijf domeinen van het SOC-CMM (Van Os 2016)
Aangezien het SOC-CMM als self-assessment gebruik maakt van gesloten vragen met vooraf gedefinieerde antwoorden, hebben wij het model geobjectiveerd en hieruit een normenkader afgeleid. Dit was de eerste aanzet om te komen tot het ‘SOC Maturity Framework’ (SOC-MF).

Om te testen of met dit SOC-MF het gewenste effect wordt bereikt, is het als normenkader gebruikt bij een SOC-audit, uitgevoerd bij zorgverzekeraar CZ. Dit leverde zowel CZ als de auteurs belangrijke inzichten op die zijn mee genomen in de verdere ontwikkeling van het SOC-MF. Door de nadruk te leggen op de rol van het SOC, viel op dat het SOC meer behelst dan alleen IT. De business, wet- en regelgeving (o.a. AVG en compliance), ketenpartners, leveranciers en HR (kennis en samenwerking) bleken naast de IT maatregelen(logging en use-cases etc.) net zo belangrijk voor het goed functioneren van het SOC. Hieruit bleek dat een goede stakeholderanalyse essentieel is voor de opdrachtsamenstelling.

De hierboven genoemde inzichten zien we ook terug in de meest recente literatuur (Knerler et al., 2022. De grootste veranderingen zijn onder andere dat:
  • Meer nadruk is gekomen op het begrijpen van de missie en (zakelijke) context waarin het SOC werkt.
  • Meer aandacht is voor de samenwerking van het SOC met diverse stakeholders binnen de eigen interne organisatie. Ook is de samenwerking met externe entiteiten en partners voor kennisdeling en beheersing belangrijker geworden.
  • Een SOC niet alleen binnen de kaders van een onderneming ingezet kan worden, maar veelal in een hybride of volledig uitbestede situatie beschikbaar wordt gesteld.
  • De toegenomen waarde van dreigingsgeoriënteerde verdediging, met inbegrip van integratie van informatie over cyberdreigingen, threat hunting en het gebruik van threat frameworks erkend wordt.
Deze inzichten zijn onderdeel van de door NOREA gepubliceerde Good Practice omtrent het SOC-MF (Nield, Schmidt & Verharen, 2023).
SOC-MF in de praktijk
Ter verdere professionalisering van het SOC-MF is aansluiting gezocht met de Kennisgroep Cybersecurity van NOREA. Het doel hiervan is het SOC-MF breed toegankelijk maken voor IT-Auditors en security professionals (ook buiten Nederland). Na de review door leden van de werkgroep en beoordeling door de vaktechnische commissie van NOREA, is het SOC-MF ter consultatie tot eind september 2022 aangeboden op de NOREA website. De daaruit opgehaalde inzichten hebben bijgedragen aan de doorontwikkeling van het SOC-MF, waaronder de wijze waarop resultaten werden gepresenteerd.

Over de afgelopen periode zijn diverse pilots uitgevoerd met het SOC-MF. Het SOC-MF is onder andere succesvol ingezet bij Vattenfall, bij een audit naar de werking van het eigen internationale SOC. Verder zijn momenteel organisaties binnen de Rijksoverheid bezig met het onderzoeken van SOC’s (o.a. de Algemene Rekenkamer) en het versterken van het SOC Stelsel Rijk (CIO Rijk). Onder andere het SOC-MF wordt hierbij gebruikt als kennisbron. Tenslotte is bij een aantal grote en kleinere interne auditafdelingen het model toegelicht. Feedback van de audits, theoretische inzichten en de consultatie zijn verwerkt in de versie die recent op de website van NOREA is gepubliceerd.
Afrondend
Het SOC-MF en de bijbehorende (verklarende) Good Practice zijn te vinden via het nieuwsbericht op de  NOREA-website. Wij nodigen jullie van harte uit het SOC-MF in de praktijk in te zetten en feedback met ons te delen, zodat het SOC-MF verder geprofessionaliseerd kan worden.
Over de auteurs
Ing. Danny Schmidt MSc RE CISSP CISM
Danny Schmidt is werkzaam als IT-auditor bij de interne audit afdeling van de IND. Daarvoor heeft hij als IT-Auditor gewerkt bij de Audit Dienst Rijk (ADR). Danny is naast de ontwikkelingen in het Cybersecurity domein ook breed geïnteresseerd in recentere ontwikkelingen in de Cloud, containerization en algoritmes. Met uitvoering van IT-Audits op het snijvlak van techniek en de business als voorkeur.
Tom Verharen MSc RE MHA CISA CISSP CDPSE
Tom Verharen is werkzaam als IT-auditor bij zorgverzekeraar CZ. Daarvoor heeft hij gewerkt bij het Elisabeth TweeSteden Ziekenhuis op het raakvlak zorg en ICT. Tom is gepassioneerd over (o.a.) IT/OT & Enterprise IT Governance, Cybersecurity, Programmamanagement en informatiebeveiliging.
Christopher Nield MSc RE CISA CISSP CISM SSCP
Christopher Nield is werkzaam als Information Risk Manager bij Achmea Investment Management. Daarvoor heeft hij enkele jaren gewerkt voor o.a. Achmea Internal Audit en als IT Auditor & IT Risk Consultant bij pensioenfondsen, -uitvoerders en verzekeraars. Christopher is gepassioneerd over (o.a.) informatiebeveiliging, cybersecurity en het doorontwikkelen van het (IT-)auditvakgebied.