Cybersecurity braucht eine neue Kommandozentrale

Probleme gegenwärtiger SOCs

Die Studie identifiziert vier Probleme gegenwärtiger SOCs:
Sichtbarkeit: 65 Prozent der Befragten sehen in der mangelnden Sichtbarkeit der IT-Sicherheitsinfrastruktur das grösste Hindernis für den Erfolg ihres SOCs. Für 69 Prozent ist die mangelnde Sichtbarkeit des Netzwerkverkehrs hauptverantwortlich für die Ineffektivität des SOCs.
Bedrohungssuche: Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators of Compromise (IOCs) verfolgen müssen, zu viel internen Datenverkehr mit den Anzeigen für einen Angriff vergleichen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen und zu viele Fehlalarme auftreten. Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als ineffizient.
Interoperabilität: SOCs weisen keine hohe Interoperabilität mit den Security-Intelligence-Tools ihrer Organisation auf. Problematisch ist auch die Unfähigkeit, Incident-Response-Services bereitzustellen, etwa Services zur Abschwächung von Angriffen und für forensische Ermittlungen.
Alignment: SOCs sind nicht (49 Prozent) oder nur teilweise (32 Prozent) an den Geschäftsanforderungen ausgerichtet. Zudem reicht das Budget des SOCs für das notwendige Personal, die Ressourcen und die Investitionen in Technologie nicht aus. Im Schnitt wird weniger als ein Drittel des IT-Sicherheitsbudgets für die Finanzierung des SOCs verwendet.
«Es gibt eine Reihe von Faktoren, die zur Ineffektivität des SOCs beitragen - etwa die mangelnde Transparenz der IT-Sicherheitsinfrastruktur -, aber der Faktor, der hervorsticht, ist das Ausmass des Burn-outs der Analysten aufgrund ihrer hohen Arbeitsbelastung und des enormen Drucks, dem sie ausgesetzt sind», betont Larry Ponemon, Gründer des Ponemon Institutes. «Es ist klar, dass dies ein kritischer Bereich ist, der angegangen werden muss, um die Wirksamkeit des SOCs zu verbessern.»
SOC as a Service
Kriterien für die Auswahl
Crisp Research nennt eine Reihe von Kriterien für die Auswahl eines geeigneten SOC-Dienstleisters:
Lageberichte & Analysen: Proaktive Analysen des Dienstleisters und ein schneller Zugang zu dessen Untersuchungsberichten
24/7-Monitoring: Analysen, Reporting und Überwachung sollten an jedem Tag und rund um die Uhr erfolgen
SIEM & IT-Forensik: Um auf Abweichungen oder Auffälligkeiten reagieren und Alarm auslösen zu können, ist es entscheidend, dass Logs und Netzwerkdaten schnell kon­solidiert und analysiert werden
Zertifizierungen & Zusammenarbeit: Zertifizierungen nach bekannten Standards (ISO, BSI) sowie die Zusammenarbeit mit Verbänden sind Indizien für die Qualität eines SOC-Dienstleisters
Fachpersonal: Ein großer Vorteil der Dienstleister liegt in ihren erfahrenen Experten. Ausdruck dafür sind unter anderem Zertifizierungen
Integration: Die Systeme neuer Kunden des SOC-as-a-Service-Anbieters sollten möglichst einfach in dessen Lösung zu integrieren sein
Machine Learning & KI: Lösungen, die diese neuen Tech­niken unterstützen, werden zum Game Changer im Kampf gegen Cyberkriminelle
SOC-Meet-ups: Der Dienstleister sollte durch Veranstaltungen oder Online-Gruppen (etwa durch den Dienst Meet-up) im UnternehmenDie cloudbasierte ERP-Lösung Nr. 1 das Gespür für die Bedeutung von Cyber­hygiene und das Verantwortungsbewusstsein stärken
Security Assessments: Verbindliche, kontinuierliche und nachprüfbare Vulnerability Scans
Technische Hilfe: Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen



Das könnte Sie auch interessieren