Hoe bouw ik een Security Operations Center?

Hoe bouw ik een Security Operations Center?

DearBytesBlogHoe bouw ik een Security Operations Center?

woensdag 11 maart 2015

De mensen die onze website en persberichten een beetje volgen is het vast niet ontgaan: we zijn met DearBytes momenteel druk bezig met het bouwen van een geheel nieuw Security Operations Center (SOC). DearBytes levert al 10 jaar managed security services en de laatste jaren neemt de vraag zodanig toe dat de fysieke beperkingen van huisvesting ons dwongen uit te breiden. Na enig beraad is besloten een tweede vestiging te openen specifiek ingericht voor het uitvoeren van security operations: ons DearSOC.

Het behoeft niet al te veel uitleg als ik stel dat dit een omvangrijk project is. Omdat we vaak de vraag krijgen waarom en (vooral) hoe we dit eigenlijk doen, schrijf ik op deze plaats een kort feuilleton met als titel “Hoe bouw ik een Security Operations Center?”. Vandaag het eerste deel.

Stap 1: Bezint eer ge begint

soc

Figuur: één van de brainstormsessies

De verleiding is groot om met vol enthousiasme uit de startblokken te schieten. Snel een stapel monitoren en computers aan de wand spijkeren en uit alle hoeken en gaten mensen trekken om de operatie te bemannen. Houd die gedachte nog even vast en probeer eerst eens rustig na te denken over wat je nu precies wilt gaan realiseren.

In ons geval zijn we met een groep mensen in een ruimte gaan zitten en we hebben onze gedachten de vrije loop gelaten. De ene collega legde vooral de nadruk op de techniek die state-of-the-art zou moeten zijn, een ander benadrukte steeds dat onze dienstverlening pas echt waardevol zou zijn als hij rond de klok geleverd kon worden. Weer iemand anders hamerde op het continu op orde hebben van de afspraken die we met onze klanten maken en de wijze waarop we die realiseren. Een kernwoord dat in iedere discussie steeds weer terugkwam was ‘sfeer’. Blijkbaar vonden we het uitermate belangrijk om niet enkel te streven naar een web van procedures, maar juist ook aandacht te besteden aan meer informele waarden.

Om te voorkomen dat je later tegen problemen aanloopt zijn er een aantal belangrijke vragen om in het te beantwoorden:

  • Wat is de missie van het SOC?
  • Welke doelen willen we bereiken met de SOC dienstverlening?
  • Op welke tijdstippen is het SOC actief?
  • Welke verantwoordelijkheden worden bij het SOC belegd?
  • Wat is de cultuur die we binnen het SOC willen handhaven?

Het antwoord op deze vragen leidt tot een behapbaar handvest, wat er bijvoorbeeld als volgt uit ziet:

“Het SOC is verantwoordelijk voor het monitoren, detecteren en opvolgen van beveiligingsincidenten, alsmede het beheren en bewaken van de beveiligings-, netwerk- en eindgebruikerssystemen. Deze diensten worden 24 uur per dag en 7 dagen in de week uitgevoerd door flexibele en betrokken mensen die plezier beleven in hun werk.”

Het spreekt voor zich dat een dergelijk statement voor iedere organisatie anders zal zijn.

Meer concreet: wat gaan onze mensen nu precies doen?

Er wordt een inventarisatie gemaakt van de specifieke werkzaamheden die in het SOC verricht gaan worden: wat gaan die flexibele en betrokken mensen nu eigenlijk precies doen?

In het geval van het DearBytes SOC komt dat neer op dit soort taken:

  • Het monitoren van incidenten in de SIEM, Antivirus, IPS en/of DLP systemen;
  • Contacten onderhouden met klanten, collega’s en leveranciers over incidenten en issues;
  • Het actief zoeken (hunten) naar afwijkend gedrag binnen de omgevingen en systemen;
  • Continu op de hoogte zijn van de actieve bedreigingen en beschikbare maatregelen.

Wanneer deze taken helder gedefinieerd zijn, is het mogelijk om hier in een later stadium meer gedetailleerde werkprocedures omheen te bouwen en deze te implementeren. Het is op dat moment ook logisch om hier een trapsgewijze service aan te hangen, met een eerste-, tweede- en derdelijns dienst. Op basis van de keuzes die in dit stadium gemaakt worden (24/7 services, plezier, scope) kan een voorzichtig begin gemaakt worden met de werving van mensen.

Deel twee van dit vervolgverhaal gaat nader in op hoe die werkprocessen er nu precies uit kunnen zien en welke tools en producten hier een belangrijke rol bij spelen. Hierna beschrijf ik de uitdagingen die om de hoek komen kijken bij het werven en selecteren van SOC medewerkers en hoe een 24/7 dienstverlening logistiek ingericht kan worden.

Wordt vervolgd!