Home Magazine
Security Operations Center - Maturity Framework (SOC-MF)
Hoe kun je inzichtelijk maken hoe een Security Operations Center functioneert?
Download de handreiking Download de bijlage
Inleiding
In dit artikel nemen we u mee in onze reis naar de totstandkoming van het Security Operations Center – Maturity Framework (SOC-MF), een op Design Science Research gebaseerd artefact. Steeds meer bedrijven, instellingen, instanties en ketens maken gebruik van een Security Operation Center (SOC) om de cyberweerbaarheid van diensten, producten en vitale infrastructuur te vergroten. Ondernemingen benoemen in strategische doelstellingen vaak termen als beschikbaar, vertrouwelijk en veilig. Wij vinden dat een SOC pas optimaal functioneert als het de juiste bijdrage levert aan de strategische doelstellingen van een onderneming of instelling. Maar, hoe zou een SOC dat moeten doen en waarom?
Wat is een SOC?
Cyberweerbaarheid blijft een hot topic waarbij organisaties constant mee moeten kunnen bewegen met nieuwe en evoluerende dreigingen en aanvalspaden. Het SOC speelt een cruciale rol in het stoppen van potentiële en ingezette aanvallen door centraal loginformatie te aggregeren, te correleren en daarop te acteren. Het National Institute of Standards and Technologies (NIST) hanteert de volgende definitie voor een SOC:
Definitie
A SOC is a combination of people, processes and technology protecting the information systems of an organization through: proactive design and configuration, ongoing monitoring of system state, detection of unintended actions or undesirable state, and minimizing damage from unwanted effects.
Zimmerman (2014) concretiseert de kerntaken van een SOC verder. Om van een SOC te kunnen spreken moet een SOC altijd aan deze kerntaken voldoen:
  • Het voorkomen van cybersecurity-incidenten door middel van:
    • Continue dreigingsanalyse;
    • Kwetsbaarhedeninventarisatie op netwerk- en hostniveau;
    • Gecoördineerde implementatie van maatregelen;
    • Securitybeleid en architectonisch advies.
  • Het real-time monitoren, detecteren en analyseren van mogelijke intrusies en op basis van op security-relevante databronnen gestoelde historische trend-data;
  • Het tijdig reageren op bevestigde cybersecurity-incidenten door middelen en capaciteiten te coördineren om passende maatregelen te implementeren;
  • Het leveren van situationeel bewustzijn en het rapporteren van cybersecurity-incidenten en trends gerelateerd aan het gedrag van actoren;
  • Het ontwikkelen en toepassen van technologieën gericht op het beschermen van netwerken.
Zelfs als een SOC deze kerntaken uitvoert dan nog rest de vraag hoe effectief en efficiënt dit gebeurt. Beiden zijn vanzelfsprekend randvoorwaardelijk voor een optimaal functionerend SOC


Volwassenheid SOC
Hier zit meteen de uitdaging; een SOC werd in het verleden volgens reactief model ingestoken om te signaleren en te reageren. Gezien de continue evolutie van dreigingen en aanvalspaden is pro-activiteit voor een SOC randvoorwaardelijk om effectief te kunnen blijven functioneren. MDEC (2017) herkent deze beweging onder de noemer ‘next generation SOC’s’ die, naast de kerntaken van Zimmerman (2014), twee extra doelstellingen kent:
  • Het opzetten van verrijkte context om operationele en strategische cybersecurity-besluiten te onderbouwen, wat vraagt om een organisatie brede aanpak om cybersecurity-investeringen en activiteiten te integreren en een organisatie breed cyberdreigingen-raamwerk wat moet zijn ontwikkeld op basis van en geïntegreerd zijn met de bedrijfsdoelstellingen.
  • Het uitlijnen van cybersecurity-doelstellingen met het dreingingslandschap, bedrijfsdoelstellingen en de risicobereidheid om reeds gedane investeringen over de organisatie heen maximaal te benutten.
Daarnaast is sprake van vier randvoorwaarden voor een effectief SOC:

De sleutel voor een écht optimaal functionerend SOC zit in de verankering van deze randvoorwaarden in governance, werkwijzen en de organisatie. Het SOC beschermt dan niet alleen de vitale bedrijfsassets maar voegt actief waarde toe, is risicogericht ingestoken en ondersteunt maximaal de bedrijfsstrategie. Dit kan bijvoorbeeld gerealiseerd worden door risk-based bedrijfskritieke assets te monitoren, proactief (dreigings)informatie beschikbaar te stellen aan besluitvormers, het faciliteren van actueel inzicht in de eigen organisatie (situationeel bewustzijn) en het eigen mandaat op orde te hebben. 
Op zoek naar een geschikt kader voor de auditor of adviseur
De literatuur geeft, zoals we hierboven hebben gezien, goed inzicht en perspectief in wat van een SOC mag worden verwacht en is van belang voor een gestructureerd groeipad. Voor de auteurs van dit artikel stond tijdens de studie Executive Master of IT Auditing (EMITA) aan TIAS centraal dat de rol van het SOC hierin instrumenteel is. Maar hoe kun je nou zorgen dat een SOC objectief inzicht heeft in zijn effectiviteit en of er efficiënt gewerkt wordt en zo gericht kan verbeteren? Het viel snel op dat er geen of-the-shelf-normenkaders zijn voor het beoordelen van een SOC, waarbij het SOC erkend wordt voor zijn vitale rol in cyberweerbaarheid en de realisatie van bedrijfsdoelstellingen.

Het framework wat ons de meeste aanknopingspunten gaf was Security Operations Center – Capability Maturity Model (SOC-CMM) (van Os, 2016). Het SOC-CMM is als self-assessment ontwikkeld op basis van literatuuronderzoek, is wetenschappelijk gevalideerd en bij meerdere SOC’s in de praktijk getest. Het SOC-CMM is als open-source uitgebracht en ingedeeld op basis van onderstaande vijf domeinen:
Aangezien het SOC-CMM als self-assessment gebruik maakt van gesloten vragen met vooraf gedefinieerde antwoorden hebben wij het model geobjectiveerd om er een normatief kader van te maken wat geschikt is voor IT-auditors. Dit was de eerste aanzet om te komen tot het SOC-MF zoals we dat nu kennen.
Onze reis van een eerste design naar een volwassen raamwerk
Als vuurdoop is het SOC-MF als normenkader gebruikt in een SOC audit bij zorgverzekeraar CZ. Dit leverde zowel CZ als de auteurs belangrijke inzichten op die mee zijn genomen in de verdere ontwikkeling van het SOC-MF. Door de nadruk te leggen op de effectiviteit van het SOC viel snel op dat het SOC meer behelst dan alleen IT. De business, wet- en regelgeving (o.a. AVG en compliance), ketenpartners, leveranciers en HR (kennis en samenwerking) bleken minstens zo belangrijk voor het goed functioneren van het SOC. Hieruit is gebleken dat een goede stakeholder analyse essentieel is voor de opdrachtsamenstelling. Deze kennis hebben wij meegenomen in de versie die is opgeleverd bij onze thesis.

Deze inzichten zien we ook terug in de meest recente literatuur (Knerler et al., 2022) waarin MITRE een actualisatie geeft van de door Zimmerman (2014) geboden inzichten; de grootste veranderingen zijn onder andere dat:
  • Er meer nadruk is gekomen op het begrijpen van de missie en (zakelijke) context waarin het SOC werkt.
  • Er meer aandacht is voor de samenwerking van het SOC met diverse stakeholders binnen de eigen interne organisatie. Tevens is de samenwerking met externe entiteiten en partners voor kennisdeling en beheersing belangrijker geworden.
  • Een SOC niet alleen binnen de kaders van een onderneming ontsloten kan worden maar veelal in een hybride of volledig uitbestede situatie beschikbaar wordt gesteld.
  • De erkenning van de toegenomen waarde van dreigingsgeoriënteerde verdediging, met inbegrip van integratie van informatie over cyberdreigingen, threat hunting en het gebruik van threat frameworks

Hoewel we over dit resultaat al zeer tevreden waren zagen wij ruimte voor verbetering. Om het artefact (SOC-MF) verder te professionaliseren is gekozen voor samenwerking met de kennisgroep Cybersecurity van NOREA. Doel hierbij is het SOC-MF breed toegankelijk maken voor IT-Auditors en security professionals (ook buiten Nederland). Na de review door leden van de werkgroep en beoordeling door de vaktechnisch commissie van NOREA is het SOC-MF ter consultatie tot eind september 2022 aangeboden op de NOREA website.

In de afgelopen periode zijn er diverse pilots uitgevoerd waarin het SOC-MF zich heeft bewezen. Eén van de bedrijven waar het SOC-MF met succes is gebruikt is Vattenfall in een audit naar het eigen internationale SOC. Verder zijn momenteel organisaties binnen de Rijksoverheid bezig met het onderzoeken van SOC’s (Algemene Rekenkamer) en het versterken van het SOC Stelsel Rijk (CIO Rijk) waarbij kennis is genomen van (delen van) het SOC-MF. Tenslotte is bij een aantal grote en kleinere interne auditafdelingen het model toegelicht. Feedback van de audits, theoretische inzichten, belanghebbenden en de consultatie zijn verwerkt in de versie die nu via de NOREA wordt gepubliceerd.
Het doet ons dan ook genoegen dit mooie resultaat met jullie te delen. Al beseffen we ons ook goed dat het hiermee niet stopt en dat cybersecurity altijd in beweging is. Om continue te kunnen verbeteren staan we open voor tips, ideeën en feedback. Het SOC-MF en de bijbehorende (verklarende) Good Practice zijn te vinden bij NOREA.

Stay (cyber)safe!
Christopher Nield, Danny Schmidt en Tom Verharen