Attic als SOC

Bijna is het zover: roadmap-technisch naderen we het punt dat we de koppeling van Attic met Microsoft Sentinel gaan afronden. En daarmee de gelegenheid om op grote schaal organisaties te voorzien van een betaalbare SOC dienst. Tijdens onze deelname aan de RSA conferentie zullen we bezoekers van onze stand en website aanbieden zich alvast te registreren voor Attic M365 Monitoring, en snel daarna zal de dienst beschikbaar komen voor verkoop.

Hardening & Monitoring

We hikken al eventjes tegen dit moment aan, en het is in die tijd niet minder relevant geworden. Attic moet het vehikel zijn waarmee wij vanaf Zolder enorme hoeveelheden organisaties beschermen tegen securityincidenten. Dat doen we al een tijdje door middel van hardening: het hard maken van de security configuratie in Microsoft365. We naderen de 100 aangesloten klanten, deels rechtstreeks en deels via partners. Maar hier hoort natuurlijk ook een stuk monitoring op verdacht gedrag bij.

Wat is een SOC?

Een Security Operations Center (SOC) dient om de operationele taak van de cybersecurity in een organisatie uit te voeren. Opvolgen van alarmen in software, vinden van kwetsbaarheden, enzovoorts. Het vereist specifieke kennis die schaars is en ook moeilijk in schoolbanken aan te leren is. Bedrijven die besluiten om een eigen SOC te gaan bouwen, komen bedrogen uit zodra ze het willen bemensen. Voor partijen wiens core-busines niet cybersecurity is, zal het haast onmogelijk zijn gekwalificeerd personeel aan te trekken en dus hoogstwaarschijnlijk nodig zijn het SOC te outsourcen.

Externe SOCs onbereikbaar voor MKB

De meeste werkprocessen in een typisch, commercieel SOC zijn ontzettend arbeidsintensief en kosten dus veel geld. Maar in het operating model van een dienstverlener zit meestal niet heel veel capaciteit om de eigen werkprocessen te automatiseren. Dus de typische SOC diensten blijven duur en slecht schaalbaar: hartstikke leuk voor het topje van de ijsberg die onze economie heet, maar compleet onbereikbaar voor kleine organisaties zoals MKB, gemeentes, scholen, klein zorgverleners, enzovoorts.

Meer vraag door NIS2

De situatie wordt nog ingewikkelder door NIS2. De nieuwe richtlijn vanuit de EU die meer organisaties verplichtingen op zal leggen omtrent cybersecurity. Momenteel zijn lidstaten druk deze NIS2 om te zetten in eigen wetgeving, zo ook Nederland. Hoe het ook zal uitpakken, het zal meer organisaties aanzetten om security monitoring te gaan doen dan nu het geval is.

Meer organisaties gaan verplicht worden om cybersecurity maatregelen te treffen, omdat zij, of de keten waarin ze actief zijn, als Essential of Important worden beschouwd. Het eerste waar dan aan gedacht moet worden is het loggen van activiteit en het periodiek controleren van die logs. Security Monitoring dus, en zoiets als een SOC.

Schaalbare oplossing

Op Zolder hebben we ingezet om dat schaalbaarheidsprobleem van cybersecurity dienstverlening op te lossen. Dat is gelukt. Ons platform werkt, kan veel klanten aan en is makkelijk aan buitenlandse organisaties aan te bieden. We checken SaaS producten als Microsoft365 op configuratiefouten en slaan alarm, waarbij we een fix bieden die met 1 druk op de knop kan worden toegepast. Daarvoor hebben we een mobiele app gebouwd die als interface dient tussen onze dienst en de klant. Zo kunnen we de klant altijd snel bereiken en handelingsperspectief bieden, waarbij we gedwongen zijn om bevindingen en adviezen kort en krachtig te beschrijven. Deze basiswerking die we al toepassen in Hardening, gaan we ook hanteren voor Monitoring. In Microsoft Sentinel maken we een aantal monitoring rules aan en als die triggeren, volgt een alarm via de mobiele app inclusief een hersteladvies. Bijvoorbeeld: lock de user, of reset het wachtwoord.

Sectorspecifieke Dreigingsinformatie

En als de Sentinel dienst eenmaal beschikbaar is, gaan we direct verder. Want we hebben een lidmaatschap met Z-CERT gesloten om hun dreigingsinformatie te kunnen gebruiken voor monitoring via Sentinel. Zodat we een heel laagdrempelige manier bieden voor organisaties in de zorgsector om voor hen relevante dreigingsinformatie toe te passen in hun monitoring. Ook met de Informatiebeveiligingsdienst (IBD) van de VNG zijn we in contact voor een soortgelijke constructie ten behoeve van Nederlandse Gemeentes.

Dus: blijf Attic volgen komende tijd, we komen met leuke releases! Join de Attic Alerts mailing list om er als eerste bij te zijn.