In de cybersecurity sector zijn er tal van acroniemen die verwarring kunnen zaaien. Drie van de meest gebruikte termen zijn SOC, SIEM en SOAR.
In dit artikel zullen we de overeenkomsten en verschillen tussen deze drie begrippen uiteenzetten, zodat je beter kan begrijpen hoe ze jouw organisatie kunnen helpen om cyberdreigingen te bestrijden.
1. SOC
Een Security Operations Center is een centraal beveiligingsteam dat met behulp van verschillende beveiligingstechnologieën tal van processen monitort ten behoeve van de online veiligheid van organisaties. 24 op 7 worden de IT-infrastructuur en de activiteiten daarop bewaakt en geanalyseerd. Op mogelijke online dreigingen wordt adequaat gereageerd.
Een SOC neemt dus het beheer van beveiligingsapparaten en operationele platformen op zich. De SOC-analisten monitoren, implementeren veranderingen, bieden oplossingen en suggesties aan ter beveiliging van de IT-infrastructuur van een organisatie. De meeste organisaties kunnen zich geen in-house SOC veroorloven, omdat de technologieën en processen complex zijn en dit diepgaande expertise vereist. Die specialisten zijn schaars en duur. Veel organisaties besteden deze taken uit en doen beroep op een extern SOC.
Observe & Protect is de Managed Cybersecurity Service van AXS Guard. Kies je voor Observe & Protect, dan zijn SOC diensten inbegrepen.
2. SIEM
Security Information and Event Management is een technologie waarvan het SOC gebruik maakt.
Een SIEM-oplossing maakt gestandaardiseerde verwerking van logs van meerdere security tools mogelijk. Logs van verschillende gegevensbronnen worden gecentraliseerd op een SIEM-platform voor beveiligingsanalyse. Gebeurtenissen die op de systemen en hardware plaatsvinden, worden vergeleken met regels. Potentiële gevaren of anomalieën - zoals verdachte inlogpogingen of ongebruikelijke datastromen - kunnen realtime gedetecteerd, geanalyseerd en geïndexeerd worden. Dat wil zeggen dat grote schade die kan voortvloeien uit DDoS attacks, phising, code-injectie, ransomware-aanvallen of andere malware kan voorkomen worden. SIEM blijft echter een (dure) technologie die weinig waard is zonder SOC-analisten.
3. SOAR
Een Security Orchestration, Automation en Response systeem omvat alle software of hulpmiddelen waarmee bedrijven cyberbeveiligingsdata kunnen verzamelen en analyseren.
Met SOAR-systemen kunnen organisaties verschillende hulpmiddelen en functionaliteiten gebruiken om al hun data over cyberbeveiliging te benutten voor een betere respons op incidenten.
De meest evidente voordelen van SOAR-systemen:
- Snelheid: SOAR helpt organisaties de gemiddelde detectietijd of MTTD (mean time to detect) en de gemiddelde hersteltijd of MTTR (mean time to restore) te verminderen.
- Automatisering van de respons op incidenten: is mogelijk via procedures die bekend staan als playbooks.
- Inzichten in context van cyber breaches: dankzij de analyse van data uit veel verschillende bronnen.
SOAR-systemen maken gebruik van AI (Artificial Intelligence) en worden door sommigen beschouwd als opvolger van SIEM; anderen zien het daar weer als een mooie aanvulling.
SOAR versus SIEM --> SOC
Zowel SOAR als SIEM houden zich bezig met data over security threats en maken een veel betere reactie op beveiligingsincidenten mogelijk.
SIEM aggregeert en correleert echter data van meerdere beveiligingssystemen om waarschuwingen te genereren waarmee het beveiligingsteam dan mee aan de slag kan.
SOAR gaat een stapje verder dan waarschuwen, want kan gedragingen leren kennen (AI) én automatisch actie ondernemen wanneer zich bepaalde ongebruikelijke gebeurtenissen of bedreigingen voordoen.
De cybersecurity-experts beheren dan de security-oplossingen en tools om de online veiligheid van je organisatie te waarborgen. Het beheer gebeurt centraal en daarom vanuit een zogenaamde ‘SOC’ (Security Operations Center).
AXS Guard biedt MDR / MXDR aan als essentieel onderdeel van Observe & Protect.
» Wat is MDR/MXDR?
SOC / SIEM / SOAR: Gelijkenissen en verschillen