In Hilversum staat het grootste Security Operations Center (SOC) van Nederland. In het hart van KPN’s cyberverdediging worden de netwerken van zowel KPN als klanten van KPN Security 24/7 gemonitord. Dagelijks worden er honderdduizenden events afgehandeld, voornamelijk automatisch. Waarom is het voor KPN en een hoop bedrijven essentieel om een SOC te hebben? Wanneer kies je als bedrijf voor monitoring door een extern SOC? En hoe gaat het eraan toe bij KPN’s SOC?
Het werd breed uitgemeten in de media: in 2012 werd KPN gehackt door een zeventienjarige jongen. Natuurlijk leed KPN reputatieschade, maar het was vooral een leermoment. Sindsdien is de beveiliging namelijk enorm opgeschroefd. “Het Security Operations Center is na de hack opgericht om KPN intern te beschermen. Sinds een paar jaar monitoren en bewaken we ook de netwerken van sommige klanten”, zegt teamlead SOC Michel Zoetebier.
Honderdduizenden events per dag
De Kubus, de werkruimte van het SOC ter grootte van drie bioscoopzalen, huisvest 24/7 een leger securityanalisten en -specialisten. Zoetebier: “Zij monitoren dag en nacht de dreigingen richting zowel de netwerken en diensten van KPN, als de netwerken van grootzakelijke klanten. Alle alarmen worden door hen geanalyseerd en geprioriteerd en waar nodig nemen ze meteen maatregelen.”
Volgens Zoetebier is het door de hoge mate van automatisering lastig om in te schatten hoeveel dreigingen er precies worden gedetecteerd. Maar het gaat al snel om honderdduizenden events per dag. Een paar honderd daarvan vereisen menselijk ingrijpen. Zoetebier: “Het gros van de meldingen heeft low priority, daar kunnen we prima 12 of 24 uur later naar kijken. Op de relatief weinig meldingen met high priority moet binnen een kwartier ingegrepen worden. Zou een hacker twee uur de tijd krijgen, dan kan er ongelooflijk veel gebeurd zijn. Met een kwartier denken we de ergste schade te kunnen voorkomen.”
Van DDoS tot ransomware
DDoS-aanvallen, ransomware, phishing, insider threats, vulnerabilities: het SOC krijgt te maken met tal van verschillende dreigingen. Voor klanten van KPN Security vormt malware het grootste probleem, met name ransomware. Zoetebier: “Komt er ransomware binnen op je netwerk, dan gaan alle computers op slot. Dat heeft een enorme financiële impact.”
Voor KPN zelf zijn DDoS-aanvallen en insider threats de grootste gevaren. “Bij een DDoS-aanval proberen mensen om met veel verkeer een bepaalde server plat te leggen”, vertelt Zoetebier. “De afgelopen tijd zijn er redelijk wat DDoS-aanvallen geweest in Nederland, waaronder op KPN. Je moet dan razendsnel acteren. Stel bijvoorbeeld dat kpn.com niet meer zou werken, dat heeft een enorme impact. Bij Ziggo ging vijf jaar geleden zelfs het hele netwerk twee, drie dagen plat. Een DDoS-aanval is altijd spannend, maar meestal is het snel opgelost.”
Bij insider threats komt de dreiging van binnenuit, namelijk van medewerkers. Dat is gevaarlijk, want die hebben toegang tot het netwerk en de applicaties. Zoetebier: “Gelukkig hebben we voldoende intelligentie in onze systemen om dit tijdig in de kiem te smoren.”
Whitepaper: Privileged Access Management
Meer weten over PAM? Download het eBook.
9 nov 2023
Ebook: Digitale Klantreizen
Nieuwe technologie kan jouw bedrijf helpen om meer klanten te krijgen, je omzet te verhogen of duurzamer te worden. Hoe? Je leest het in dit eBook.
13 jun 2023
Zo werkt het SOC
Het SOC beschikt over een scala aan ultrageavanceerde detectiesystemen, zoals een intrusion detection system om hackpogingen en andere gevallen van ongeautoriseerde toegang tot informatiesystemen of netwerken op te sporen. Zoetebier: “Op basis van het netwerkverkeer dat wij inkijken, zien we bijvoorbeeld of dat er hackers actief zijn, malware is geïnstalleerd of dat er een tunnel naar China wordt gemaakt om heel veel data te exfiltreren.”
Het SOC monitort ook de bedrijfsnetwerken van een aantal grootzakelijke klanten. “Alles wat ze in ons datacentrum hebben staan, kunnen we gemakkelijk koppelen aan het SOC. Voor monitoring van het bedrijfsnetwerk moeten de logfiles van alle apparaten in het netwerk met ons worden gedeeld. KPN Security kijkt met nieuwe klanten altijd welke risico’s we verwachten en welke systemen moeten worden beschermd. Op basis daarvan wordt bepaald welke informatie vanuit het klantnetwerk naar KPN moet worden getransporteerd.”
SOCs voor zowel grootzakelijk als mkb
Het SOC van KPN in Hilversum werkt vooral voor grootzakelijke klanten die hun hele connectiviteit – zoals werkplekken, datacenters, websites, internetverbindingen en mobiele verbindingen – al bij KPN afnemen.
Met de overname van de securitybedrijven DearBytes en QSight heeft KPN er twee nieuwe SOCs bij gekregen, waarmee ook het mkb-segment goed wordt bediend. Zoetebier: “We kijken continu naar manieren om samen te werken en elkaar te versterken. Dat kan bijvoorbeeld door dure systemen zoals de Anti-DDoS-dienst gecentraliseerd in te zetten.”
Heb je als bedrijf een extern SOC nodig?
Het grote voordeel van externe SOC-monitoring is dat er 24/7 securityanalisten meekijken. Het is een bekend gegeven dat cybercriminelen juist ’s nachts proberen om netwerken binnen te dringen. Of je als bedrijf een extern SOC nodig hebt, is volgens Zoetebier vooral afhankelijk van de grootte van je bedrijf en de afhankelijkheid van IT. “Ben je een schilder dan is er minder noodzaak dan wanneer je een callcenter runt waar honderd man via een VoIP-centrale werkt. Gebeurt er dan iets, dan ligt meteen je hele bedrijf plat.”
Naast de afhankelijkheid van IT, de kosten van SOC-dienstverlening en de impact als er iets gebeurt, ziet Zoetebier tegenwoordig steeds vaker nóg een afweging voor bedrijven. “Cyberverzekeringen zijn in opkomst. Volgens de polisvoorwaarden moet je bepaalde processen op orde hebben, anders is het eigen risico zo hoog dat de verzekering niet lonend is. Met SOC-monitoring voldoe je sowieso aan die plicht."
SOC-monitoring door KPN
SOC-monitoring door KPN gaat via KPN Security. Wil je als bedrijf bijvoorbeeld Anti DDoS of Security- en compliancemonitoring afnemen, dan kom je via KPN Security met het SOC in contact om alles op te zetten.
