Naar hoofdinhoud

Het SOC miste aanvallen.
De rekening bleef stijgen.

Detectie die méér ziet, voor minder geld

Een wereldwijde industriële multinational, zo’n 27.000 werkplekken. Het SOC miste aanvallen, ransomware kwam binnen, en de SIEM-rekening bleef klimmen. In 12 weken bouwden we een kostefficiënte multi-SIEM-architectuur die meer ziet, gedragen door hetzelfde team.

Detectie-coverage · techniekenNa het traject
Breed gedekt
Gedekte techniekenResterende gaten, bekend en belegd
Bron · multi-SIEMDiagnose · architectuur · operatie
Sector
Wereldwijde industriële multinational
Schaal
± 27.000 werkplekken
Doorlooptijd
12 weken tot productie
Kaders
NIST CSF, CRA
Doorlooptijd
12 wkn
van diagnose tot een werkende multi-SIEM in productie.
Coverage
Breder
op de aanvalstechnieken die ertoe doen, aantoonbaar.
Datakosten
Omlaag
zonder coverage in te leveren. Geen premium voor opslag die niets toevoegt.

De uitdaging

Het SOC moest aanvallen tegenhouden. Het zag ze niet eens.

Het securityteam draaide een SOC dat aanvallen hoorde te vangen. In de praktijk gleden ze erdoorheen, met gevolg: ransomware kwam binnen. Niet als bijna-incident, maar als feit. Ondertussen bleef de SIEM-rekening klimmen, terwijl het team te klein was om de meldingen bij te benen.

Wat het team zagMeldingen
Signaal
Ruis, meldingen zonder lading, dag in dag uit
Het signaal dat telt
Ruis
  • 01

    Aanvallen werden niet gezien. Met succesvolle ransomware-aanvallen als gevolg.

  • 02

    De coverage was onvoldoende. Niemand kon hard maken wat het SOC wél en niet zag.

  • 03

    Het was te traag. Detectie en onderzoek liepen achter de feiten aan.

  • 04

    En het werd alleen maar duurder. De datarekening liep op, het team was te klein, en voor nieuw personeel was geen budget.

Het probleem was nooit te weinig data. Het was te weinig zicht, te laat, voor te veel geld.

De aanpak

Eerst de diagnose. Dan pas de keuze.

Geen tool uitkiezen en er daarna de problemen bij zoeken. We begonnen bij de feiten, bouwden een architectuur, en kozen pas daarna.

Diagnose-firstFeiten
Architectuur vóór selectieVisie
Automatiseren: meer met dezelfde mensenOperatie
01

Diagnose

Analyse van de actuele problemen, de onderliggende security-stack en de technology roadmap. Wat ging er mis, wat stond er al, en waar wilde de organisatie naartoe.

02

Architectuurvisie

Een doelarchitectuur die de schijntegenstelling oploste: coverage omhoog én datakosten omlaag, in plaats van het een inruilen voor het ander.

03

Selectie, diagnose-geleid

Oplossingen en vendor gekozen op basis van die visie, niet andersom. Een multi-SIEM-opzet die paste bij wat de organisatie echt nodig had.

04

Implementatie en optimalisatie

Go-live, en daarna blijven bijsturen, operationeel én vanuit de architectuur, zodat het beter werd in plaats van stil te blijven staan.

De oplossing

Lagere kosten én méér zicht. Tegelijk.

De aanname was dat coverage en kosten tegen elkaar in werkten: meer zien betekent meer data, en meer data betekent een hogere rekening. Die tegenstelling bleek vals. Met de juiste architectuur ging de datarekening omlaag terwijl de coverage omhoog ging.

CoverageDatakosten
Kosten en coverage

Geen premium meer betalen voor opslag die niets aan detectie toevoegt, terwijl de coverage juist breder werd.

Melding
Triage
Respons
Response-playbooks

Investigation en remediation deels geautomatiseerd, zodat hetzelfde team meer aankan en sneller handelt.

Multi-SIEM-architectuur

Eén kostefficiënte opzet die de juiste data op de juiste plek verwerkt, zonder coverage in te leveren.

Operating model

Na go-live doorlopend bijgestuurd, operationeel én vanuit de architectuur, in plaats van stil te blijven staan.

“Meer zicht, sneller handelen, lagere kosten. Daar stuurden we op, en dat staat er nu.”

Security-architect · wereldwijde industriële multinational

Het resultaat

Van brandjes blussen naar grip. Met hetzelfde team.

Voorheen
  • -Aanvallen werden gemist, met ransomware die binnenkwam
  • -Onvoldoende coverage; niemand kon aantonen wat het SOC zag
  • -Te traag, altijd achter de feiten aan
  • -Datarekening liep op, team te klein, geen budget
Nu
  • Bredere, aantoonbare coverage op de technieken die ertoe doen.
  • Datakosten omlaag, zonder coverage in te leveren.
  • Hetzelfde team handelt sneller en doet meer, doordat playbooks het werk overnemen.
  • Doorlopend geoptimaliseerd, van brandjes blussen naar grip.

Een vergelijkbaar vraagstuk?

Geen pitch. Eén gesprek.

Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.

Plan een gesprek

30 minuten met een senior, geen pitch.

Spreek met een architectBel direct088 - 163 23 25