image

NCSC adviseert over inrichten van Security Operations Center

woensdag 20 september 2017, 10:24 door Redactie, 5 reacties

Organisaties die een Security Operations Center (SOC) willen inrichten doen er verstandig aan om klein te beginnen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Een SOC houdt zich voornamelijk bezig met security-monitoring.

Het is een steeds meer gebruikt middel om zicht te krijgen op de beveiliging van applicaties en netwerken binnen organisaties. Aangezien het nog een relatief nieuw fenomeen is, zijn er weinig experts te vinden die bij het opzetten van een SOC kunnen helpen, aldus het NCSC. Daarnaast kost het inrichten van een SOC veel tijd en geld, waardoor het lastig kan zijn om een directie te overtuigen van het nut en de noodzaak. Via een nieuw gepubliceerde factsheet (pdf) wil het NCSC Information Security Officers hiermee helpen.

De factsheet laat weten dat vanuit het niets een volwaardig SOC opzetten een uitdagende opgave is. Daarom is het eenvoudiger klein te beginnen en langzaam en gecontroleerd door te groeien naar een volwaardig SOC. Zo kan er worden begonnen met het monitoren van log-informatie van een paar belangrijke infrastucturele of middelwarecomponenten, bijvoorbeeld de firewall, een webserver of de anti-virusoplossing. Op deze manier kan er ervaring met het monitoren worden opgedaan.

Het NCSC gaat in de factsheet ook in op de vraag of organisaties een SOC zelf moeten opzetten of beter kunnen uitbesteden. In het geval er voor uitbesteden wordt gekozen is het wel belangrijk dat er rekening met de geldende wet- en regelgeving wordt gehouden. Bij het verwerken van informatie voor monitoring bestaat daarnaast de kans dat daar privacygevoelige informatie bij zit. Het NCSC adviseert in alle gevallen waarbij dit het geval kan zijn om een Privacy Impact Assessment (PIA) uit te voeren.

Een ander onderwerp dat in de factsheet wordt behandeld is een Security Information & Event Management (SIEM) systeem. Het betreft software die in staat is om log-informatie vanuit verschillende bronnen te interpreteren en te correleren naar wat zich binnen en rondom het netwerk afspeelt op gebied van cyberaanvallen en andere beveiligingsincidenten. Het is onlosmakelijk met een SOC verbonden, aldus het NCSC. Er wordt dan ook ingegaan op het kiezen en gebruik van een SIEM-systeem. Afsluitend krijgen organisaties het advies dat een SOC een middel is, geen doel. Het moet dan ook aansluiten bij de bedrijfsprocessen en verschillende afdelingen.

Reacties (5)
20-09-2017, 15:11 door karma4
Een siem systeem is een fraaie big data uitdaging. Denk wel aan alle privacy issues. Je hebt het snel over persoonsgrelateerde gegevens. Wie heeft wat wanneer gedaan is door iets benaderd.
20-09-2017, 18:10 door Anoniem
Door karma4: Een siem systeem is een fraaie big data uitdaging. Denk wel aan alle privacy issues. Je hebt het snel over persoonsgrelateerde gegevens. Wie heeft wat wanneer gedaan is door iets benaderd.

ligt eraan wat je in je SIEM stopt. wij gebruiken het hoofdzakelijk voor security events.
20-09-2017, 18:32 door Anoniem
Een Privacy Impact Assessment professioneel uitvoeren is eigenlijk bij alle processen met verwerking van gegevens nodig. Je kan anders nauwelijks aantonen dat je bewust aan de WBP voldoet. Maar ook een PIA is nieuw en dus zijn er ook daarvoor maar weinig experts die goed kunnen helpen. Voor je het weet stuur je gegevens van je klanten zonder hun medeweten of instemming naar een duur bedrijf Europees bedrijf met medewerkers in India voor de analyse. Een handtekening dat er zorgvuldig met data zal worden omgegaan is weinig waard als je niet kan controleren welke gegevens verwerkt worden en wat daar mee kan gebeuren.
20-09-2017, 20:19 door Anoniem
Door karma4: Een siem systeem is een fraaie big data uitdaging. Denk wel aan alle privacy issues. Je hebt het snel over persoonsgrelateerde gegevens. Wie heeft wat wanneer gedaan is door iets benaderd.

inderdaad een uitdaging. Ik draai een 'solo SOC' zoals ik het altijd gekscherend noem met Arcsight, en heb speciaal privacy filters gebouwd om de informatie direct gerelateerd aan gebruiker, niet in één opslag te zien. Dan nog is het een uitdaging. IP nummers worden aangemerkt als persoonsgegeven (vind ik trouwens onjuist helemaal met een DHCP instelling maar ik ben geen wetgevende macht) en zoals vele met mij, heb ik mijn firewall en proxy logging door SIEM lopen.
Dat betekent dat je automatisch IP nummers ziet. Daar helpen weinig filtering aan.

Eminus
21-09-2017, 16:17 door Anoniem
Door Anoniem:Dan nog is het een uitdaging. IP nummers worden aangemerkt als persoonsgegeven (vind ik trouwens onjuist helemaal met een DHCP instelling maar ik ben geen wetgevende macht) en zoals vele met mij, heb ik mijn firewall en proxy logging door SIEM lopen.
Dat betekent dat je automatisch IP nummers ziet. Daar helpen weinig filtering aan.

Eminus

De DHCP server houdt logs bij. Bij een IP adres kun je dus eenvoudig een MAC adres vinden. Je kunt je switches uitvragen om te achterhalen op welke poort dat MAC adres zit. Vervolgens kun je naar je aansluitingen kijken om te achterhalen welke gebruiker het betreft.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.