Organisaties met een hoger securityvolwassenheidsniveau, beschikken vaak over een Security Incident & Event Management (SIEM) systeem, in combinatie met een Security Operations Center (SOC). Diegene die dit nog niet ingericht hebben, zullen hier vast in de toekomst mee in aanraking komen.
Een SOC is een team met goed getrainde defensieve IT-security specialisten, die logging, monitoring en response middelen tot hun beschikking hebben. Zij hebben ogen en oren op alle belangrijke plekken in jouw IT-infrastructuur en bij de belangrijkste applicaties die je bij leverancier(s) hebt ondergebracht. Niets ontgaat hun blik en zodra ze iets verdachts opmerken, starten zij een passende incident response om de impact van het (potentiële) incident te voorkomen. Zet je ze goed in, dan is zo’n team goud waard.
Je kan een insourced SOC hebben, waarbij je je eigen personeel inzet of je hebt het geoutsourced naar een partij die je volledig op dit vlak ontzorgt. Maar ongeacht de sourcingstrategie, merken wij als pentestpartij dat digitale aanvallen vaak onvoldoende worden opgemerkt. dus ook wanneer bedrijven volgens eigen zeggen een werkend SIEM en SOC hebben. De gewenste reactie komt hierbij niet of te laat op gang, waardoor er een vorm van schijnveiligheid ontstaat. Je denkt immers dat je het goed hebt geregeld, maar in praktijk is dit niet het geval.
Kijk jij op de juiste plek?
Vanuit RedTeam voeren wij dagelijks penetratietesten uit en al onze consultants hebben in het verleden gewerkt in, of samen met een SOC. Wat wij in de praktijk tegenkomen is dat er veel tijd en moeite wordt gestopt in het opzetten van een SIEM met diverse use cases. Use cases die bekend gedrag of patronen beschrijven en met genoeg data, ongewenst gedrag kunnen herkennen. Sommige partijen gaan een stap verder en gaan aan de slag met geautomatiseerde systemen, die voorzien zijn van Machine Learning algoritmen en sommigen zetten zelfs “echte” Artificial Intelligence (AI) in. Maar al die technieken zijn weinig waard, als je op de verkeerde plekken kijkt of als je de goede mensen, kennis, data en/of systemen niet aan boord hebt.
Waarom wij merken dat niet alle digitale aanvallen worden opgemerkt door het SOC/SIEM.
Alle maatregelen zijn blijkbaar aanwezig, maar hoe komt het dan, dat wij in de praktijk merken dat tijdens pentesten of een red teaming simulatie niet alle alarmbellen afgaan? En dat hack simulaties niet succesvol worden gedetecteerd door het SOC en binnen het SIEM van kop tot start terug te vinden zijn. Zie het als een fysiek alarmsysteem of brandmelder: Om zeker te zijn van een effectieve werking moet je testen, testen en…. testen. Een SIEM en SOC zijn maatregelen die onderhoud en de juiste afstelling nodig hebben op hedendaagse bedreigingen. Use cases werken net niet helemaal meer hoe ze waren bedacht, processen zijn ondertussen aangepast of aanvalsmethodieken zijn veranderd en werken nu nét op een wat andere manier. Wat je niet kent vind je namelijk niet. Zaken die onderhoud vereisen kosten geld en moet je… testen op hun werking. Want door te testen toets je of je in staat bent om aanvallen op te merken zodat je er actie op in kan zetten om schade of impact te beperken.
Hoe RedTeam jouw SOC/SIEM kan testen en of deze wél goed functioneert.
Vanuit RedTeam geloven wij dat je als organisatie ook je controleur moet controleren of netter gezegd scherphouden. We bieden hiervoor Breach & Attack Simulatie diensten aan om de kwalitatieve werking van je SIEM en SOC te toetsen. Je kan dit zien als een pentest die minder breed is, maar dieper op een onderwerp ingaat. Je test vanuit een vraagstelling, een voorbeeld hiervan is: “Kan Hans van Finance vanaf zijn thuiswerkplek een foutieve betaling doorvoeren?” of “Kan Paula van het IT-beheer team met haar werkplek waar zij met admin rechten werkt een ransomware infectie veroorzaken?”.
Het gewenste scenario wordt beschreven in samenspraak met de contactpersonen binnen de organisatie. Hierbij wordt er gekeken naar alle aanwezige preventieve, correctieve en detectieve maatregelen die aanwezig (zouden) moeten zijn. Na het klaarzetten van de omgeving wordt er een veilige test gestart. Op het moment van testen moeten alle maatregelen werken, maar toch zien we vaak reacties als: oh dat was toch een false-positive? Ah nee, die staat op de Allowlist. Ja, dat document was inderdaad verouderd. Hoeveel tijd stond er in de SLA?
Het beste werkt deze simulatie in een purpleteam opzet. Waarbij de verantwoordelijke operationele specialisten van de maatregelen worden betrokken voor, tijdens en na de simulatie. Tijdens de oefening wordt hen gevraagd, zie je A, zie je B? Gezamenlijk test je hiermee de inrichting van je verdedigingswerken en maak je meteen inzichtelijk waar grijze en zwarte vlekken bestaan. De betrokken specialisten kunnen hier direct een verbetervoorstel voor opstellen, die ze zelf kunnen implementeren na de test. Waar gewenst kan de test worden herhaald om te kijken of de verbetering het gewenste effect heeft bereikt.
Deze acties zorgen ervoor dat het “digitale alarmsysteem” weer goed zijn werk doet en SOC-teams in staat zijn hun verwachtingen waar te maken en relevante digitale aanvallen opmerken om tijdig actie te kunnen ondernemen. Hierdoor wordt jouw omgeving echt digitaal veiliger.
Laat RedTeam jouw IT-beveiliging testen.
Benieuwd geworden naar de mogelijkheden en hoe wij jouw SOC/SIEM kunnen helpen verbeteren zodat jij met een gerust hart kunt vertrouwen op effectieve bewaking van jou IT-beveiliging? Wil je graag meer informatie over hoe wij jouw digitale veiligheid kunnen verbeteren? Neem dan geheel vrijblijvend contact met ons via onderstaand formulier.
