Observaties bij het 2016 report of capabilities and maturity of cyber defense organizations.

– Marc de Jong Luneau – Commercieel Directeur

Graag deel ik de belangrijkste bevindingen uit het jaarlijkse HP Maturity onderzoek naar Security Operations Centers. (in de originele Engelse tekst). Een goed onderzoek dat helder aangeeft wat er gebeurt in deze wereld. Het volledige rapport kunt u hier downloaden. Graag voeg ik in cursief op elk van deze findings mijn eigen obeservaties toe ten aanzien van de situatie in Nederland.

1. Migration to hybrid infrastructure—there is a significant increase in the need for security operations for hybrid IT infrastructures; within the cloud, from the cloud, and across the cloud, as IT organizations take advantage of modern computing methods. There is an industry misperception that adoption of cloud equals transferred risk. This is not the case. Risk persists and unless the hosted solution includes infrastructure components to retain situational awareness, SOCs are losing the ability to monitor critical applications and data.

Northwave: “We herkennen dit zeer in onze eigen klantenkring en zien daarnaast met name ook organisaties die in een soms meerjarige migratie zitten van traditionele naar cloud of hybride modellen. Ook tijdens die migraties willen klanten een constant niveau van security. Daar houden we in onze Managed Services rekening mee door flexibiliteit in de architectuur en service levels te creëren.


2. Hybrid staffing—as a reaction to industry personnel shortages, organizations are implementing an MSS overlay of managed security information and event management (SIEM) or off-hours monitoring. This allows the organization to retain the technology and security information but lean on external resources for level 1 monitoring. They typically keep level 2 and incident response capabilities in-house.

Northwave: “Dit zien we bij onze grotere opdrachtgevers, hoewel ook daar vaak juist voor externe ondersteuning bij Incident Response wordt gekozen, zeker op forensics gebied.


3. Advancements in incident and investigation orchestration—tools such as incident response case management and operational orchestration are being adopted from the IT operations world to automate manual post detection activities.

Northwave: “Van groot belang voor een strakke operatie. Maar daarnaast ook een voorwaarde voor een ISO 27001 certificering.


4. Disaster recovery is still a priority—the fear of getting “bricked” by an attack requires organizations to maintain solid business continuity and disaster recovery programs.

Northwave: “We zien in Nederland vooral focus op het opstellen van proces documentatie. Wij adviseren vooral om ook te oefenen, te oefenen en te oefenen. Dat mes snijdt namelijk aan vele kanten; de processen raken bekend, worden in de praktijk verbetert en het leidt tot beter bewustzijn. Geen awareness zonder actie!”.


5. Is Hunting replacing monitoring?—some organizations that are not able to make an OPEX investment in people, subscriptions, and processes are turning to fast search capabilities instead of monitoring solutions. These organizations are not reaching minimum security capabilities and are operating without any real-time monitoring abilities.

Northwave: “We zien dit verschijnsel niet of nauwelijks in Nederland. Organisaties die niet investeren in monitoring & detectie accepteren (bewust of onbewust) een snel groeiend risico. Ze schakelen niet naar actieve hunting. Wat we wel zien is dat er voor die organisaties vaak een incident nodig is om pro-actiever te worden. Klanten vragen dan om onze Managed SIEM services.


6. Using SOC as a competitive advantage—security operations capabilities are being used as a selling point for organizations. It showcases their commitment to security and ability to monitor for threats.

Northwave: “We zien dit verschijnsel duidelijk terug in Nederland. Inkopers hebben de eis nadrukkelijk ontdekt en er is bijna geen tender meer zonder IB paragraaf. Wij zien vooral een snelle stijging van het aantal organisaties dat een ISO 27001 implementatie doorloopt; mede vanwege eisen die hun klanten en prospects aan hen stellen. SOC diensten zijn in de context van een ISO certificering dan vaak een van de dan te nemen beheersmaatregelen, aangezien de norm Monitoring en Incident Response als maatregel ‘voorschrijft’.


7. Regional impact from unions—employee protection in some markets does not allow information security (InfoSec) managers to develop talent from within, manage up, or manage out. This limits the capabilities and advancement of a security organization.

Northwave: “We zien dit verschijnsel niet in Nederland. Vakbonden hebben nauwelijks leden in ICT.


8. Global cyber security agreements—an increase in global agreements between countries to limit or stop cyber-attacks on each other has occurred over the last year. The effects of these agreements have not yet been noticed in cyber defense centers around the globe.

Northwave: “We kunnen ons de krantenkop “China en VS beloven elkaar minder te hacken” nog goed herinneren en we delen de observatie dat er nog weinig zichtbaar van is. Op de jaarlijkse ONE Conference van het NCSC was wel duidelijk een trend waarneembaar van meer onderlinge samenwerking. Wij geloven daarin en zullen ons daarvoor blijven inspannen, niet in de laatste plaats vanuit de European Cyber Security Federation, waarvan we mede-oprichter zijn.


9. Variation in role definition—there remains a lot of variation, especially in mid-market enterprises, around role definition of the CISO and the security organization. The CISO role can vary greatly from enterprise to enterprise based on diversity of industries, organizational reporting structures, enterprise size, and IT security budget.

Northwave: “We delen die observatie. Er zijn een aantal interessante ontwikkelingen op dit gebied. We zien verbetering optreden doordat meer organisaties vanuit zakelijke overwegingen ISO gecertificeerde raken. Met name in middelgrote ondernemingen zien we daardoor verbetering in de positie van de CISO ten opzichte van de business en het bestuur. Wat opvalt is ook dat veel (CI)SO’s de functie voor de eerste of tweede maal vervullen. Steeds vaker zien we beleidsmedewerkers (gemeenten), juristen of programma managers in plaats van ICT-ers in die rol. Meer ervaren CISO’s zien we relatief vaak van baan veranderen. Of dat samenhangt met meer vraag op de arbeidsmarkt of meer slecht aflopende incidenten hebben wij niet onderzocht...


10. Overwhelming number of vendors—vendor management remains a top time requirement for CISOs. Reliance on partners and service integrators is necessary for larger enterprises.

Northwave: “Daar valt veel over te zeggen. Zeker ook ten aanzien van het MKB. Dat is in toenemende mate kwetsbaar omdat criminelen hun aandacht snel aan het verleggen zijn van grote (finance) partrijen naar kleinere organisaties. Het aantal commerciële SOC’s in Nederland stijgt in een razend tempo. Veel sneller dan zou kunnen op basis van het aantal beschikbare experts dat dergelijke services echt professioneel kan bieden. Dat betekent dat veel organisaties zwaar leunen op alleen SIEM technologie maar vervolgens niet de human capabilities hebben (ingekocht) om de alerting die zo’n platform genereert effectief te hanteren. Je hebt dan wel monitoring maar geen incident response aangebracht. Dat levert behalve maar beperkte compliance vooral ook een hoop schijnzekerheid. Er is helaas nog steeds geen keurmerk voor Nederlandse Cyber Security Services. Internationaal stelt bijvoorbeeld CERT.org heldere eisen. Northwave CERT voldoet daar aan. Meer over CERT in Nederland op wikipedia.


11. Information sharing is increasing—the sharing of threat information continues to increase. Reliance on government provided threat information is decreasing due to the perceived lack of timeliness. This increase can have a negative effect as analysts lose time by chasing alarms for indicators that are more nuisance than directed threat.

Northwave: “Threat Intelligence is the next big thing in security land. En terecht want cyber criminelen ontwikkelen zo snel dat daar een zelfde snelheid aan concrete en bruikbare dreigingsinformatie tegenover moet staan. In Nederland zien we interessante samenwerkingen tussen verschillende multinationals, onderzoekers en de rijksoverheid ontstaan. De startup EclecticIQ, is een prachtig voorbeeld van de Nederlandse capabilities en internationale ambities op dit gebied. Vanuit Northwave dragen we op verschillende niveaus bij aan deze samenwerkingen en ontwikkeling.

Tot slot: Dank HPE voor mooi onderzoek over de volwassenheid van Security Operations Centers. Hopelijk heb ik wat bruikbare aspecten ten aanzien van Nederland voor je toegevoegd. Nieuwsgierig hoe een volwassen SOC er uit ziet?