De meeste organisaties beschikken zelf niet over een Security Operations Center (SOC) die de IT-omgeving 24/7 monitort en op incidenten acteert. Kosten voor 24/7 bemensing en tooling zijn daarvoor vaak te hoog. Over het algemeen wordt gebruik gemaakt van cybersecurity serviceproviders die Managed Detect & Response (MDR) diensten leveren. Los van de kwaliteit van de mensen en de tooling die providers inzetten is de input die softwarematige sensors leveren aan het SOC essentieel om een dienst uit te voeren.

Vergelijkbaar is de analogie met fysieke beveiliging. Een 24/7 meldkamer is afhankelijk van goede sensors op de juiste plekken geïnstalleerd, die beweging, temperatuur of rook detecteren om te kunnen acteren op criminele activiteiten of brandgevaar.

Al wordt de SOC-dienst uitbesteed en is er een SLA. Het is belangrijk om hier als organisatie zelf kennis van te hebben en periodiek ook te toetsten. Schijnveiligheid is als een verzekering die niet dekt. Uw organisatie is zelf aansprakelijk en wanneer uw organisatie binnen de NIS2 valt, geldt dit ook voor bestuurders en toezichthouders.

Type sensors

Welk type sensor het meeste oplevert voor een SOC is sterk afhankelijk van het type organisatie. Cloud gebruik, centrale of decentrale toegang tot en opslag van data, zijn belangrijk, alsook het gebruik van de hoeveelheid Operationele Technologie.

Operationele Technologie kan vaak niet worden voorzien van Endpoint securitysoftware. Om hier toch inzicht te verkrijgen kan specifieke OT of netwerk -security van toegevoegde waarde zijn.

Sensors op Identity Services en Endpoints (clients & servers) bewegen mee met gebruikers, applicaties en data. Daardoor worden deze sensors over het algemeen gezien als het fundament.

Detectie kwaliteit

Sensors kennen vaak meerdere licentievormen. Vaak zijn de goedkopere versies in staat om vooral preventief ‘bekende’ dreiging tegen te houden. Geavanceerde versies hebben de belangrijke eigenschap om detectie te doen van afwijkend gedrag en daarmee ook nog ‘onbekende’ dreiging. Dit is een cruciale functionaliteit voor een 24/7 Cybersecurity ‘alarmcentrale’ en wordt dan ook op getest.

Er is een onafhankelijk instituut wat jaarlijks de oplossingen van de grote fabrikanten evalueert waaruit hun kwaliteit en effectiviteit op preventie en detectie capaciteit blijkt.

In kwartaal 4 van 2024 worden de meest recente uitslagen verwacht: https://attackevals.mitre-engenuity.org/enterprise/er6/

Integratie & centraal management

De marktstandaard is dat sensors op Endpoint, Identity, Cloud en Netwerk integreren met elkaar en hun data correleren in een centraal platform. Dit eXtended Detection & Response (XDR) -platform beheert de sensors en voedt ze met updates op het gebied van dreiging, zodat de sensors continu in staat zijn om decentraal de laatste dreiging te detecteren en tegen te houden.

De integratie van sensors onderling in het XDR-platform en de integratie van het XDR-platform met externe systemen is een belangrijke eigenschap voor een schaalbare dienst.

Conclusie

Detectie kwaliteit van sensors, integraties tussen sensors onderling en bovenliggende systemen zijn kenmerken die standaard op orde moeten zijn voor producten die dienstverleners gebruiken. Voor het type sensor geldt voor de meeste organisaties, dat het antwoord ligt in het gebruik van de combinatie van een aantal type sensors:

1. Endpoints (clients & servers)
2. Identity Services (lokaal & cloud)
3. Cloud (public & private)
4. Netwerk & OT

Deze opsomming geeft tevens de volgorde aan van effectiviteit en bijdrage aan het inzicht. Zoals eerder aangegeven, dit geldt niet in alle gevallen. Sensors en het monitoren ervan kost geld. Belangrijk is dan ook om na te gaan of een sensor genoeg bijdraagt aan de beoogde dienstverlening om aangesloten te worden.

Advies

Bedrijven zijn zelf aansprakelijk bij ongevallen. De aansprakelijkheid wordt niet overgenomen door een cybersecurity dienstverlener. Wees dus kritisch op de sensors die worden gebruikt door uw dienstverlener en daarmee de kwaliteit van de dienst die u afneemt en bescherming die u daarmee heeft.

Serviceproviders en fabrikanten zijn niet onafhankelijk in hun advies over hun producten en diensten. Het is daarom aan te bevelen om objectief advies in te winnen over oplossingen bij een onafhankelijke adviespartij. Niet alleen bij aanschaf, maar ook daarna als de dienst een tijdje draait. Hiermee voorkomt u te betalen voor een 'verzekering die niet dekt', waarbij uw bedrijf misschien wel compliant is, maar niet veilig!

Klik op ons logo voor contact en meer informatie over onze onafhankelijke adviesdiensten.