Marc de Groot van iSOC24 sprak met ITchannelPRO, niet alleen over het bedrijf, maar ook over de noodzaak om de werkzaamheden van een SOC te stroomlijnen met behulp van SOAR. Een ding is duidelijk: dit is een onderwerp waar meer over te vertellen valt dan in één artikel past.
iSOC24 heeft haar portfolio samengesteld rond vier thema’s: security operations, cloud security, threat intelligence en security testing. Marc: “Om deze thema’s te kunnen adresseren, hebben we negen zorgvuldig gekozen strategische partners tot onze beschikking. Met elk van deze partners, Swimlane is daar een van, hebben we een hechte vertrouwensband en werken we nauw samen.”
In kaart brengen
Klanten van iSOC24 zijn organisaties in de industrie, banking en retail, met een footprint in de Benelux. Ook overheden behoren tot de vaste klantengroep. Voor de meeste van deze organisaties is iSOC24 de trusted advisor. “Wij brengen risico’s in kaart rond de eerdergenoemde thema’s, en geven aan hoe die continu kunnen worden gemonitord. Dat is immers een voorwaarde om de risico’s onder controle te houden. Wij adviseren de best passende oplossing, en verzorgen daarnaast de implementatie, ondersteuning en nazorg”, aldus Marc.
Van reactief naar proactief
De uitkomst van de eerste stappen, het in kaart brengen van de risico’s, verschilt per klant. Het maturity level van organisaties loopt namelijk sterk uiteen. “We zien regelmatig dat security-maatregelen primair reactief zijn”, geeft Marc aan. “Bij organisaties met een hoger maturity level gaat het gelukkig niet enkel meer om vulnerability management en SIEM, maar ook steeds meer over threat intelligence, SOAR en deceptietechnologie. Dan schuif je al op van reactief naar proactief handelen.”
SOC overspoeld
Organisaties die proactief handelen, hebben vaak een SOC. Hier komen steeds meer events binnen. Marc: “Organisaties hebben moeite om al die verschillende informatiestromen onder controle te houden. Ze worden overspoeld met data en SOC-analisten worden steeds meer geconfronteerd met te veel repetitieve handelingen, die saai zijn en doorgaans vaak manuele bewerking vereisen.” Het risico is dat medewerkers hierdoor minder gemotiveerd raken en dat men bij de beoordeling van de events zaken over het hoofd ziet. Het automatiseren van dit proces wordt mogelijk gemaakt middels SOAR.
Swimlane SOAR
Marc: “Wij zagen drie jaar geleden dat SOAR-technologie organisaties hierbij enorm zou kunnen helpen. Swimlane kwam toen op ons pad. Zij kunnen op basis van lowcode SOAR (Security Orchestration, Automation and Response) uiteenlopende taken automatiseren en op elkaar afstemmen met behulp van bijvoorbeeld playbooks. Dit alles gebeurt vendor agnostisch, waarbij in reactie op een incident automatisch acties door het hele netwerk worden getriggerd voor verschillende vendors. Dat de firewall, de router en de servers van verschillende merken zijn, maakt hiervoor niet uit. Er is sprake van een gestroomlijnde workflow die tevens wordt gedocumenteerd met het oog op eventuele vervolgacties en rapportage naar het management.”
Minder saai werk, minder uitval van waardevolle resources, minder kans om daadwerkelijke incidenten over het hoofd te zien (alert fatigue) en een snellere responstijd zijn de voordelen die SOAR biedt. Lowcode staat daarbij garant voor eenvoudige implementaties en het snel kunnen aanpassen en integreren in bestaande omgevingen.
Uitleg
Marc: “Hogere efficiency en kwaliteit door automatiseren met minder gemiste incidenten, daar draait het om. Dat klinkt als iets waarvan iedereen direct het nut inziet. We merken wel dat dit veel uitleg vergt. De technologie is nieuw en komt ook complex over. Dat is het zeker niet! We leggen graag uit voor wie SOAR nu al voordelen kan opleveren en wat die voordelen zijn. We doen dat in een persoonlijk gesprek of via interactieve webinars die wij de komende periode organiseren.”
Wie meer wil weten over de voordelen van SOAR of interesse heeft in een proof of value, neemt contact op via sales@isoc24.com.
(dit artikel verscheen eerder in ITchannelPRO magazine nr 03)