Kan uw SOC u redden?

Cyberbeveiliging
Kan uw SOC u redden?

Van ondernemingen wordt tegenwoordig verwacht dat ze over minimaal zes tot acht detectietools beschikken, omdat detectie wordt beschouwd als een standaardinvestering en als de eerste verdedigingslinie. Toch hebben veiligheidsleiders moeite om het besteden van middelen verderop in de waarschuwingslevenscyclus aan hun superieuren te rechtvaardigen.

Als gevolg hiervan zijn de beveiligingsinvesteringen van de meeste organisaties asymmetrische, robuuste detectietools, gecombineerd met een SOC met te weinig middelen, hun laatste verdedigingslinie.

Een recente casestudy laat zien hoe bedrijven met een gestandaardiseerd SOC een geavanceerde phishing-aanval voorkwamen, waarbij toonaangevende e-mailbeveiligingstools werden omzeild. In deze casestudy was een phishing-campagne tussen bedrijven gericht op C-suite-managers van meerdere ondernemingen. Acht verschillende e-mailbeveiligingstools binnen deze organisaties konden de aanval niet detecteren, en phishing-e-mails bereikten de inbox van leidinggevenden. Het SOC-team van elke organisatie ontdekte de aanval echter onmiddellijk nadat werknemers de verdachte e-mails hadden gemeld.

Waarom faalden alle acht detectietools op identieke wijze waar het SOC slaagde?

Wat al deze organisaties gemeen hebben, is een evenwichtige investering gedurende de levenscyclus van waarschuwingen, waarbij hun SOC niet wordt verwaarloosd.

Dit artikel onderzoekt hoe investeren in het SOC onmisbaar is voor organisaties die al aanzienlijke middelen hebben toegewezen aan detectietools. Bovendien is een evenwichtige SOC-investering cruciaal voor het maximaliseren van de waarde van hun bestaande detectie-investeringen.

Detectietools en het SOC werken in parallelle universums

Het begrijpen van deze fundamentele ontkoppeling verklaart hoe veiligheidslacunes ontstaan:

Detectietools werken in milliseconden. Ze moeten elke dag onmiddellijk beslissingen nemen op basis van miljoenen signalen. Ze hebben geen tijd voor nuance; snelheid is essentieel. Zonder dit zouden netwerken tot stilstand komen, omdat elk e-mail-, bestand- en verbindingsverzoek zou worden opgehouden voor analyse.

Detectietools zoomen in. Zij zijn de eersten die potentiële bedreigingen identificeren en isoleren, maar ze hebben geen inzicht in het grotere geheel. Ondertussen opereren SOC-teams met een zicht van 9.000 meter. Wanneer waarschuwingen analisten bereiken, beschikken ze over iets dat detectietools missen: tijd en context.

Het SOC pakt waarschuwingen daarom vanuit een ander perspectief aan:

  1. Ze kunnen gedragspatronen analyseren, zoals waarom een ​​leidinggevende plotseling inlogt vanaf het IP-adres van een datacenter, terwijl hij of zij normaal gesproken vanuit Londen werkt.
  2. Ze kunnen gegevens aan verschillende tools koppelen. Ze kunnen een e-maildomein met een schone reputatie bekijken, samen met daaropvolgende authenticatiepogingen en gebruikersrapporten.
  3. Ze kunnen patronen identificeren die alleen zinvol zijn als ze samen worden bekeken, zoals exclusieve targeting van financiële managers in combinatie met timing die aansluit bij de looncycli.

Drie kritieke risico’s van een ondergefinancierd SOC

Ten eerste kan het het voor leidinggevenden moeilijker maken om de oorzaak van het probleem te identificeren. CISO’s en budgethouders in organisaties die verschillende detectietools inzetten, gaan er vaak van uit dat hun investeringen deze veilig zullen houden. Ondertussen ervaart het SOC dit anders, overweldigd door lawaai en zonder de middelen om echte bedreigingen goed te onderzoeken. Omdat de uitgaven voor detectie duidelijk zijn, terwijl de problemen met SOC’s achter gesloten deuren plaatsvinden, vinden veiligheidsleiders het een uitdaging om de noodzaak van extra investeringen in hun SOC aan te tonen.

Ten tweede overweldigt de asymmetrie de laatste verdedigingslinie. Aanzienlijke investeringen in meerdere detectietools zorgen voor duizenden waarschuwingen die het SOC elke dag overspoelen. Met ondergefinancierde SOC’s worden analisten keepers die met honderden schoten tegelijk te maken krijgen en onder enorme druk in een fractie van een seconde beslissingen moeten nemen.

Ten derde ondermijnt het het vermogen om genuanceerde bedreigingen te identificeren. Wanneer het SOC wordt overweldigd door waarschuwingen, gaat de capaciteit voor gedetailleerd onderzoekswerk verloren. De bedreigingen die aan detectie ontsnappen, zijn de bedreigingen die detectietools überhaupt nooit zouden onderkennen.

Van tijdelijke oplossingen tot duurzame SOC-operaties

Wanneer detectietools dagelijks honderden waarschuwingen genereren, is het toevoegen van nog een paar SOC-analisten net zo effectief als proberen een zinkend schip met een emmer te redden. Het traditionele alternatief is uitbesteding aan MSSP’s of MDR’s en het aanwijzen van externe teams om de overflow af te handelen.

Maar voor velen zijn de afwegingen nog steeds te groot: hoge doorlopende kosten, oppervlakkige onderzoeken van analisten die niet bekend zijn met uw omgeving, vertragingen in de coördinatie en gebrekkige communicatie. Outsourcing lost de onevenwichtigheid niet op; het verschuift gewoon de last op het bord van iemand anders.

Tegenwoordig worden AI SOC-platforms de voorkeurskeuze voor organisaties met gestroomlijnde SOC-teams die op zoek zijn naar een efficiënte, kosteneffectieve en schaalbare oplossing. AI SOC-platforms opereren op de onderzoekslaag waar contextueel redeneren plaatsvindt, automatiseren de triage van waarschuwingen en brengen alleen high-fidelity-incidenten aan het licht nadat ze context hebben toegewezen.

Met behulp van AI SOC besparen analisten elke maand honderden uren, omdat de fout-positieve cijfers vaak met meer dan 90% dalen. Dankzij deze geautomatiseerde dekking kunnen kleine interne teams 24/7 dekking bieden zonder extra personeel of outsourcing. De bedrijven uit deze casestudy investeerden in deze aanpak via Radiant Security, een agentisch AI SOC-platform.

Twee manieren waarop SOC-investeringen vruchten afwerpen, nu en later

  1. SOC-investeringen maken de kosten van detectietools de moeite waard. Uw detectiehulpmiddelen zijn slechts zo effectief als uw vermogen om hun waarschuwingen te onderzoeken. Wanneer 40% van de waarschuwingen niet wordt onderzocht, profiteert u niet van de volledige waarde van elk detectieprogramma dat u bezit. Zonder voldoende SOC-capaciteit betaalt u voor detectiemogelijkheden die u niet volledig kunt benutten.
  2. Het unieke perspectief van de laatste regel zal steeds belangrijker worden. SOC zal steeds belangrijker worden naarmate detectietools steeds vaker falen. Naarmate aanvallen geavanceerder worden, zal detectie meer context nodig hebben. Het perspectief van het SOC betekent dat alleen zij deze punten kunnen verbinden en het hele plaatje kunnen zien.

Drie vragen die u als leidraad dienen voor uw volgende beveiligingsbudget

  1. Is uw beveiligingsinvestering symmetrisch? Begin met het beoordelen van uw toewijzing van middelen op onevenwichtigheid. De eerste indicatie van asymmetrische beveiliging is dat er meer waarschuwingen zijn dan uw SOC aankan. Als uw analisten overweldigd worden door waarschuwingen, betekent dit dat uw frontlinie uw backline overschrijdt.
  2. Is uw SOC een gekwalificeerd vangnet? Elke SOC-leider moet zich afvragen: als detectie mislukt, is het SOC dan bereid om op te vangen wat er doorkomt? Veel organisaties vragen dit nooit omdat ze detectie niet als de verantwoordelijkheid van het SOC zien. Maar als detectiemiddelen falen, verschuiven de verantwoordelijkheden.
  3. Maakt u onvoldoende gebruik van bestaande tools? Veel organisaties merken dat hun detectietools waardevolle signalen produceren die niemand tijd heeft om te onderzoeken. Asymmetrie betekent dat je het vermogen mist om te handelen op basis van wat je al bezit.

Belangrijkste conclusies van Radiant Security

De meeste beveiligingsteams hebben de mogelijkheid om middelen toe te wijzen om de ROI van hun huidige detectie-investeringen te maximaliseren, toekomstige groei te ondersteunen en de bescherming te verbeteren. Organisaties die investeren in detectietools maar hun SOC verwaarlozen, creëren blinde vlekken en burn-out.

Radiant Security, het agentische AI ​​SOC-platform dat in de casestudy wordt benadrukt, toont succes door evenwichtige investeringen in beveiliging. Radiant werkt op de SOC-onderzoekslaag, waarbij elke waarschuwing automatisch wordt beoordeeld, valse positieven met ongeveer 90% worden verminderd en bedreigingen op machinesnelheid worden geanalyseerd, zoals een topanalist. Met meer dan 100 integraties met bestaande beveiligingstools en responsfuncties met één klik helpt Radiant gestroomlijnde beveiligingsteams elke waarschuwing, bekend of onbekend, te onderzoeken, zonder dat er een onmogelijke uitbreiding van het personeelsbestand nodig is. Stralende beveiliging maakt SOC-mogelijkheden op bedrijfsniveau beschikbaar voor organisaties van elke omvang.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Het 2nm-proces van TSMC kan beperkte winst opleveren, maar kan de telefoonprijzen laag houden

Uw toekomstige telefoon kan het hele weekend meegaan

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]