com!-Academy-Banner

Cybersecurity braucht eine neue Kommandozentrale

Mangelhafte Wirksamkeit

von - 27.01.2020
komprommitierte Datensätze 2019
(Quelle: Micro Focus )
Die Untersuchung „Improving the Effectiveness of the Security Operations Center“, die das Ponemon Institute zusammen mit der Datenanalyse-Plattform Devo durchgeführt hat, ergab, dass das SOC zwar als wichtiger Bestandteil des Geschäfts betrachtet wird, die meisten Befragten jedoch die Effektivität ihres SOCs als gering bewerten. 49 Prozent gaben an, dass es nicht vollständig mit den Geschäftsanforderungen übereinstimme. „Die Ergebnisse zeigen deutlich, dass mangelnde Transparenz und das Erledigen sich wiederholender Aufgaben wesentlich zum Burn-out der Analysten und zur allgemeinen Ineffizienz des SOCs beitragen“, so Julian Waits, General Manager Cyber bei Devo. „Es ist wichtig, dass Unternehmen dem SOC Priorität einräumen und seine Wirksamkeit weiterentwickeln, indem sie Analysten die Möglichkeit geben, sich auf Bedrohungen mit hoher Auswirkung zu konzentrieren und die Geschwindigkeit und Genauigkeit von Messungen, Untersuchungen und Reaktionen zu verbessern.“ Die Studie identifiziert vier Probleme gegenwärtiger SOCs:
Larry Ponemon
Larry Ponemon
Chairman Ponemon Institute
www.ponemon.org
Foto: Ponemon
„Es gibt eine Reihe von Faktoren, die zur Ineffektivität der SOCs beitragen, etwa die mangelnde Transparenz der IT-Sicherheitsinfrastruktur.“
Sichtbarkeit: 65 Prozent der Befragten sehen in der mangelnden Sichtbarkeit der IT-Sicherheitsinfrastruktur das größte Hindernis für den Erfolg ihres SOCs. Für 69 Prozent ist die mangelnde Sichtbarkeit des Netzwerkverkehrs hauptverantwortlich für die Ineffektivität des SOCs.
Bedrohungssuche: Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators of Compromise (IOCs) verfolgen müssen, zu viel internen Datenverkehr mit den Anzeigen für einen Angriff vergleichen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen und zu viele Fehlalarme auftreten. Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als ineffizient.
Interoperabilität: SOCs weisen keine hohe Interoperabilität mit den Security-Intelligence-Tools ihrer Organisation auf. Problematisch ist auch die Unfähigkeit, Incident-Response-Services bereitzustellen, etwa Services zur Abschwächung von Angriffen und für forensische Ermittlungen.
Alignment: SOCs sind nicht (49 Prozent) oder nur teilweise (32 Prozent) an den Geschäftsanforderungen ausgerichtet. Zudem reicht das Budget des SOCs für das notwendige Personal, die Ressourcen und die Investitionen in Technologie nicht aus. Im Schnitt wird weniger als ein Drittel des IT-Sicherheitsbudgets für die Finanzierung des SOCs verwendet.
„Es gibt eine Reihe von Faktoren, die zur Ineffektivität des SOCs beitragen - etwa die mangelnde Transparenz der IT-Sicherheitsinfrastruktur -, aber der Faktor, der hervorsticht, ist das Ausmaß des Burn-outs der Analysten aufgrund ihrer hohen Arbeitsbelastung und des enormen Drucks, dem sie ausgesetzt sind“, betont Larry Ponemon, Gründer des Ponemon Institutes. „Es ist klar, dass dies ein kritischer Bereich ist, der angegangen werden muss, um die Wirksamkeit des SOCs zu verbessern.“
SOC as a Service
Crisp Research nennt eine Reihe von Kriterien für die Auswahl eines geeigneten SOC-Dienstleisters:
Lageberichte & Analysen: Proaktive Analysen des Dienstleisters und ein schneller Zugang zu dessen Untersuchungsberichten
24/7-Monitoring: Analysen, Reporting und Überwachung sollten an jedem Tag und rund um die Uhr erfolgen
SIEM & IT-Forensik: Um auf Abweichungen oder Auffälligkeiten reagieren und Alarm auslösen zu können, ist es entscheidend, dass Logs und Netzwerkdaten schnell kon­solidiert und analysiert werden 
Zertifizierungen & Zusammenarbeit: Zertifizierungen nach bekannten Standards (ISO, BSI) sowie die Zusammenarbeit mit Verbänden sind Indizien für die Qualität eines SOC-Dienstleisters
Fachpersonal: Ein großer Vorteil der Dienstleister liegt in ihren erfahrenen Experten. Ausdruck dafür sind unter anderem Zertifizierungen
Integration: Die Systeme neuer Kunden des SOC-as-a-Service-Anbieters sollten möglichst einfach in dessen Lösung zu integrieren sein
Machine Learning & KI: Lösungen, die diese neuen Tech­niken unterstützen, werden zum Game Changer im Kampf gegen Cyberkriminelle
SOC-Meet-ups: Der Dienstleister sollte durch Veranstaltungen oder Online-Gruppen (etwa durch den Dienst Meet-up) im Unternehmen das Gespür für die Bedeutung von Cyber­hygiene und das Verantwortungsbewusstsein stärken
Security Assessments: Verbindliche, kontinuierliche und nachprüfbare Vulnerability Scans
Technische Hilfe: Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen
Verwandte Themen