Waarom kiezen voor een Nederlands SOC?

Waarom kiezen voor een Nederlands SOC?

DearBytesBlogWaarom kiezen voor een Nederlands SOC?

woensdag 15 april 2015

Bij DearBytes leveren we al jaren managed security services. Vooral rondom SIEM komt het steeds vaker voor dat wij in aanbestedingstrajecten vergeleken worden met grote, multinationale dienstverleners. Gelukkig lukt het ons dan vaker wel dan niet om de afnemer te overtuigen hun security bij DearBytes te outsourcen. Maar waarom is dat? Waarom moet u kiezen voor een Nederlands Security Operations Center (SOC)?

Gevoel en rationaliteit

Allereerst is er natuurlijk het aspect “gevoel”. Daar gaat deze blog niet over, dus ik zal er niet te lang bij stilstaan, maar DearBytes overtuigt afnemers vaak op basis van een enorme dosis enthousiasme. De centrale vraag bij het outsourcen van security is natuurlijk: “Wie kan mij het best veilig houden?”. Ik vind het dan zelf ook wel logisch dat men kiest voor de partij die de aanvraag met de meeste overgave beantwoordt.

Maar los dus van dat gevoel, zijn er ook rationele redenen om te kiezen voor een lokaal, Nederlandse SOC. En buiten voor de hand liggende zaken zoals taal, cultuur en reistijd, is er een reden die echt over de materie gaat. En dan doel ik op zogenaamde “Watering Hole” aanvallen. Watering Hole laat zich vertalen tot “drinkplaats” en werd in 2012 door RSA bedacht voor een bepaald type aanvallen.

Watering Hole

DBDrawing 008 - Watering HoleBij een Watering Hole aanval misbruikt de aanvaller een betrouwbare website. Hij kiest daarbij een website waarvan hij weet dat zijn beoogde slachtoffer deze regelmatig bezoekt. Denk bijvoorbeeld aan een geïnfecteerde advertentie op een site als NU.nl. De analogie Watering Hole wordt nu duidelijk: het duidt op het misbruiken van een veelgebruikte of zelfs vitale plaats, waar mensen blind op vertrouwen.

Het voorbeeld van NU.nl noem ik niet voor niets. Er zijn tal van andere grote websites voor dit doel misbruikt, zoals de Telegraaf, NRC, Yahoo, Java, enzovoorts. Bijna altijd zijn het de advertenties op dit soort sites die korte tijd misbruikt zijn om malware te verspreiden. Het gebruik van advertenties op deze manier, wordt ook wel Malvertising genoemd. En malvertising, samen met de beschikbaarheid van exploit kits zijn de belangrijkste reden waarom organisaties getroffen worden door ransomware en andere vormen van malware. De voorbeelden die gericht zijn op Nederlandse internetgebruikers zijn veelvuldig, maar die van NU.nl spreekt het meest tot de verbeelding voor het punt dat ik wil maken.

Wat is de impact van malware op NU.nl?

Elke Nederlandse internetgebruiker kan in een halve seconde inschatten wat de impact is van malware die verspreid wordt via NU.nl: gigantisch. NU.nl heeft naar eigen zeggen 2,7 miljoen unieke gebruikers per dag. Welk deel daarvan zal uit Nederland komen? De grote meerderheid, natuurlijk. Maar dat betekent dus wel dat de impact van malware op NU.nl vooral in Nederland gigantisch is. Voor andere landen is het zo goed als insignificant.

Hoe snel kan een SOC met buitenlandse medewerkers de impact van malware op een lokale site beoordelen? Precies: dat moet een kwestie zijn van hele strakke procedures, maar zelfs dan zullen ze trager reageren dan mensen die zelf ook NU.nl raadplegen voor hun nieuws. Ofwel: mensen die afhankelijk zijn van dezelfde drinkplaats, dezelfde Watering Hole.

Conclusie

Echt: internationale threat intelligence is in te kopen vanuit tal van bronnen. Het is geen kunst om dit soort informatie tot de beschikking te hebben. Wat wel de kunst is, om die intelligence op waarde te schatten voor onze Nederlandse klanten.

En dat is waarom u zou moeten kiezen voor een Nederlands: omdat wij uw drinkplaats delen 🙂