Het ‘dirty little secret’ van de cybersecurity industrie

Stel: je hebt een extern bedrijf ingehuurd om je te helpen storingen in een complexe productielijn op meerdere locaties onder controle te krijgen. Wat heb je liever:

Een partner die via een eigen centrale meldkamer zo veel mogelijk alerts over storingen over de schutting gooit naar jouw medewerkers

of

Een partner die zo veel mogelijk alerts filtert en zelf oplost en je bovendien helpt om nieuwe alerts te voorkomen door je productielijnen beter in te richten?

Je hoeft hier geen seconde over na te denken. Met een partner die alleen alerts verzamelt en die via een shiny dashboard weer teruglegt bij jou schiet je niets op. Het is vergelijkbaar met een beveiligings-service die je een appje stuurt: we hebben een melding van een inbraak in uw kantoor, succes ermee.

Veel organisaties die in zee zijn gegaan met een MDR-provider verdrinken in een nieuwe stroom van alerts zonder enige prioriteit of aanwijzingen om ermee om te gaan.

Waarom moeilijk doen als je sneller geld kunt verdienen?

Toch is dit de manier waarop veel zogeheten Managed Detection and Response (MDR) bedrijven werken. De cybersecuritymaatregelen in je IT-infrastructuur, zoals firewalls, inbraak detectie software en de nieuwste generatie virusscanners leveren een massieve stroom van security alerts op, bijna altijd gebaseerd op het herkennen van aanvallen die bekend zijn bij de makers van cybersecuritysoftware.

Veel organisaties die in zee zijn gegaan met een MDR-provider verdrinken in een nieuwe stroom van alerts zonder enige prioriteit of aanwijzingen om ermee om te gaan.

Volgens ON2IT is de eerste taak van een MDR-provider om vast te stellen of een alert een gevaar inhoudt voor jouw specifieke infrastructuur. We noemen dat proces triage, en je kunt dat niet doen zonder een grote mate van automatisering. ON2IT doet dat met zijn EventFlow ™ software, die alle alerts evalueert, en 99,999% hiervan automatisch kan verwerken.

The best remediation is no remediation

Een SOC-analist die 24/7 beschikbaar is beoordeelt de alerts die meer aandacht nodig hebben, en voegt ze eventueel samen tot een security event waarvoor een ticket wordt geopend. Vanaf dat moment werken we samen met de klant in ons cloudplatform AUXO™ om de dreiging te beoordelen en de juiste acties te ondernemen.

Het model van de ‘alert factories’ vraagt minder ervaren analisten, minder diepgaande technologische know-how en minder verantwoordelijkheid voor de MDR-leverancier. Het label 24/7 SOC vertelt je op zich niet zo veel.

Bij de meeste van onze opdrachtgevers is ON2IT verantwoordelijk voor de configuratie en de inrichting van de security-maatregelen. We hebben dus een gemeenschappelijk belang. Hoe beter de preventie, hoe minder security events. Dat is een totaal ander model dan het over de heg gooien van alerts naar je klant.

We hebben zelf ook baat bij optimaal ingerichte cybersecurity bij onze klanten. Dat lijkt meer werk, maar we verdienen dat terug doordat we minder security incidenten hoeven te verwerken. Het liefst geen, hoewel dat streven praktisch onhaalbaar is.

Het label 24/7 SOC vertelt je op zich niet zo veel

Het model van de ‘alert factories’ vraagt minder ervaren analisten, minder diepgaande technologische know-how en minder verantwoordelijkheid voor de MDR-leverancier. Het label 24/7 SOC vertelt je op zich niet zo veel.

Vraag daarom aan een leverancier van managed cybersecuritydiensten wat ze doen om alerts zo slim mogelijk te filteren, het aantal security events te beperken en hoe ze continu met je samenwerken om je securitymaatregelen optimaal in te richten.

En staar je niet blind op leveranciers die vinden dat ze goed werk doen wanneer ze steeds meer alerts jouw kant op sturen. Dat is precies wat je niet nodig hebt.