SOC (Security Operations Center) opzetten: dit moet je weten!
Je bent een ondernemer of ...
Marc Ligthart
Gepubliceerd op 04-02-2025
Je bent een ondernemer of eindverantwoordelijke binnen een bedrijf of organisatie die elke dag hard werkt om te groeien. Maar hoe zorg je ervoor dat jouw IT-infrastructuur optimaal beschermd is? Een SOC opzetten is een slimme zet om je bedrijf beter te beschermen tegen cyberdreigingen. Met een goed ingericht Security Operations Center (SOC) detecteer je realtime dreigingen en kun je snel handelen voordat schade ontstaat. Maar hoe werkt een SOC precies en wat levert het op? Bij SECWATCH hebben we hiervoor een geavanceerde oplossing: het SuperSOC, een efficiënt en kosteneffectief alternatief voor een traditioneel SOC
Steeds vaker hoor je verontrustende berichten over cyberaanvallen bij bedrijven en organisaties. Dat is beangstigend, vooral omdat je hier geen kaas van gegeten hebt. Je maakt je zorgen en vraagt je af welke stappen er nu concreet gezet moeten worden.
Hoe bescherm je jouw organisatie tegen iets wat je niet kunt zien of begrijpen? En hoe zorg je ervoor dat je voldoet aan de steeds strengere wetgeving?
Veel ondernemers die we spreken, herkennen deze uitdaging. Want waar begin je en wie kun je vertrouwen?
Misschien heb je al gehoord van het opzetten of implementeren van een Security Operations Center (SOC). Maar wat is het precies en wat kun je ermee?
Bij SECWATCH helpen we middelgrote en grote mkb-bedrijven om zich te beschermen tegen dure cyberdreigingen en te voldoen aan de gestelde compliance normen.
We brengen in kaart waar jouw bedrijf risico loopt, zodat de organisatie maatregelen kan nemen om de schade te beperken en om vervolgens maatregelen te nemen om dit te voorkomen. Een van de oplossingen is het opzetten van een SOC of ons unieke SuperSOC. Het is belangrijk om te weten dat dit twee verschillende dingen zijn (waarover later meer).
Wat ons team uniek maakt, is dat we werken met ethische hackers. Zij kijken vanuit het perspectief van een hacker naar dreigingen en cyberrisico’s. Voor dit artikel hebben we onze experts gevraagd om inhoudelijke input te leveren.
Met dit artikel willen we duidelijkheid scheppen, zodat je precies weet waar je aan toe bent.
Concreet gaan we in op:
- Wat is een SOC precies en wat is het verschil met het superSOC wat wij aanbieden?
- Waarom wij een SOC aanraden en in welke situaties?
- Wat de kosten zijn van een superSOC?
Wat is een Security Operations Center (SOC)?
SOC staat voor Security Operations Center. Dit is een centrale plek waar SOC-analisten een IT-omgeving actief in de gaten houden.
Een SOC wordt ingericht met tools die data en informatie verzamelen. Zodra er een afwijking in deze gegevens wordt ontdekt, volgt er een melding, omdat dit kan wijzen op een mogelijke cyberaanval.
Zoals je ziet, kent een SOC dus twee basiscomponenten: een technische en een menselijke component. De technische component gaat over de inrichting van het SOC met tools die beveiligingsinformatie en data verzamelen.
De menselijke component betreft de beveiligingsexperts die verantwoordelijk zijn voor het interpreteren van deze gegevens en het ondernemen van actie.
Je kunt een SOC vergelijken met een waakhond. Stel je voor dat je een prachtig huis hebt met waardevolle spullen die interessant zijn voor inbrekers. Je wilt deze bezittingen uiteraard goed beschermen.
Een goede waakhond reageert op elke afwijking of vreemd geluid door te blaffen of te grommen. Als de waakhond midden in de nacht aanslaat, ga je zelf kijken wat er aan de hand is, of je belt de politie of een beveiligingsbedrijf om actie te ondernemen.
Een SOC functioneert als een security monitoring center, een waakhond voor je digitale bedrijfsgegevens en de continuïteit van je bedrijfsvoering.Voor hackers zijn deze gegevens goud waard. Ze kunnen je hiermee chanteren en onder druk zetten of de gegevens verhandelen.
Cybercriminelen gebruiken hele subtiele manieren om je systemen binnen te dringen, manieren die je zelf niet kent. Daarom is het opzetten van een Security Operations Center essentieel voor een proactieve beveiliging. Met een goed Security Operations Center ondervang je dit omdat er bij verdachte activiteiten melding wordt gemaakt.
Dit is de eenvoudige toelichting op wat een SOC is, alleen je zult begrijpen: dit klinkt eenvoudiger dan het is, want dit heeft behoorlijk wat voeten in aarde.
Hoe werkt een SOC en waarom een SOC opzetten belangrijk is?
Stel je voor dat een hacker toegang probeert te krijgen tot het bedrijfsnetwerk door malware te sturen via een e-mail aan een medewerker.
Met een goed opgezet Security Operations Center (SOC) wordt deze poging gezien en ontvang je een melding, van waaruit je direct actie kunt ondernemen.
Zonder een SOC zou dit mogelijk niet opgemerkt worden, en de gevolgen kunnen desastreus zijn.
Je bedrijf is daarmee kwetsbaar en constant een mogelijk slachtoffer van potentiële aanvallen. Zonder proactieve monitoring blijven veel van deze aanvallen onder de radar, totdat ze zich al hebben verspreid. En dan ben je te laat.
Een SOC zorgt ervoor dat je altijd één stap voor bent op cybercriminelen door dreigingen vroegtijdig op te sporen, waardoor je direct actie kan ondernemen. Dit betekent niet alleen dat je bedrijf veiliger is, maar ook dat je meer rust en vertrouwen hebt, omdat je weet dat er continu iemand oplet.
Steeds strenger wordende regelgeving
Een SOC opzetten helpt je bedrijf met het voldoen aan de steeds strengere regelgeving op het gebied van gegevensbescherming, continuïteit van kritieke bedrijfsvoering en privacy, zoals de AVG (Algemene Verordening Gegevensbescherming), NIS2 en DORA.
Door realtime-monitoring en rapportages heb je altijd controle over je beveiliging en kun je aantonen dat je de juiste maatregelen hebt genomen om je klanten en bedrijfsvoering te beschermen.
Vanuit de EU wordt de wetgeving steeds strenger, bijvoorbeeld met de invoering van NIS2.
De NIS2-wetgeving (Netwerk- en Informatiebeveiliging Richtlijn 2) heeft als doel de digitale weerbaarheid te vergroten en stelt strenge eisen aan cybersecurity, vooral in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Bedrijven moeten voldoen aan strikte regels, waaronder het monitoren en melden van cyberincidenten (vaak binnen 24 uur)
Hoe werkt een SOC en waarom een SOC opzetten essentieel is?
Een SOC is het epicentrum van alle digitale signalen binnen je bedrijf. Elk stukje data dat het netwerk binnenkomt of verlaat, elke inlogpoging, elke actie, al het netwerkverkeer en het gedrag van gebruikers – alles wordt nauwlettend in de gaten gehouden. Het Nationaal Cyber Security Centrum (NCSC) biedt praktische richtlijnen over hoe je een SOC effectief kunt opzetten om je digitale weerbaarheid te vergroten.
Een van de belangrijkste functies van een SOC is dat het altijd actief is – zelfs terwijl jij slaapt of niet op kantoor bent. Cybercriminelen rusten niet, en daarom blijven de systemen via het SOC voortdurend in de gaten gehouden.
Je kunt het vergelijken met een brandalarm: zodra er ook maar een klein signaal van rook is, gaat het alarm af. Maar niet elke rookwolk betekent meteen brand. Het SOC filtert valse alarmen eruit en beoordeelt de ernst van de dreiging, zodat je alleen ingrijpt wanneer het echt nodig is om een grote brand te voorkomen.
Klinkt goed: maar hoe interpreteer je de signalen van een SOC?
Het inrichten van een SOC is stap één in het proces. Dit gebeurt door middel van verschillende tools. Zodra dit is opgezet, staat de basis klaar. Wanneer er iets fout dreigt te gaan of er gebeurt iets alarmerends, krijg je een melding. Maar dat is niet voldoende — er moet ook daadwerkelijk iets met deze meldingen worden gedaan.
Hier komt de menselijke component van een SOC in beeld. Het is natuurlijk goed dat er signalen worden afgegeven, maar hoe interpreteer je deze signalen?
Vergelijk het met een alarmcentrale die je huis bewaakt. Als het alarm afgaat, heb je mensen nodig die actie ondernemen en het alarm juist interpreteren. Het is niet de alarmcentrale die naar je huis komt als er iets gebeurt, maar de politie die je inschakelt na de melding.
Dit is precies wat er in een SOC gebeurt. Er vindt een incident plaats, en vervolgens zijn er experts nodig die de signalen interpreteren, advies geven en eventueel actie ondernemen.
Bij een SOC zijn daarom beveiligingsexperts en specialisten betrokken die deze signalen continu monitoren en ingrijpen wanneer nodig.
Het is cruciaal dat signalen op de juiste waarde worden geschat. Een klein signaal kan namelijk het begin zijn van een sneeuwbaleffect met grote gevolgen.
Dit betekent dat je een ‘low risk’ melding niet zomaar kunt bestempelen als niet belangrijk. De impact kan zeer groot zijn, wanneer dit niet juist wordt geïnterpreteerd.
De correcte interpretatie van informatie is van groot belang. De impact van een fout of misinterpretatie kan enorm zijn. Je wilt niet dat mensen zonder de juiste kennis en ervaring in jouw organisatie verantwoordelijk zijn voor essentiële beveiligingstaken.
Hoe richt je een Security Operations Center in?
Een SOC maakt gebruik van verschillende tools en systemen om incidenten te lokaliseren. Al deze tools verzamelen gegevens uit verschillende bronnen binnen je netwerk zoals firewall-logs, Microsoft 365, EntraID, LDAP, antivirus-systemen en e-mailservers.
Als jij je gaat verdiepen in een SOC en de bijbehorende tools dan om je in aanraking met termen als XDR, MDR, SIEM, Threat Intelligences en Endpoints.
Nu hoef je inhoudelijk niet direct te weten wat alles inhoudt, maar in het kort kunnen we wel wat duiding geven.
SIEM: Security Information & Event Management
SIEM staat voor Security Information & Event Management. SOC en SIEM zijn vaak onlosmakelijk met elkaar verbonden. SIEM is het systeem dat gegevens en data verzamelt uit verschillende bronnen binnen de IT-infrastructuur.
Dit is essentieel omdat het direct inzicht geeft in wat er op dat moment gebeurt. De gegevens die via SIEM worden verzameld, worden vervolgens in het Security Operations Center door specialisten geanalyseerd en geïnterpreteerd.
Opbouwen van beveiligingslagen
Je moet je voorstellen dat je verschillende beveiligingslagen kunt opbouwen. Zie het als verdedigingslinies. Dit begint bij de verdediging van apparaten zoals computers, laptops en smartphones. Je hebt ook netwerkbeveiliging, die gaat over de beveiliging van het interne netwerk, en daarnaast is het mogelijk om de informatie uit deze twee lagen met elkaar te combineren.
Kijken we naar de eerste verdedigingslinie, dan is het belangrijk je te realiseren dat elk apparaat dat met het netwerk en/of het internet is verbonden een potentieel toegangspunt voor aanvallers vormt. Door endpointbeveiligingsoplossingen, zoals antivirussoftware, endpoint detection and response (EDR), en firewalls te implementeren, wordt voorkomen dat hackers toegang krijgen, maar kan ook de juiste informatie worden verzameld.
Netwerkbeveiliging
Netwerkbeveiliging richt zich op de bescherming van het interne netwerk zelf. Dit gaat verder dan alleen firewalls en omvat ook Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), VPN’s (Virtual Private Networks) en netwerksegmentatie. Kort gezegd komt het erop neer dat je wilt voorkomen dat ongeautoriseerden toegang tot je netwerk krijgen.
MDR en XDR
Daarnaast kun je verschillende beveiligingslagen combineren met XDR en MDR. XDR staat voor Extended Detection and Response. Dit is een beveiligingsoplossing waarbij gegevens uit veel beveiligingslagen, zoals endpoint detection, response-oplossingen, firewalls, IDS, IPS, maar ook netwerkverkeer (NDR) kunnen worden verzameld en geanalyseerd.
Deze gecombineerde informatie maakt het mogelijk om snel in te grijpen, omdat je de juiste verbanden kunt leggen. Met XDR kunnen e-mail, inlogpogingen op het netwerk en activiteit op de computer van de medewerker worden gemonitord, mits deze bronnen zijn geïntegreerd in het XDR-platform. Hierdoor zou je het probleem bij de bron kunnen aanpakken.
In tegenstelling tot een SOC met een SIEM, dat een breed scala aan logbronnen verzamelt en correleert, richt XDR zich voornamelijk op endpoints, netwerken cloudintegraties. Een SOC biedt daarbij meer flexibiliteit en maatwerk.
MDR: Management Detection Response
MDR staat voor Managed Detection and Response. Dit is een dienst waarbij een extern team van beveiligingsexperts je bedrijf 24/7 monitort en helpt bij het reageren op bedreigingen. Deze experts bewaken je systemen, analyseren verdachte activiteiten en reageren snel wanneer er iets misgaat.
Zoals je ziet, is het Security Operations Center een combinatie van de juiste experts die de juiste tools inzetten om te voorkomen dat je het slachtoffer wordt van een cyberaanval.
Maar welke tools zet je nu in?
Dit is een vraag waar we niet zomaar antwoord op kunnen geven. Dit is precies de reden waarom we bij SECWATCH altijd maatwerk leveren. Dat betekent dat wij altijd advies op maat geven, elke organisatie heeft immers een eigen dreigingsbeeld en een ander startpunt. Wat wij belangrijk vinden, is dat we klanten helpen de juiste keuze te maken.
Vaak zijn er overlappen of blinde vlekken in de beveiliging. Je kunt denken volledig gedekt te zijn met een XDR-oplossing, maar dan blijkt dat een SIEM/SOC-oplossing toch een hele waardevolle toevoeging.
Een SOC met een SIEM kan namelijk meer logbronnen verzamelen en analyseren dan een MDR- of XDR-oplossing, die zich vaak beperkt tot endpoints en enkele netwerkbronnen.
Sommige organisaties zijn op zoek naar MDR, XDR of SIEM/SOC, maar beseffen niet dat ze bepaalde elementen missen. Dat is een belangrijk punt waar wij op letten: zelfs als je denkt dat je goed beveiligd bent, kan er nog steeds iets ontbreken. Voor organisaties die snel een effectieve security-oplossing willen inzetten, kan een alternatief zoals InsightIDR van Rapid7 een slimme keuze zijn.
Wij helpen bij het schetsen van het volledige plaatje: wat heb je nu en wat mis je nog?
De SuperSOC van SECWATCH
Als je voor de keuze staat om een SOC in te richten, kan dit behoorlijk overweldigend zijn. Welke tools kies je, hoe richt je dit in, en van welke aanbieders neem je tools af?
Wordt het je al te veel? Dat is volkomen logisch.
Te vaak zien we dat organisaties kiezen voor ingewikkelde constructies met tools waarvan ze geen idee hebben hoe ze werken en wat ze precies inhouden.
Denk eraan: je kunt een machine kopen voor een miljoen, maar als niemand weet hoe die werkt, heb je er niets aan.
Of anders gezegd: als je een fabriek bouwt om Tesla’s te maken, maar je hebt alleen ervaring met BMW’s, dan heb je een prachtige fabriek, maar niet de juiste kennis in huis.
Er is geen direct verband tussen de hoogte van de investering die je doet en de cyberveiligheid. Ook is er geen direct verband tussen de hoeveelheid tools en de veiligheid.
Ofwel: je kunt ontzettend veel tools inzetten, maar als ze geen directe bijdrage leveren, doen ze eerder afbreuk aan het proces dan dat ze bijdragen aan een verhoogde veiligheid.
Maar hoe doe je dit dan wel?
Dit doe je door te werken met experts die begrijpen wat er gebeurt. Daarom werken we bij SECWATCH met een SuperSOC, een Security Operations Center (SOC) zonder torenhoge kosten, altijd op maat gemaakt.
Bij een traditioneel SOC krijg je vaak pas een waarschuwing als er al iets misgaat. Daar is op zich niets mis mee, maar je moet dan wel direct in actie komen om het probleem op te lossen. Deze melding krijg je vaak vlak voordat er een kritiek incident plaatsvindt. Dat is net op tijd, maar wel vlak voordat het echt mis dreigt te gaan.
Met het SuperSOC dat wij aanbieden, zitten we nog veel meer aan de voorkant van het proces. Je krijgt preventief signalen die je in staat stellen op tijd in te grijpen.
Dat is niet het enige, een standaard SOC wordt vaak ingericht en geleverd zonder aanvullende dienstverlening.
De grote vraag is dan:
- Wie analyseert de incidenten en rapporten? Wil jij dat wij dit volledig oppakken, of trainen we jouw team zodat zij zelfstandig analyses kunnen uitvoeren? Wat heeft jouw voorkeur?
- Hoe zorgen we ervoor dat we samen effectief kunnen analyseren en reageren? Wij nemen de regie als cybersecurity-experts, terwijl jij en/of jouw IT-partij input leveren over de bedrijfsprocessen en netwerkstructuur. Hoe kunnen we deze samenwerking optimaal vormgeven?
- Zijn de tools die je inzet wel juist ingesteld? (dit fiksen wij voor je)
- Wie monitort overkoepelend alles wat er gebeurt? (dit doen wij graag voor je).
Is je beveiliging echt op orde?
Veel beslissers in bedrijven denken vaak dat hun beveiliging op orde is, terwijl ze eigenlijk niet goed begrijpen hoe het systeem werkt.
Ze worden soms verplicht om aan bepaalde normen te voldoen, zonder precies te weten wat dat betekent.
Wij zorgen ervoor dat je precies weet waar je aan toe bent en begeleiden je door het hele proces. Dit geeft je een gevoel van zekerheid en controle.
Uitbesteden van het SOC
In onze ogen is het verstandig om het opzetten van je SOC uit te besteden aan een partij die hier dagelijks mee bezig is. Wij kunnen bijvoorbeeld helpen door meldingen tijdig op te pakken, acties uit te zetten en verbeteringen aan te dragen.
We trainen en coachen je medewerkers, in plaats van alleen als laatste vangnet te fungeren wanneer het bijna misgaat. Natuurlijk is het fijn dat je dan een waarschuwing krijgt, maar er gebeurt daarvoor al zoveel dat we samen kunnen aanpakken.
Altijd maatwerk
Wanneer een organisatie besluit met ons te werken, beginnen we altijd met een uitgebreide analyse van de huidige situatie. We bekijken bijvoorbeeld welke systemen er draaien, wat de grootste risico’s zijn en welke aanpassingen nodig zijn om alles soepel te laten lopen.
Daarnaast nemen we het dreigingsbeeld mee in onze aanpak. Dit dreigingsbeeld helpt ons bij het configureren en fine-tunen van de monitoring, zodat we gericht kunnen inspelen op relevante risico’s.
Dit is een cruciale stap, want zonder deze inzichten kun je moeilijk de juiste acties ondernemen. Met deze aanpak zorgen we ervoor dat je niet alleen problemen oplost, maar ook je beveiliging naar een hoger niveau tilt.
Dit proces is volledig maatwerk. We zitten echt naast je om te kijken wat er al draait, wat er gemonitord moet worden en welke bedreigingen belangrijk zijn om op te letten.
Welke slimme keuzes maak je? Het is geen kwestie van instellen en loslaten, maar continu afstemmen en finetunen. Je wilt dat het juiste in beeld komt wanneer er een trigger afgaat, zodat je weet wat er moet gebeuren.
Analyseren van melding
In de praktijk analyseren we meldingen om te bepalen of ze actie vereisen. Dit proces heet triage. We onderzoeken of meldingen samenhangen met een dreiging en of er een duidelijk patroon is.
Wanneer er echt iets mis is, verzamelen we relevante context, bijvoorbeeld vanuit endpoints en loggegevens, om vast te stellen of de activiteit kwaadaardig is of kan worden.
Bij verdachte of kwaadaardige activiteiten word je via onze Signalgroep of telefonisch op de hoogte gesteld, afhankelijk van de ernst van het incident. Indien nodig vragen we aanvullende informatie (Request For Information, RFI) om het onderzoek te voltooien.
Wat volgt is een verdiepende analyse. We zoeken uit wat er precies is gebeurd, wat de oorzaak was en wat daarna volgde.
Het is een doorlopend proces van monitoren, interpreteren en samen met de organisatie acties uitzetten om problemen voor te zijn of direct aan te pakken wanneer dat nodig is.
De inzet van ethisch hackers
Een belangrijk verschil tussen een standaard SOC en de SuperSOC die wij aanbieden, is dat wij werken met gecertificeerde ethisch hackers, die ook verantwoordelijk zijn voor de SOC-diensten.
Dat betekent dat ze als echte hackers kunnen denken, waardoor ze dingen zien die anderen niet zien.
Dit in tegenstelling tot een standaard SOC, waar meestal analisten met verschillende ervaringsniveaus (junior, medium, senior) werken zonder dezelfde praktische ervaring.
Security Operations Center opzetten: Belangrijke inzichten
Zoals je leest, de mogelijkheden zijn eindeloos. De juiste keuzes maken kan ingewikkeld lijken, maar zolang je de juiste duiding krijgt van een expert valt dit mee.
In de kern zou jij je niet druk hoeven te maken over de technische inrichting van systemen, alleen je moet wel snappen wat er gebeurt.
En dat is exact wat wij bij SECWATCH belangrijk vinden. Wij denken met je mee en maken alle informatie praktisch toepasbaar. Wij werken op het hoogste niveau samen met de Nederlandse overheid en cybersecurity-specialisten.
Deze kennis zetten we graag in voor jouw organisatie.
Wil je weten hoe een SOC opzetten jouw bedrijf veiliger maakt? Neem contact op met onze experts en ontdek hoe wij je helpen bij het inrichten van een effectief Security Operations Center.