Het SOC miste aanvallen.
De rekening bleef stijgen.
Detectie die méér ziet, voor minder geld
Een wereldwijde industriële multinational, zo’n 27.000 werkplekken. Het SOC miste aanvallen, ransomware kwam binnen, en de SIEM-rekening bleef klimmen. In 12 weken bouwden we een kostefficiënte multi-SIEM-architectuur die meer ziet, gedragen door hetzelfde team.
De uitdaging
Het SOC moest aanvallen tegenhouden. Het zag ze niet eens.
Het securityteam draaide een SOC dat aanvallen hoorde te vangen. In de praktijk gleden ze erdoorheen, met gevolg: ransomware kwam binnen. Niet als bijna-incident, maar als feit. Ondertussen bleef de SIEM-rekening klimmen, terwijl het team te klein was om de meldingen bij te benen.
- 01
Aanvallen werden niet gezien. Met succesvolle ransomware-aanvallen als gevolg.
- 02
De coverage was onvoldoende. Niemand kon hard maken wat het SOC wél en niet zag.
- 03
Het was te traag. Detectie en onderzoek liepen achter de feiten aan.
- 04
En het werd alleen maar duurder. De datarekening liep op, het team was te klein, en voor nieuw personeel was geen budget.
Het probleem was nooit te weinig data. Het was te weinig zicht, te laat, voor te veel geld.
De aanpak
Eerst de diagnose. Dan pas de keuze.
Geen tool uitkiezen en er daarna de problemen bij zoeken. We begonnen bij de feiten, bouwden een architectuur, en kozen pas daarna.
Diagnose
Analyse van de actuele problemen, de onderliggende security-stack en de technology roadmap. Wat ging er mis, wat stond er al, en waar wilde de organisatie naartoe.
Architectuurvisie
Een doelarchitectuur die de schijntegenstelling oploste: coverage omhoog én datakosten omlaag, in plaats van het een inruilen voor het ander.
Selectie, diagnose-geleid
Oplossingen en vendor gekozen op basis van die visie, niet andersom. Een multi-SIEM-opzet die paste bij wat de organisatie echt nodig had.
Implementatie en optimalisatie
Go-live, en daarna blijven bijsturen, operationeel én vanuit de architectuur, zodat het beter werd in plaats van stil te blijven staan.
De oplossing
Lagere kosten én méér zicht. Tegelijk.
De aanname was dat coverage en kosten tegen elkaar in werkten: meer zien betekent meer data, en meer data betekent een hogere rekening. Die tegenstelling bleek vals. Met de juiste architectuur ging de datarekening omlaag terwijl de coverage omhoog ging.
Geen premium meer betalen voor opslag die niets aan detectie toevoegt, terwijl de coverage juist breder werd.
Investigation en remediation deels geautomatiseerd, zodat hetzelfde team meer aankan en sneller handelt.
Eén kostefficiënte opzet die de juiste data op de juiste plek verwerkt, zonder coverage in te leveren.
Na go-live doorlopend bijgestuurd, operationeel én vanuit de architectuur, in plaats van stil te blijven staan.
“Meer zicht, sneller handelen, lagere kosten. Daar stuurden we op, en dat staat er nu.”
Het resultaat
Van brandjes blussen naar grip. Met hetzelfde team.
- -Aanvallen werden gemist, met ransomware die binnenkwam
- -Onvoldoende coverage; niemand kon aantonen wat het SOC zag
- -Te traag, altijd achter de feiten aan
- -Datarekening liep op, team te klein, geen budget
- ✓Bredere, aantoonbare coverage op de technieken die ertoe doen.
- ✓Datakosten omlaag, zonder coverage in te leveren.
- ✓Hetzelfde team handelt sneller en doet meer, doordat playbooks het werk overnemen.
- ✓Doorlopend geoptimaliseerd, van brandjes blussen naar grip.
Een vergelijkbaar vraagstuk?
Geen pitch. Eén gesprek.
Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.
Plan een gesprek