IT-beveiliging: belangrijke woorden in verband met het SOC (en Cyber SOC)

Interview de Josephine Russello, SDM Cybersécurité SOC
Josephine
Secu Blog

Naarmate cybersecurity complexer wordt, breidt ook de terminologie terzake uit. Wij hebben de belangrijkste woorden inzake IT-beveiliging op een rijtje gezet, te beginnen met het ruime domein van het SOC (en cyberSOC), met behulp van de expertise van Josephine Russello, Service Delivery Manager (ROC) Cybersecurity bij Win.

MSP, MSSP en MDR

/mots-importants-securite-informatique-soc#mdr

De IT-beveiligingsteams van vandaag moeten silo's van gegevens beheren die afkomstig zijn uit heel uiteenlopende en complexe bronnen: SaaS-toepassingen, een of meer clouds, OT-systemen, verbonden objecten, SD-WAN-verbindingen en een groeiend aantal werkplekken (van pc's tot smartphones). Er zijn ook talrijke beheerde (of managed) beveiligingsdiensten op de markt, die sinds het begin van de jaren 2000 sterk zijn geëvolueerd:

  1. MSP (Managed Service Provider): deze term bestaat sinds het begin van de jaren 2000 en verwijst naar eenvoudig extern beheer van de infrastructuur (managed services), zonder beheer van de beveiligingsconsoles.
  2. MSSP (Managed Security Services Provider): MSP-diensten zijn in de loop der jaren geëvolueerd naar het beheer van beveiligingsconsoles en beveiligingswaarschuwingen. Het doel is feedback te geven over eventuele waarschuwingen en er tegelijkertijd voor te zorgen dat consoles zowel functioneel als up-to-date blijven.
  3. MDR (Managed Detection and Response): ook hier zijn met de toename van steeds meer geraffineerdere aanvallen nieuwe behoeften ontstaan. Zo moet men potentiële zwakke plekken kunnen elimineren, de oorsprong van beveiligingswaarschuwingen begrijpen en de mogelijke impact kunnen bepalen. MDR biedt dus een proactieve beveiligingsaanpak, maar ook een reactieve aanpak door mogelijke respons aan te bieden in geval van een aanval.

Joséphine Russello: "De beveiligingsbehoeften (en behoeften aan cyberbeveiliging) van organisaties zijn in de loop der tijd geëvolueerd: MSP's zijn MSSP's geworden. Door de bliksemsnelle evolutie van de bedreigingen voor IT-netwerken is het model geëvolueerd naar meer proactieve MDR-diensten."

EDR, XDR en NDR

/mots-importants-securite-informatique-soc#ndr

EDR, XDR en NDR zijn drie termen die verband houden met cyberveiligheid, maar met zeer verschillende betekenissen en implicaties.

  • EDR (Endpoint Detection and Response) betekent letterlijk "Detectie en Response op de Endpoints". De term verwijst naar een beveiligingsoplossing die de endpoints, de terminals – dus de computers, servers, mobiele apparaten - controleert op bedreigingen en verdacht gedrag. EDR wordt gebruikt om gebruikersactiviteiten te monitoren, malware-aanvallen te detecteren, kwetsbaarheden in het systeem te identificeren en de reactie op deze bedreigingen te automatiseren.
  • NDR (Network Detection and Response) staat voor "Netwerkdetectie en -respons". Dit zijn software- of hardwareoplossingen die het netwerkverkeer en gebeurtenissen controleren op bedreigingen en kwaadaardig gedrag. Er worden gegevens verzameld van verschillende netwerkbewakingspunten om anomalieën, verdachte verkeerspatronen en ongewoon gedrag vast te stellen. NDR maakt ook gebruik van gedragsanalyse, machine learning en big data-analyse om complexe bedreigingen te identificeren. Als een bedreiging wordt gedetecteerd, zal de oplossing waarschuwingen activeren en actie ondernemen om kwaadaardige elementen te isoleren of te blokkeren.
  • XDR (Extended Detection and Response) staat voor "Uitgebreide Detectie en Respons". Dit is een evolutie van EDR-technologie die wordt uitgebreid naar andere lagen van het netwerk en informatiesystemen. XDR zal in feite betrekking hebben op netwerken, applicaties, clouds en beveiligingsomgevingen (Cloud). Het doel is een overzicht te krijgen van de beveiligingsinfrastructuur, geavanceerde bedreigingen en aanvallen te kunnen detecteren en tot slot de reactie op deze bedreigingen te helpen automatiseren.

Joséphine Russello: "EDR, NDR en XDR zijn verschillende oplossingen, waarmee we laag voor laag een beveiliging kunnen opbouwen, in tegenstelling tot de oude praktijken die genoegen namen met één of twee bouwstenen. Tegenwoordig komen aanvallen zowel van buitenaf als van binnenuit. Dit zijn reactieve instrumenten, als aanvulling op preventieve instrumenten, die het Cyber SOC verrijken.

SIEM, SOC en Cyber SOC

/mots-importants-securite-informatique-soc#cybersoc

SIEM, SOC en CyberSOC zijn IT-beveiligingsconcepten. Zij verschillen als volgt:

  • SIEM (Security Information and Event Management) omvat beveiligingsinstrumenten die gegevens uit verschillende bronnen (systeemlogs, event logs, netwerkdatastromen) verzamelen, aggregeren, correleren en analyseren. Het doel is anomalieën, kwaadaardig gedrag en veiligheidsbedreigingen op te sporen. Met SIEM-oplossingen is het ook mogelijk beveiligingsteams te waarschuwen in geval van een incident en het onderzoek en de respons op het incident te vergemakkelijken. SIEM is bovenal een platform waarin logs worden geïnjecteerd vanuit het informatiesysteem, beveiligingsinstrumenten, servers, VPN's en andere firewalls. Het is belangrijk hierbij zorgvuldig de meest relevante logs te selecteren, om te vermijden dat je wordt overspoeld met informatie.
  • SOC (Security Operations Center) is een echt operationeel centrum voor beveiligingsoperaties. Het brengt teams samen die zich bezighouden met de IT-beveiliging van een bedrijf. De beveiligingsteams van het SOC bewaken de informatiesystemen van het bedrijf in real time, analyseren waarschuwingen en kunnen zo cyberbeveiligingsincidenten verhelpen.
  • Cyber SOC is een platform voor permanente bewaking van de IT-architectuur van organisaties. Het is samengesteld uit deskundigen, volledig gewijd aan de bewaking van informatiesystemen en gebaseerd op geavanceerde cyberdefensietechnologieën (SIEM, EDR, UEBA). Het Cyber SOC (gehost in een soeverein datacenter) is een essentieel beschermingsinstrument waarmee organisaties in alle sectoren hun zakelijke uitdagingen kunnen aangaan en hun uitdagingen op het vlak van cyberbeveiliging, compliance en soevereiniteit.

Joséphine Russello: "Vandaag integreert het SOC rechtstreeks een SIEM, maar omvat het een extra dimensie, nl. die van de mens. Het SOC verenigt inderdaad een team van deskundigen. In een tijd waarin elke beveiligingsstrategie rekening moet houden met de cyberfactor, versterkt het Cyber SOC het systeem nog verder door er instrumenten aan toe te voegen die perfect geschikt zijn om alle aspecten van de beveiliging aan te pakken, inclusief cyberdefensie. Tot dit arsenaal behoren ook technieken zoals het opzetten van vallen en andere honeypots om potentiële aanvallers aan te trekken en te lokken, die steeds vaker worden gebruikt."

UBA et UBEA

/mots-importants-securite-informatique-soc#ubea

UBA en UBEA zijn twee benaderingen van IT- en cyberveiligheid. Hun toepassingsgebied is verschillend:

  • UBA (User Behavior Analytics) verwijst naar de analyse van gebruikersgedrag. Deze beveiligingsaanpak is erop gericht bedreigingen op te sporen door het gedrag van de gebruiker te monitoren. Het doel is anomalieën op te sporen, zoals ongeoorloofde inlogpogingen, veranderingen in gebruikspatronen of ongebruikelijke netwerkactiviteiten. UBA's worden gecombineerd met andere beveiligingstechnologieën, zoals intrusion detection (IDS) of intrusion prevention (IPS).
  • UBEA (User and Entity Behavior Analytics) verwijst naar gedragsanalyse, niet alleen van gebruikers, maar ook van entiteiten. UBA's richten zich uitsluitend op gebruikersgedrag. UBEA is een bredere aanpak die rekening houdt met andere entiteiten (servers, applicaties, IoT-apparaten). Om abnormaal of verdacht gedrag te detecteren, maken UBEA's gebruik van lerende algoritmen om waarschuwingen te genereren in geval van een bedreiging.

Joséphine Russello: "De UBA- en UBEA-aanpak is terug te vinden in de instrumenten die zijn geïmplementeerd in het CyberSOC. Wat hier fundamenteel anders is, is dat we ons bezighouden met gedragsanalyse, van gebruikers (UBA) en eventueel van entiteiten (UBEA). Ook hier gaat het absoluut om cruciale informatie, vooral vanwege de snelle toename van risico's als lateral movement, waarbij een gebruiker probeert zo hoog mogelijke privileges te krijgen, na zich op ongewenste manier toegang te hebben verschaft, bijvoorbeeld door een geslaagde phishing-poging."

CVE et CVSS

/mots-importants-securite-informatique-soc#cvecvss

CVE en CVSS zijn twee onontbeerlijke normen die op het gebied van cyberbeveiliging worden gebruikt om zwakke plekken te identificeren. Zij worden beide gebruikt om beveiligingskwetsbaarheden in computersystemen en de impact van de zwakke plekken te beoordelen. CVE is een referentiewoordenboek voor bekende beveiligingskwetsbaarheden en CVSS is een beoordelingssysteem voor de ernst van de kwetsbaarheden.

Wat is het verschil?

  • CVE (Common Vulnerabilities and Exposures) is een soort referentiewoordenboek. Het identificeert bekende beveiligingskwetsbaarheden en kent er een uniek nummer aan toe. CVE's worden toegekend door een specifieke organisatie, Mitre Corporation.
  • CVSS (Common Vulnerability Scoring System) is een systeem (met scores tot 10) voor de evaluatie van kwetsbaarheden. Het idee is een score toe te kennen om de ernst van geïdentificeerde kwetsbaarheden te bepalen. De rating gaat van 0 tot 10. De berekening is gebaseerd op verschillende criteria zoals complexiteit, potentiële impact, vertrouwelijkheid, gegevensintegriteit en de beschikbaarheid van een patch voor de zwakke plek.

Joséphine Russello: "Deze databases worden dagelijks bijgewerkt en zijn essentieel voor de IT-beveiliging. De databases met kruisverwijzingen stellen ons in staat beveiligingsaudits en scans uit te voeren en dus preventief te werken om bijvoorbeeld gevoelige gebieden te definiëren en een patch toe te passen als die al beschikbaar is. Ook met CVE en CVSS besfhikken wij over waardevolle middelen in het kader van ons CyberSOC. "

CSIRT

/mots-importants-securite-informatique-soc#csirt

Een CSIRT (Computer Security Incident Response Team) is een team dat gespecialiseerd is in het beheer van computerbeveiligingsincidenten: detectie, analyse en reactie op beveiligingsincidenten, maar ook coördinatie met andere teams en organisaties.

Het heeft tot taak de veiligheid van computersystemen en -netwerken te handhaven. Het CSIRT houdt verdachte activiteiten in de gaten en reageert snel op incidenten om de schade tot een minimum te beperken, gevoelige gegevens te beschermen en de bedrijfscontinuïteit in stand te houden.

Joséphine Russello: "Er zijn verschillende CSIRT's in de wereld - particuliere, commerciële of institutionele (overheden bijvoorbeeld) - die onze overwegingen en onze kennis dagelijks voeden. De CSIRT's vormen een essentiële schakel in het arsenaal dat wij met het Cyber SOC inzetten, omdat zij een maximum aan beveiligingsinformatie (incidenten, zwakke plekken, aanvallen, risico's) verzamelen en synthetiseren. Zij treden zowel preventief als reactief op.

Op zoek naar advies over hoe u de cyberveiligheid van uw organisatie kunt waarborgen? Neem contact met ons op!