De vijf volwassenheidsniveaus van cybersecurity

Sander Bakker

Sander Bakker is Sales Manager Noord Europa bij LogRhythm

Overal in de wereld staan organisaties voor de uitdaging om hun data en applicaties te beschermen tegen steeds geavanceerdere cyberaanvallen. Traditionele benaderingen zijn niet langer afdoende. In een serie blogs beschrijven we hoe een organisatie met het Security Operations Maturity Model (SOMM) een effectief en efficiënt Security Operations Center (SOC) inricht. In het eerste blog keken we naar de noodzaak van een gebalanceerde beveiligingsaanpak en in het tweede blog beschreven we het LogRhythm Threat Lifecycle Management Framework, dat de basis vormt voor een SOC. In deze derde en laatste blog een beschrijving van het door LogRhythm ontwikkelde Security Operations Maturity Model.

Om organisaties te helpen hun beveiliging naar een hoger plan te brengen, werkte LogRhythm aan de ontwikkeling van een Security Operations Maturity Model (SOMM). Het model is gebaseerd op LogRhytm’s Threat Lifecycle Management Framework (TLM) en biedt organisaties de mogelijkheid om de actuele volwassenheid voor wat betreft security te bepalen, evenals de stappen die nodig zijn om verder te groeien.

Het SOMM kent vijf niveaus van volwassenheid. Ieder niveau bouwt voort op het voorgaande. Hoe hoger het niveau, hoe meer technologische en procesverbeteringen zijn doorgevoerd. En hoe verder een bedrijf is, hoe beter het in staat is om detectie en herstel te optimaliseren.

Hieronder een beknopte beschrijving van de vijf niveaus*.

Niveau 0 – de organisatie heeft geen enkele voorziening op het gebied van TLM en de beveiliging is vooral gebaseerd op preventie door middel van firewalls en antivirussoftware. Er is geen enkel zicht op interne en externe bedreigingen en/of potentiële diefstal van intellectuele eigendommen. Op niveau 0 is de organisatie blind voor iedere bedreiging.

Niveau 1 – de organisatie verzamelt logdata en doet aan een bepaalde vorm van monitoring, vooral met het oog op compliance. Er is nog geen formeel proces voor incident response. De compliance-risico’s zijn lager dan bij niveau 0, maar voor de rest is het dreigingsniveau hoog. Er is net als bij niveau 0 geen enkel zicht op interne en externe bedreigingen en/of potentiële diefstal van intellectuele eigendommen. Op dit niveau is er sprake van minimale security-compliancy.

Niveau 2 – op het gebied van TLM is er al sprake van verschillende middelen, waaronder gerichte verzameling van logdata, gerichte server- en endpoint forensics en basisprocessen voor monitoring en incident response. De organisatie zoekt naar meer efficiency door formele processen in te richten. Verder is er beter inzicht in interne en externe dreigingen, maar blijft de kwetsbaarheid voor zeer geavanceerde aanvallen hoog. De security-compliancy is redelijk.

Niveau 3 – De organisatie is goed weerbaar tegen dreigingen door de inzet van verschillende TLM-mogelijkheden, waaronder gerichte, gecentraliseerde verzameling van data, goede analytics-voorzieningen en volwassen monitoring. Er is een professioneel SOC ingericht dat een goed beeld heeft van bedreigingen. De organisatie blijft kwetsbaar voor aanvallen door staten.

Niveau 4 – de organisatie gaat strategisch om met haar security door een groot aantal TLM-voorzieningen, waaronder de mogelijkheid om met behulp van Indicators of Compromise (IOC’s) en Tactics, Techniques & Procedures (TTP) analysescenario’s te ontwikkelen. De organisatie is goed bestand tegen Advanced Persistent Threats. Toch blijft er sprake van blinde vlekken, vooral wat betreft aanvallen door staten. De organisatie is echter wel in staat om deze in de meeste gevallen vroegtijdig te ontdekken, zodat maatregelen te nemen zijn.

Er is voor wat betreft cybersecurity geen ei van Columbus. Iedere organisatie zal zelf een antwoord moeten vinden op alle dreigingen. Het SOMM biedt daartoe een goede route door het voorzien in een gestructureerde benadering waarbij een organisatie haar volwassenheid stapsgewijs kan verbeteren. Die benadering is gezien de toenemende dreigingen en de daaraan verbonden risico’s meer dan ooit nodig.

* Een uitgebreide beschrijving van het SOMM is te vinden in de (Engelstalige) whitepaper ‘Security Operations Maturity Model - A practical guide to assessing and improving the maturity of your security operations through Threat Lifecycle Management’. De whitepaper is beschikbaar op de website van LogRhythm.