Mangelhafte Wirksamkeit

Die Untersuchung „Improving the Effectiveness of the Security Operations Center“, die das Ponemon Institute zusammen mit der Datenanalyse-Plattform Devo durchgeführt hat, ergab, dass das SOC zwar als wichtiger Bestandteil des Geschäfts betrachtet wird, die meisten Befragten jedoch die Effektivität ihres SOCs als gering bewerten. 49 Prozent gaben an, dass es nicht vollständig mit den Geschäftsanforderungen übereinstimme. „Die Ergebnisse zeigen deutlich, dass mangelnde Transparenz und das Erledigen sich wiederholender Aufgaben wesentlich zum Burn-out der Analysten und zur allgemeinen Ineffizienz des SOCs beitragen“, so Julian Waits, General Manager Cyber bei Devo. „Es ist wichtig, dass Unternehmen dem SOC Priorität einräumen und seine Wirksamkeit weiterentwickeln, indem sie Analysten die Möglichkeit geben, sich auf Bedrohungen mit hoher Auswirkung zu konzentrieren und die Geschwindigkeit und Genauigkeit von Messungen, Untersuchungen und Reaktionen zu verbessern.“ Die Studie identifiziert vier Probleme gegenwärtiger SOCs:

Sichtbarkeit: 65 Prozent der Befragten sehen in der mangelnden Sichtbarkeit der IT-Sicherheitsinfrastruktur das größte Hindernis für den Erfolg ihres SOCs. Für 69 Prozent ist die mangelnde Sichtbarkeit des Netzwerkverkehrs hauptverantwortlich für die Ineffektivität des SOCs.

Bedrohungssuche: Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators of Compromise (IOCs) verfolgen müssen, zu viel internen Datenverkehr mit den Anzeigen für einen Angriff vergleichen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen und zu viele Fehlalarme auftreten. Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als ineffizient.

Interoperabilität: SOCs weisen keine hohe Interoperabilität mit den Security-Intelligence-Tools ihrer Organisation auf. Problematisch ist auch die Unfähigkeit, Incident-Response-Services bereitzustellen, etwa Services zur Abschwächung von Angriffen und für forensische Ermittlungen.

Alignment: SOCs sind nicht (49 Prozent) oder nur teilweise (32 Prozent) an den Geschäftsanforderungen ausgerichtet. Zudem reicht das Budget des SOCs für das notwendige Personal, die Ressourcen und die Investitionen in Technologie nicht aus. Im Schnitt wird weniger als ein Drittel des IT-Sicherheitsbudgets für die Finanzierung des SOCs verwendet.

„Es gibt eine Reihe von Faktoren, die zur Ineffektivität des SOCs beitragen - etwa die mangelnde Transparenz der IT-Sicherheitsinfrastruktur -, aber der Faktor, der hervorsticht, ist das Ausmaß des Burn-outs der Analysten aufgrund ihrer hohen Arbeitsbelastung und des enormen Drucks, dem sie ausgesetzt sind“, betont Larry Ponemon, Gründer des Ponemon Institutes. „Es ist klar, dass dies ein kritischer Bereich ist, der angegangen werden muss, um die Wirksamkeit des SOCs zu verbessern.“