Hoe weet u of uw SOC effectief is? De meeste organisaties kijken naar dezelfde cijfers: MTTD, MTTR, false positives, alertvolumes. Logisch, want wat meetbaar is voelt beheersbaar. Maar cybersecurity kent een ongemakkelijke eigenschap: de belangrijkste gebeurtenissen zijn vaak precies de gebeurtenissen die nooit in die cijfers terechtkomen.
Een traditionele SOC kan uitstekend scoren op operationele KPI’s en tegelijkertijd een aanval missen die zich wekenlang langzaam ontwikkelt binnen wat als normaal gedrag wordt beschouwd. Dat maakt de centrale vraag niet hoe snel een SOC reageert, maar hoe goed het risico’s herkent die zich nog niet als incident manifesteren.
Oh, en voor we verder gaan: dit is geen argument tegen een SOC. Het is een argument vóór een SOC dat anders is ingericht dan de meesten. Gebouwd op een model dat zekerheid moet verdienen door context, correlatie en: tijd.
Van true of false naar waarschijnlijkheid
Detectie is traditioneel binair: iets is true of false. Wel een alert. Geen alert. Maar: gedrag is niet binair, en tegenwoordig al helemaal niet. Een medewerker die om drie uur ’s nachts inlogt op een systeem waar hij normaal nooit komt: is dat een incident? Misschien. Misschien ook niet. Een beheerder die bulk data exporteert vlak voor zijn vakantie: verdacht of routine?
Legitiem gedrag lijkt kwaadaardig. Kwaadaardig gedrag lijkt legitiem. Daartussen ontstaat een grijze zone die zich alles behalve netjes in regels laat vangen. Detectie is daarmee minder een vraag van “wat is dit?” en steeds meer: “hoe groot is de kans dat dit onderdeel is van een aanvalsketen?”
AI maakt context instabiel
Dan is er natuurlijk nog AI: dit stelt aanvallers in staat om gedrag te variëren binnen detectiegrenzen zonder direct een patroonbreuk te veroorzaken. Een ontwikkeling die voortbouwt op al langer bestaande automatisering in offensieve tooling, maar nu op grotere schaal en snelheid plaatsvindt. Gedrag dat normaal lijkt maar het niet is. Of varianten die precies binnen detectiegrenzen blijven.
Aanvallers variëren continu bestaande technieken. Ze passen timing aan, wisselen tooling, en bewegen binnen de marges van wat uw systemen als normaal beschouwen. Het doel is om net buiten het bereik van zekerheid te opereren.
En dat lukt steeds vaker.
Behavioral detection verliest zijn hardheid
Behavioral detection was het antwoord op signatures. Regels op basis van bekend kwaadaardig gedrag schoten tekort, dus de focus verschoof naar afwijkingen van normaal gedrag.
Maar ook dat model schuift. En dat is geen nieuw inzicht: het is een gevolg van veranderingen in IT-omgevingen die al jaren gaande zijn. Cloudmigratie, thuiswerken, identity-centric architecturen: ze hebben allemaal de definitie van normaal opgerekt.
Wat is normaal? Een baseline die zes maanden geleden klopte, klopt vandaag misschien niet meer. Aanvallers weten dat en passen zich aan. Ze bewegen binnen wat op dat moment als normaal geldt, totdat ze onderdeel zijn van een nieuwe baseline.
Het resultaat: behavioral detection levert zelden nog een harde afwijking op. Het levert een kansbeoordeling op. Een SOC dat daar niet op is ingericht, mist precies de signalen die er het meest toe doen.
Alerts zijn dus geen eindpunten meer
Hoe groot is de kans dat dit bij een aanval hoort? En hoe verandert dat risico over tijd?
Dat is de vraag waar een alert in de huidige realiteit antwoord op moet geven. Een alert is een datapunt in een risicobeeld. Eén signaal zegt weinig. Tien signalen over drie systemen in twee weken, elk afzonderlijk verklaarbaar, samen misschien niet: dat is waar het oordeel moet vallen. Dat oordeel vellen vereist mensen die verbanden leggen over tijd, niet alleen regels die individuele events beoordelen.
De operationele druk verschuift
Voor SOC-teams verandert er iets fundamenteels. Volume bepaalt de werkdruk al lang niet meer alleen: ambiguïteit zit daar bovenop.
Het verschil is wezenlijk voelbaar. Een hoog alertvolume is vermoeiend maar beheersbaar: afhandelen, sluiten en weer door naar het volgende. Ambiguïteit is iets anders. Hoeveel van deze signalen vereisen interpretatie zonder zekerheid? Dat is de vraag die analisten dagelijks stelt voor een keuze zonder volledig houvast.
Je weet niet of je goed zit. Je weet niet wat je mist. Precies daar ontstaat decision fatigue, en precies daar sluipen de fouten in die achteraf logisch lijken maar op het moment onzichtbaar waren.
Een goed ingericht SOC vangt dat op door structuur aan te brengen in die ambiguïteit: prioritering op basis van risicobeeld, niet op basis van alertvolume.
KPI’s meten de verkeerde dingen
En dat raakt direct hoe SOC’s zijn aangestuurd. MTTD, MTTR, false positives, alertvolumes: ze meten activiteit. Hoeveel er is opgepakt? Hoe snel? Hoe vaak zat het fout? Dat zijn zinvolle metrics binnen volwassen SOC-operaties. In een model dat draait op kansbeoordelingen zeggen ze echter steeds minder over daadwerkelijke security-effectiviteit.
Een SOC kan uitstekend scoren op al deze KPI’s en tegelijkertijd een aanval missen die zich over weken langzaam heeft ontwikkeld binnen de marges van wat als normaal gold.
Wat er toe doet: risicoreductie over tijd, kwaliteit van correlatie, dekking van aanvalsketens, consistentie in risicobeoordeling. Dat zijn de indicatoren die laten zien of een SOC grip heeft op wat er werkelijk gebeurt.
Van detectie naar inschatting
Use cases zijn minder regels en meer hypothesen. De vraag is: herken of dit gedrag kan bijdragen aan een aanvalsketen. Dat vereist analisten die comfortabel zijn met onzekerheid als vertrekpunt, die verbanden leggen over tijd, en die een risicooordeel durven vellen ook als het bewijs nog onvolledig is.
Cybersecurity is eigenlijk helemaal geen systeem van zekerheid. Maar eentje van inschatting onder onzekerheid. En dat systeem heeft mensen nodig die daar 24/7 op zijn ingericht.
De vraag die overblijft
We bewegen naar een situatie waarin bestaande beperkingen van detectie, context en interpretatie tegelijk zichtbaar en versterkt zijn. Cybersecurity draait steeds meer om risicoinschatting en steeds minder om het vaststellen van zekerheden.
De vraag is hoe goed u kunt werken met wat nooit volledig zeker is. En of uw huidige SOC-model daar al op is ingericht.
Cyberlab SOC is daar precies op gebouwd. Continue correlatie van gedrag, ketens en variatiepatronen, 24/7, door analisten die risico inschatten in plaats van alerts afvinken. Benieuwd wat dat voor uw omgeving betekent? Maak vrijblijvend een afspraak.