In bijna vijftien jaar tijd is er veel gebeurd in de wereld van cybercrime. Van statelijke actoren tot hackende scholieren, van zeer geavanceerde spionageactiviteiten tot volledig geautomatiseerde aanvallen met ransomware. Hierdoor is de bedrijfswereld steeds meer op zoek naar oplossingen om hun cybersecurity op te krikken en weerstand te kunnen bieden tegen deze dreigingen.
Het nijpende gebrek aan cybersecurityspecialisten heeft ervoor gezorgd dat niet alle bedrijven hun eigen cybersecurityspecialist kunnen aanwerven. Daarom gaan ze vaak op zoek naar externe bedrijven die een security operations center hebben die voor meerdere bedrijven tegelijk dreigingen analyseren. Hierdoor zijn soc-analisten de experts in hun vak met veel ervaring over een breed scala aan digitale aanvallen.
Zo hebben we bij ons in het soc alleen al de afgelopen vijf jaar bijna veertig miljoen incidenten verwerkt waarvan er meer dan honderdduizend nader onderzocht werden. Bijna 92 procent daarvan vormde geen directe dreiging. De rest dus wel en die resulteerden in een escalatie bij de klant. Dit betekent dat we er een goede tienduizend hebben gebeld met advies hoe zij de cyberdreiging het beste kunnen aanpakken. Het gaat hier om de zogeheten ‘true positives’ met impact, dus daadwerkelijke dreigingen. Zo zie je dus dat een soc-analist elke dag tussen tot honderd incidenten onderzoekt om te bepalen of de dreiging reëel is.
Wat betekent dit nu?
Wat betekent dit nu? Om te beginnen een collectieve ervaring van een groep analisten die tienduizend succesvolle cyberaanvallen heeft onderzocht. Die ervaring is onontbeerlijk voor het onderzoeken en correct kwalificeren van nieuwe incidenten. Verder wordt die ervaring benut bij de continue ontwikkeling van het cyber threat managementplatform. Het voorkomen, detecteren en aanpakken van incidenten vraagt natuurlijk om ervaren en kundige medewerkers, goede tooling, solide procedures en, als het even kan, ook goede it-operaties zoals updates en patches. Onmisbaar is ook toegang tot goede informatie over dreigingen en het zelf verzamelen van dergelijke informatie.
Elke dag weer staan de analisten voor nieuwe uitdagingen: nieuwe incidenten onderzoeken, klanten ondersteunen en security-onderzoek uitvoeren. Zij bewaken zeer waardevolle onderdelen van interne en externe netwerken, zij hebben te maken met de meest uiteenlopende dreigingen en zij leren hoe zij die direct kunnen detecteren. Dankzij hun inspanningen wordt dagelijks cybercrime gerelateerde schade voorkomen.
Dit is dan ook vaak de menselijke kant van cybersecurity die veel minder het daglicht zien. Wat drijft analisten om dit te doen? Vooral een passie voor (cyber)security, en zeker ook nieuwsgierigheid: wat is er precies aan de hand, wat is eraan voorafgegaan? Daarvoor is een goed analytisch vermogen noodzakelijk. Erg belangrijk is ook de drive om jezelf verder te ontwikkelen. Wat geldt voor it geldt ook voor security: de ontwikkelingen zijn ingrijpend en gaan zeer snel. En daar moet je je graag in willen verdiepen. Een gedegen informatica-achtergrond, met name op netwerk- en systeemgebied, komt dan uitstekend van pas.
Tot slot gaat het niet alleen om technische kennis, nieuwsgierigheid en analysevaardigheden. Securityspecialisten moeten ook de nodige communicatieve vaardigheden hebben. Ze moeten niet alleen slecht nieuws brengen, maar ook snel en duidelijk weergeven welke stappen nu genomen moeten worden.
Het is een bijzondere combinatie van eigenschappen en vaardigheden. Als dan ook nog ervaring wordt gevraagd zal het niemand verbazen dat het steeds moeilijker wordt om goed opgeleide, gemotiveerde en vooral ook ervaren mensen te vinden. Iedere organisatie heeft nu dringend behoefte aan goede security professionals.
Uiteindelijk maakt een ervaren analist het verschil. Maar expertise kan alleen worden opgebouwd door ervaring op te doen in de praktijk, met het analyseren van talloze incidenten. Het vergroten van kennis en vaardigheden via interne trainingen kost veel tijd. Een organisatie die securitymedewerkers zelf wil opleiden moet daar rekening mee houden en hiervoor een strategie ontwikkelen die aansluit bij de organisatiedoelen voor de middellange en lange termijn. Of ga op zoek naar een securitypartner die daar allemaal al voor heeft gezorgd. Hoe dan ook, vergeet vooral de menselijke factor niet. Dat blijft de sleutel tot succes in de securitywereld!
Christian Prickaerts, directeur managed security services bij Fox-IT