In het SOC van Open Line wordt anders gedacht
Valencia was van 5 tot en met 7 juli het prachtige decor van de tweede editie van de Open Line Security Summit (OLSS 2023). Open Line, een Nederlandse specialist in managed cloud services, organiseerde dat event voor IT-leiders. Zij kregen onder meer te zien hoe het lokale Risk Based Security Operations Center (SOC) hun IT-omgevingen waar ook ter wereld beveiligt tegen online gevaren. Daniel van Slochteren, Chief Innovation Officer, vertelt erover in een gesprek met Dutch IT Channel en Dutch IT Leaders.
“We hebben een mooi programma waarbij we diverse fabrikanten op strategisch niveau aan het woord laten”, vertelt Van Slochteren aan de vooravond van het event. “Bijzonder is dat zij maar één dag aanwezig mogen zijn. Dat is een bewuste keuze. We hebben een selecte groep van ongeveer 30 CIO’s en CISO’s uitgenodigd die we een zo goed mogelijk beeld willen geven. Elke dag zijn er dus een aantal nieuwe fabrikanten waar ze kennis mee kunnen maken. Dat zorgt voor een mooie dynamiek. Daarnaast laten we ook externe specialisten aan het woord, bijvoorbeeld vanuit de universiteit hier in Valencia waar we mee samenwerken. Zij vertellen over onderwerpen zoals AI.”
SOC in Valencia
Van Slochteren was tot het najaar van 2021 CEO van cybersecurity-specialist Kahuna. Dat werd overgenomen door Tesorion, maar Kahuna’s SOC in Valencia, dat door Van Slochteren is opgezet, werd verkocht aan Open Line. Van Slochteren verhuisde mee. Open Line is een specialist in managed cloud services die een scala aan cloud-, werkplek- en security-oplossingen biedt, plus branche-specifieke oplossingen in sectoren zoals huisvesting, overheid, logistiek en zorg.
Het SOC in Valencia heeft een bijzondere geschiedenis. Van Slochteren is actief in de motorsport en kwam daardoor vaak – en graag - in de Spaanse kuststad. “Ik kwam er op een gegeven moment achter dat er een enorme technische universiteit (Universitat Politècnica de València, red.) zit. Bij Kahuna hadden we de uitdaging om goed opgeleid personeel te vinden en te behouden. Ik wilde daar iets op verzinnen. Ik legde contact met de campus in Valencia en ging gastcolleges geven en SOC-bezoeken organiseren. We nodigden goede Spaanse studenten ook uit om in Nederland af te studeren.” Zo ontstond uiteindelijk een eigen SOC van Kahuna in Valencia. De band met de universiteit werd door de jaren heen alleen maar sterker: Van Slochteren zit momenteel zelfs in de adviesraad.
Digitale risico’s
Zoals gezegd: zowel Van Slochteren zelf als het SOC in Valencia verhuisden een kleine twee jaar geleden naar Open Line. “Veel klanten van Open Line besteden hun IT deels of geheel uit. Ze maken gebruik van onze datacenters, eventueel in combinatie met de cloud. Wij leveren daar onze diensten bovenop. Organisaties zoals woningcorporaties, waterschappen, gemeentes en logistieke bedrijven willen daarnaast steeds vaker ook een vorm van SOC-services. De kosten vormen echter een obstakel.”
Daar heeft Open Line iets innovatiefs op verzonnen. “Ons SOC is een Risk Based SOC. Wij kijken naar de grootste digitale risico’s voor onze klanten. Die vertalen we naar scenario’s en vervolgens naar use cases met de bijbehorende tooling.” Open Line focust zich dus op wat voor de klant écht belangrijk is. “We hebben een model bedacht waarbij we met klanten hun risico’s inzichtelijk maken. Daarna pellen we dat af, zodat we ons daarop kunnen richten. We stellen een soort menukaart op, waarbij we ons richten op relevante logging die gekoppeld is aan een risico. Misschien is er bijvoorbeeld een angst dat mensen in kunnen breken in de financiële systemen. Daar ontwikkelen we dan specifieke risk-based use cases voor. Het is een heel andere manier van denken. De kosten zijn daardoor veel lager en voorspelbaarder.”
Die andere manier van denken moet business en IT dichter bij elkaar brengen. “Tijdens mijn loopbaan heb ik vaak gemerkt dat daar een grote kloof tussen zit. Onze industrie is vaak te veel technologie-gedreven, terwijl het erom gaat wat de bedrijfsdoelstellingen zijn. Als de IT afdeling bevindt dat je als organisatie een nieuwe firewall nodig hebt, hoe vaak krijg je dan als directie een holistisch advies op basis van je toekomstplannen? Door die kloof zijn bestuurders van organisaties zich vaak ook niet voldoende bewust van de digitale risico’s, dus zien ze de noodzaak niet om maatregelen te nemen of doen zij juist dure investeringen die zich uiteindelijk niet uitbetalen.”
Open Line heeft ook in andere opzichten een onderscheidende aanpak in zijn SOC, benadrukt Van Slochteren. “SOC’s worden gebruikt om te monitoren en daarnaast soms nog om firewalls en endpoints te beheren. Maar er is geen grip op bijvoorbeeld de routers, de switches en de werkplekken. Zo’n versplinterde situatie kan fataal zijn als er een incident is en elke seconde telt. Wij doen daarom het beheer én de monitoring.”
Het SOC is, nu het onder de vlag van Open Line valt, in technisch opzicht opnieuw opgebouwd. “We zijn op zoek gegaan naar een toekomstbestendig en flexibel platform, dat ons de vrijheid geeft die wij nodig hebben met onze aanpak. Dat staat nu.”
Strategisch ondersteunen
Open Line is, ook los van alleen security, om meerdere redenen interessant voor een IT-manager of CIO, vindt Van Slochteren. “Allereerst hebben we twee eigen datacenters in Nederland. We kunnen garanderen dat data in Nederland blijft, wat voor steeds meer organisaties belangrijk is. Daarnaast zijn we Microsoft-partner, dus we kunnen ook een hybride omgeving bouwen. Beter nog, 100% van onze klanten heeft een hybride cloud. Overigens is Open Line een perfecte flexibele schil. Als IT-afdeling is het bijna onmogelijk om alles nog bij te kunnen benen qua kennis, technologieontwikkeling en resources. Je kunt bij ons zelf bepalen of je alles uitbesteed of slechts een deel, zoals bijvoorbeeld de serveromgeving. Daarnaast kunnen we klanten op strategisch en tactisch niveau ondersteunen als het om de digitale risico’s gaat. We helpen ze om de governance, maar ook de technologische kant op orde te krijgen. Daardoor investeer je niet langer in oplossingen die je niet nodig hebt of die weinig extra veiligheid toevoegen. We helpen daarnaast ook met het uitrollen van de roadmap richting de toekomst.”
“Het type aanvallen verandert”, merkt hij. “Er is meer encrypted verkeer. Met een nieuwe generatie firewalls spelen we daarop in. Ook doen we meer met threat intelligence. Daar leveren we nieuwe diensten op, waarbij we beter kijken naar wat er buiten ons om gebeurt. We doen ook steeds meer met webapplicaties en binnen het SOC gaan we threat hunting leveren. En we hebben een oplossing met immutable storage die ervoor zorgt dat opslag niet veranderd kan worden, wat grote voordelen biedt bij het herstel na een ransomware-aanval. Maar ook hierbij geldt dat we altijd eerst, aan de hand van het risicoprofiel, kijken wat voor de klant relevant is.”
Door: Johan van Leeuwen en Witold Kepinski