Dit is misschien wel de meest gehoorde vraag sinds wij deze dienst aanbieden. Daarom leggen we graag verder uit hoe een SOC/SIEM oplossing helpt jouw organisatie digitaal veilig te houden.
SOC/SIEM is een afkorting en staat voor Security Operations Center/ Security Information & Event Management. Het is kort samengevat een zeer proactieve bewaker van je IT-omgeving, die in staat is kleine verdachte veranderingen, met mogelijk grote gevolgen, al in een vroeg stadium te herkennen en de kop in te drukken. Je kunt het vergelijken met hoe bijvoorbeeld je bank of creditcardmaatschappij je transacties voor je bewaakt, en aan de bel trekt als er zich iets verdachts voor doet. Het is de slimme combinatie van mens en techniek die 24/7 zorgt dat jouw IT altijd veilig is.
In een IT-omgeving zonder SOC/SIEM oplossing wordt ieder individueel component van een omgeving in de gaten gehouden op basis van log-data. Dat wil zeggen dat de laptops van de eindgebruikers, de software op deze laptops, maar ook de servers en de netwerkcomponenten allemaal afzonderlijk gegevens bijhouden van wat er gebeurt. Deze systemen zijn zich echter niet “bewust” van de omgeving, een laptop weet dus niet wat het normale gedrag van een andere laptop is en zal dus ook niet direct reageren als daar wat onwenselijks gebeurt.
De kracht van het SIEM is dat al deze individuele logs samengebracht worden in één systeem*. Vanuit dit systeem wordt er (voornamelijk) automatisch gezocht naar afwijkend gedrag. Dit zoeken kan gebeuren in miljarden logregels die samen het totaallandschap van al onze omgevingen betreft.
Wanneer er dan afwijkend gedrag gedetecteerd wordt, zal iemand van het SOC (Security Operations Center) genotificeerd worden, dit gebeurt tegenwoordig 24/7 en wordt volledig door NEH zelf voorzien. We maken hiervoor dus geen gebruik van partijen die minder bekend zijn met jouw omgeving, maar enkel van mensen die onze klanten door en door kennen.
De SOC Analist bepaalt of er reden tot actie is en zorgt dat er adequaat gehandeld wordt.
Het doel van deze aanpak is om een potentiële aanvaller eerder te stoppen. Door naar de totale patronen te kijken kan veelal worden ingegrepen voordat er werkelijk grootschalige schade wordt aangericht. Een detectie door het SIEM en het handelen van een SOC Analist zal ervoor zorgen dat bij een grotere aanval het probleem geïsoleerd kan worden voordat het zich verspreid over de totale omgeving.
Wil je weten hoe dit systeem en ons SOC team jouw omgeving nog veiliger kan maken? Neem dan contact met ons op!
*Een bijkomend voordeel is ook meteen dat deze logging voor langere termijn bewaard wordt en dus ook voor eventueel later onderzoek beschikbaar is.
