‘Security operations in eigen beheer kun je niet langer zelf’

Waar veel aanbieders van security-oplossingen zich momenteel volledig richten op de Meldplicht Datalekken, kiest Ronald Prins van Fox-IT voor een andere aanpak.

Hij wijst er op dat het intern regelen van security operations voor vrijwel geen enkele IT-afdeling nog een haalbare kaart is. “Veel organisaties kijken hierbij vooral naar de technische kant: hebben wij wel voldoende expertise in huis om al die meldingen zelf af te handelen? Daarbij verliezen zij echter maar al te gemakkelijk de kosten die zij hiervoor moeten maken uit het oog.” 

Productiviteit is niet de eerste kreet waar veel mensen aan zullen denken als we het over IT-security hebben. Toch is dat voor Ronald Prins van Fox-IT een belangrijk en helaas ook vaak vergeten thema. Misschien past het ook wel in de rationalisering - of misschien moeten we wel zeggen: professionalisering - van deze discipline.

Belangrijke denkfout 

“Veel organisaties vinden IT-security zo belangrijk, dat zij dit per se in eigen beheer willen doen. Daarmee maken ze in mijn ogen een belangrijke denkfout. Security operations kun je als bedrijf of overheidsinstelling niet meer zelf. De hoeveelheid incidenten die je moet afhandelen is daar veel te groot voor. Bovendien gebruiken cybercriminelen technieken die steeds geavanceerder worden en hun werkmethoden veranderen ook nog eens razendsnel. Dat kun je als organisatie niet meer bijhouden. Daar heb je gespecialiseerde mensen voor nodig die de hele dag niets anders doen. Het gaat daarbij overigens niet alleen om kennis. Het is ook heel belangrijk dat de security-medewerkers voortdurend uitgedaagd worden. Alleen dan kunnen zij de cybercriminelen bijhouden.”

Security Operations Center 

De basis voor wat ook wel managed security operations wordt genoemd, vormt het security operations center (SOC). In een SOC komen drie disciplines bij elkaar, zegt Prins: technologie voor het waarnemen en analyseren van incidenten, de skills van de security-specialisten die de waargenomen incidenten beoordelen en behandelen en tenslotte intelligence. Dit laatste punt is in de ogen van Prins erg belangrijk. “Met goede tools kun je heel veel incidenten waarnemen en in kaart brengen. Maar hoe goed je medewerkers ook zijn, je hebt heel veel kennis nodig over wat er allemaal gebeurt. Die kennis gebruik je om bijvoorbeeld malware uit elkaar te rafelen en te onderzoeken waar dat stukje software nu precies voor bedoeld is. Wat we bij de ene klant zien gebeuren, kan ook relevant zijn voor een andere relatie. Doordat wij voor heel veel bedrijven werken, bouwen wij dus heel veel intelligence op waar alle klanten weer van profiteren.”

Cyber Threat Management platform 

• Ronald Prins
• Langzaam maar zeker ziet Prins dat meer bedrijven en overheidsorganisaties security operations gaan uitbesteden aan gespecialiseerde aanbieders. Desondanks wil men zelf blijven zien wat er gebeurt. “Daar hebben wij een portal voor ontwikkeld - wij noemen dat het Cyber Threat Management platform. Daarin hebben we een aantal functies bij elkaar gebracht. Aan de ene kant is dat - wat ik maar zal noemen - de techniek. Wij plaatsen op goed gekozen plekken in het netwerk van een klant sensoren die het in- en uitgaande dataverkeer bekijken. Die sensoren hebben wij zelf in eigen beheer ontwikkeld. Zij geven een heleboel meldingen aan ons door van gebeurtenissen die als niet normaal beschouwd kunnen worden. Al die incidenten geven we op het Cyber Threat Management platform weer. Na een eerste analyse kunnen we daar de false positives uit filteren. Ook dat aantal geven we weer. Zo voeren we een aantal analysestappen uit. Uiteindelijk escaleert een aantal incidenten door naar onze security-specialisten. Zij bekijken zo’n incident en onderzoeken wat er precies aan de hand is. En lossen het op door bijvoorbeeld de klant een advies te geven over de te nemen maatregelen.”

Bedrijfseconomische afweging

“Al dit soort gegevens worden zichtbaar gemaakt in de portal die iedere klant kan gebruiken. Daarmee ziet men dus ook hoeveel werk wij voor hen verzetten. En dus in feite uit handen nemen. En dat zou ik de tweede functie van ons Cyber Threat Management Platform willen noemen. Het geeft hen de cijfers om zelf een bedrijfseconomische afweging te maken: stel dat ik zelf met eigen mensen die tienduizenden incidenten per dag zou moeten analyseren, wat zou mij dat dan kosten? En hoeveel budget zou ik moeten uitgeven om uit al die incidentmeldingen de false positives te halen? Wat zijn nu mijn kosten per gemeld incident, en hoeveel zou ik moeten investeren om zelf alle onterechte meldingen eruit te halen? En wat zou ik daarnaast moeten investeren in alle incidenten die wel terecht blijken? Hierbij realiseert men zich natuurlijk ook dat wij tal van zelf ontwikkelde algoritmen gebruiken om bijvoorbeeld false positives uit de reeks incidenten te halen. Waar wij veel analyses kunnen automatiseren, zouden zij dat zelf nooit op die manier kunnen aanpakken.”

Investeringen optimaliseren

Prins is de eerste om te erkennen dat het een open deur is om te stellen dat cybercriminelen razendsnel nieuwe technologie en werkmethoden ontwikkelen. “Het wordt echter heel interessant als je daar een kreet als ‘productiviteit’ aan koppelt. De kernactiviteit van een bank is niet security, datzelfde geldt voor een transportbedrijf of een verzekeringsmaatschappij. Die ondernemingen willen daarentegen wel veilig kunnen werken, de informatie van hun klanten goed beschermen en commerciële informatie uit handen van onbevoegden houden. Dit soort bedrijven doen er dan goed aan om een bedrijfseconomische afweging te maken: hoe kan ik mijn investeringen in IT-security optimaliseren? Wat moet ik zelf doen en wat kan ik beter uitbesteden?”

Productiviteit

In de praktijk ziet Prins dat met name grote en internationaal opererende bedrijven nu kijken naar het uitbesteden van security operations. Daarbij hanteren zij steeds vaker beoordelingscriteria als productiviteit. “Toch zie ik nog dat veel andere bedrijven vooral met de technische kant van IT-security bezig zijn. Zij hebben nog vaak het idee dat bedrijfsgegevens alleen in hun handen veilig zijn. Daardoor hebben zij het idee dat er dus weinig anders op zit dan dat zij zelf de security op zich nemen. Dat is zo langzamerhand toch echt een achterhaald idee. Zij hebben niet de mensen noch de schaalgrootte om echt bij te blijven op technisch gebied. En wie dan ook nog eens kijkt naar aspecten als ‘return on investment’ komt al snel tot conclusie dat het uitbesteden van dit gedeelte van hun IT-security verreweg de beste aanpak is.”

Robbert Hoeffnagel