Hierbij heeft u zelf security personeel in dienst. Bijvoorbeeld: security analisten, threat hunters en incident responders. Voordeel is dat zij uw organisatie kennen, de mensen op de vloer spreken en veel specifiekere kennis hebben over de lokale IT en processen en belangen die spelen in een organisatie. Zij kunnen meer maatwerk leveren en ook helpen de IT-architectuur van nieuwe diensten zo op te zetten dat security best practices geïmplementeerd worden. Nadeel is dat u een hele security afdeling moet opzetten, inclusief management en bezettingsaspecten tijdens vakanties en in de avonden. Het aantrekken van goed personeel is vaak lastig.
Overwegingen bij het kiezen van een MSSP
De detectiemogelijkheden zoals bv een SIEM kunnen enerzijds zelf geïmplementeerd en onderhouden worden, maar ook wordt dit vaak aangeboden door derde partijen die een zogenaamde “SOC as aservice” aanbieden. Waarin een SOC staat voor “security operations center”. Bij het kiezen van een serviceprovider heeft u met dit artikel een overzichtwat een SOC zou moeten kunnen en wat hun uitdagingen zijn.
U kunt kiezen voor een aantal modellen:
Bij deze vorm van dienstverlening heeft u zoveel mogelijk uitbesteed.
Voordeel is dat u toegang heeft tot specialisten die ervaren zijn, en niet alleen met uw organisatie. Dit geeft ze een ervaringsvoorsprong en ook kunt u profiteren van de threat intelligence die de outsourcing partij vergaart bij andere klanten. U heeft geen last van alle personele issues die kunnen optreden bij een lokaal team. Nadeel is dat een outsourcingspartij minder inzicht heeft in uw infrastructuur als een lokaal team. Ook hebben ze minder inzicht in de processen en belangen binnen uw organisatie. Lokale analisten kunnen beter duiden wat de impact kan zijn van bepaalde security incidenten dan een dienstverlener op afstand (HHE, 2019). Die zijn voor een standaard kantooromgeving heel anders als voor bijvoorbeeld een ziekenhuis of een biomedische onderzoeksomgeving.
Belangrijk is dat er binnen uw organisatie iemand is die op een gelijkwaardig niveau kan sparren met een dergelijke partij en deze kan aan/bijsturen indien nodig. Op die manier is er ook iemand die een reële kijk heeft op de kosten. Daarnaast is het belangrijk te waken voor een vendor lock-in. Als je service provider in je SIEM goedwerkende usecases heeft ontworpen, die in de loop van jaren ook geoptimaliseerd zijn, mag je die dan meenemen als je naar een andere provider gaat? Of start dan alles weer vanaf het begin? Een provider doet allerlei kennis op, verzamelt data, leert van incidenten. Het strekt tot de aanbeveling om met de provider af te spreken welke informatie meegenomen kan worden, indien u wilt verhuizen naar een andere provider.
Hierbij is sprake van een verdeling tussen uw eigen organisatie en de dienstverlener. U probeert uit beide modellen de krenten uit de pap te halen. Cosourcing is interessant als u bijvoorbeeld al veel geïnvesteerd heeft in processen, technologieën en personeel met betrekking tot cybersecurity. U wilt zelf kiezen wat u uitbesteedt en wat u “in house” houdt. Ook als u toegang wil houden tot bepaalde securitydashboards, waar u ook uw eigen analyses en onderzoeken kunt doen (Cyberedge, 2018).
Dit is niet altijd mogelijk bij outsourcing, want zij maken graag gebruik van hun eigen oplossingen, die soms intern bij hen draaien en waar u geen toegang tot krijgt. Wat belangrijk is bij dit model, is dat er afspraken moeten gemaakt worden tussen de dienstverlener wat betreft procedures en verantwoordelijkheden.
Indien u een SOC service afneemt heeft dit ook invloed op uw incident response team. Echter er blijven altijd handelingen in het incident response proces die lokaal gedaan moeten worden en waar een organisatie zelf verantwoordelijk voor blijft. Een externe SOC kan uw lokale incident response team adviseren over te nemen handelingen waartoe zij zelf niet toe bevoegd zijn (Cyberedge, 2018).
Ook communicatie en voorlichting zijn belangrijke taken van een incident response team die niet door een “SOC as a service” partij worden uitgevoerd. U moet hun incident response zien als een “incident response light” (Cyberedge, 2018).
Indien u in zee gaat met een partner is het belangrijk dat zij in staat zijn om “threat detectie en response” te leveren. Dat betekent gebruik maken van threat feeds met de laatste dreigingen en op basis daarvan deze dreigingen kunnen detecteren in uw infrastructuur. Zowel op netwerkniveau als op het niveau van de endpoints (servers/ workstations/medische apparaten).
Om een idee te krijgen over de personele bezetting van een SOC en hoe andere organisaties omgaan met outsourcing en cosourcing van bepaalde security services verwijzen we graag naar het paper “Common and Best Practices for Security Operations Centers” (SANS, 2019b).
Onafhankelijk van welk model u kiest, strekt het wel tot de aanbeveling om te letten op de juiste certificeringen van uw provider. Zoals ISO27001 en NEN7510.