Kevin de Jong

Ik wist al op de universiteit dat ik iets met security wilde doen. Niet het theoretische stuk, maar het echte werk: aanvallen detecteren, patronen herkennen, uitzoeken wat er precies is gebeurd. Mijn scriptie ging over privilege escalation in Active Directory-omgevingen. Mijn begeleider vond het een vreemde keuze. Ik vond het geweldig.

Bij Geniki ben ik SOC analyst. Dat betekent dat ik de hele dag naar alerts kijk, correlaties analyseer en uitzoek of iets echt een incident is of een false positive. Het klinkt misschien eentonig. Het is het tegendeel.

Elke alert is een begin van een verhaal. Een mislukte loginpoging om drie uur 's nachts is niet automatisch een aanval. Maar als ik zie dat die poging afkomstig is van een IP-adres dat gisteren ook al activity had, gecombineerd met een ongebruikelijke aanmelding bij dezelfde gebruiker twee uur eerder, dan wordt het interessant. Dan begin ik te trekken.

Mijn dag bestaat uit monitoring, triage, en af en toe het schrijven van nieuwe detectieregels in Azure Sentinel. Die laatste taak is mijn favoriet. Een goede detectieregel is elegant. Het is een hypothese over hoe een aanvaller denkt, vertaald naar logica.

Ons team is klein, maar daardoor ben ik wel betrokken bij alles. Er is geen afdeling die het "zware werk" van me overneemt. Als er een incident is, ben ik er middenin. Dat is soms intensief, maar het leert me ook enorm veel. Ik heb het afgelopen jaar meer geleerd dan in de drie jaar daarvoor bij een softwarebedrijf waar security een bijzaak was.

Python gebruik ik dagelijks voor automatisering. Het scrapen van threat intelligence feeds, het verrijken van alerts, kleine scripts die mij uren werk besparen. Code schrijven als SOC analyst voelt soms raar uit te leggen, maar het is gewoon logisch. Alles wat ik handmatig doe, is in principe automatiseerbaar.

Ik ben blij dat ik hier ben beland. Security is bij Geniki geen vinkje op een lijstje. Het is een vak.