Als SOC analist bij Pinewood heeft elke dag andere uitdagingen. Voor veel mensen is het echter niet precies duidelijk wat een SOC analist nu eigenlijk doet. Daarom in dit blog een korte beschrijving van een werkdag van Edwin Tump, werzaam als SOC-Analist bij Pinewood.
Wat is een SOC?
Om te beginnen, wat uitleg over de functie. Een SOC analist is werkzaam in een Security Operations Center, ofwel SOC. Gartner omschrijft een SOC als volgt: “Een Security Operations Center kan worden gedefinieerd als een team van security analisten, die vaak 24 uur per dag in ploegendienst werken, als een faciliteit die is gewijd aan en georganiseerd om cyberdreigingen en -incidenten te voorkomen, te detecteren, te beoordelen en erop te reageren, en om naleving van de regelgeving te vervullen en te beoordelen.” In het SOC van Pinewood bewaken <aantal> specialisten 24/7 de security van hun opdrachtgevers.
Inventarisatie van alarmen
“Ik begin mijn dag met een bak koffie en een inventarisatie van de lage-prioriteit-alarmen die in de nacht zijn gemeld. Dit zijn meldingen van een dergelijke aard dat de nachtdienst er niet op hoefde te reageren. Ik bekijk of er dingen zijn die verder uitgezocht moeten worden in samenwerking met de klant, of met een senior specialist.”
duidelijk is dat er geen grote dreigingen uit de alarmen komen wordt de data van de klant eens nader bekeken: “Het zogenaamde “threat hunten” kan beginnen. Ik doe nader onderzoek naar entries die twijfelachtig zijn: die ene verbinding om 03:00 op een zondagavond is toch raar? Dan bekijk ik wat deze gebruiker nog meer gedaan heeft. Uiteindelijk blijkt in dit geval dat deze persoon op vakantie is in het buitenland en nog even wat werk wilde doen. Het is dus geen dreiging. “
Exploit gevonden
Dan verschijnt er in de Twitterfeed op het grote scherm midden in het SOC een beschrijving van een aanval op verschillende bedrijven door middel van een exploit in een specifiek remote access product. “Direct schakelen we over op actie. Zouden onze klanten hier ook gevoelig voor zijn? Even een vulnerability scan starten op deze specifieke exploit. Ik vind toch nog een klant die niet gepatched heeft. Ik breng deze klant op de hoogte van het risico en dat we nog kijken of er aanvallen zijn. De klant wist nog geen eens dat hij het product in gebruik had! Gelukkig zien we in de logging van de firewall dat de connectie vanuit een Oost-Europees land die specifiek deze exploit probeert te misbruiken, gestopt wordt door de IPS. We geven dit door aan de klant en adviseren toch om zo snel mogelijk te patchen.”
“In de middag staat een bespreking met een opdrachtgever op de todo lijst. De klant heeft zijn maandrapportage ontvangen en wil graag een specifiek item over Conditional Access op Microsoft 365 bespreken. Ik geef advies en bespreek nog wat losse operationele items uit het rapport zodat de klant ook weer op de hoogte is van de status van de dienst en welke acties nog gedaan moeten worden.”
Ontwikkeling nieuw alarm
De SOC analisten werken als team ook voortdurend samen om systemen te verbeteren. “We besluiten een nieuw alarm te ontwikkelen voor de eerder gevonden exploit. Met iets meer technische details kunnen we waarschijnlijk wel een mooie use case maken voor al onze klanten. Ik overleg even snel met een pentester voor wat betere uitleg over hoe de exploit misbruikt kan worden. Deze informatie vertalen we naar detectiemethodes met de huidige bronnen. We bekijken ook of er wellicht nog andere bronnen nodig zijn van een klant om misbruik van de exploit te detecteren. De use case wordt eerst neergezet zonder alarmering om even rustig te bekijken of deze goed werkt en om collega’s te laten testen en verbeteren. Uiteindelijk zal dit een geautomatiseerd alarm worden, om alle klanten weer een stukje veiliger te maken.”
Uw eigen SOC analist
Als uw security partner zorgt Pinewood ervoor dat u meer inzicht in en grip krijgt op uw informatiebeveiliging. Daarbij zijn flexibiliteit en maatwerk het uitgangspunt. Samen met u richt Pinewood uw SOC in naar uw wensen en behoefte, zodat de dienstverlening past binnen uw (organisatie)doelstellingen.
Klik op Security Operations Center en lees meer over de aanpak van Pinewood in de datasheet of neem voor meer informatie contact op met onze Manager SOC via 015-251 36 36 of via info@pinewood.nl.