Konsolidierung des Security Operations Center (SOC)
Mit weniger mehr erreichen
Konventionelle Security Operations Center (SOC) basieren auf einem jahrzehntelang genutzten Modell, das nun ausgedient hat. Sowohl in Unternehmen als auch in der Bedrohungslandschaft um sie herum hat sich so viel geändert, dass die „alten Methoden“ nicht mehr effektiv sind.
Deshalb müssen SOCs modernisiert und konsolidiert werden, damit sie bessere Ergebnisse erzielen, unter anderem eine schnellere Schadensbehebung, eine Reduzierung des Risikos und ein besseres allgemeines Sicherheitsniveau.
Was genau hat sich für SOCs geändert?
In herkömmlichen SOCs sitzen die Mitarbeiter dicht an dicht nebeneinander und überwachen das Geschehen auf Monitoren, auf denen Dutzende verschiedener Sicherheitstools unzählige Details, Ansichten, Daten und einen scheinbar nie abreißenden Strom von Alarmen anzeigen. In diesen SOCs waren die Mitarbeiter in einem endlosen Wettrennen gegen Alarme und Ressourcenengpässe gefangen, das sie nie wirklich gewinnen konnten.
Die Pandemie hat mehrere bereits vorhandene Schwächen dieses SOC-Modells verschlimmert. Ressourcen sind knapper als je zuvor und vielerorts können nicht mehr alle Mitarbeiter im SOC anwesend sein. Gleichzeitig steigen sowohl die Zahl der Bedrohungen als auch die der ernsthaften Cybersicherheitsvorfälle explosionsartig an.
Um in dieser neuen Situation weiterhin ihre Aufgaben zu erfüllen, müssen SOCs konsolidiert wer- den, mit weniger mehr erreichen und ihre Praktiken in Hinblick auf die aktuellen und zukünftigen Herausforderungen optimieren.
Drei Ursachen für die Herausforderungen in konventionellen SOCs
Unseren Beobachtungen zufolge sind die enttäuschenden Ergebnisse und Sicherheitsniveaus älterer SOCs auf drei Hauptursachen zurückzuführen.
Zu viele Alarme
Einfach ausgedrückt wird in älteren SOCs versucht, viel zu viele Alarme zu bearbeiten. Die große Anzahl verursacht Alarmmüdigkeit und Produktivitätsverluste. Außerdem ist es bei zu vielen Alarmen wahrscheinlicher, dass Hinweise auf potenziell gefährliche Situationen in der Masse untergehen und übersehen werden.
Zur Bewältigung dieser Herausforderungen muss die Zuverlässigkeit der Alarme verbessert werden, sodass nur für wirklich wichtige Ereignisse Alarme generiert werden. Dazu sind Tools und Prozesse erforderlich, die die in das SOC eingespeisten Logdateien und Daten optimal aufbereiten.
Zu viele Sicherheitsprodukte
Ein wichtiger Punkt, der uns immer wieder auffällt, ist die hohe Anzahl an genutzten Sicherheits- produkten in SOCs. Im Durchschnitt sind es mehrere Dutzend.
Mancherorts sind auf den Endpunkten vier oder fünf verschiedene Agenten und vielleicht sogar mehrere Arten von Firewalls installiert. Dadurch entsteht ein unglaubliches Chaos, da diese Lösun- gen in der Regel nicht miteinander kommunizieren. Zudem wird der ohnehin überlastete Betrieb des SOC durch die Administration all dieser Tools unnötigerweise nur noch komplizierter.
Erfolgreiche SOCs zeichnen sich hingegen durch eine extrem konsequente Priorisierung und Nut- zung entsprechender Tools aus. Deshalb empfehlen wir, dass SOC-Teams die gewünschten Ergeb- nisse definieren und dann die Plattformen und Lösungen identifizieren, die sie benötigen, um diese Ergebnisse zu erreichen. Eine weitere wichtige Voraussetzung für einen erfolgreichen SOC-Betrieb ist eine einheitliche Plattform, über die alle genutzten Tools miteinander kommunizieren können.
Zu viele manuelle Prozesse
Viele ältere SOCs sind sowohl im Routinebetrieb als auch bei der Reaktion auf Vorfälle auf manuelle Prozesse angewiesen. Viel zu viele triviale Aufgaben erfordern einen erheblichen menschlichen Aufwand, der an der Konzentration zehrt. Bei einem Sicherheitsvorfall wird in älteren SOCs ein Playbook hervorgeholt, in dem die manuellen Schritte aufgezeichnet sind, die beim letzten ähnlichen Vorfall eingeleitet wurden. Diese werden dann – ebenfalls manuell – wieder und wieder abgearbeitet.
Manuelle Prozesse sind nicht skalierbar und führen daher zu Burn-out bei den SOC-Analysten, ohne dass diese dabei das hohe Volumen an Aktivitäten in einem modernen SOC bewältigen können. Kurze durchschnittliche Erkennungs- und Reaktionszeiten sind mit manuellen Prozessen praktisch unmöglich.
Dazu sind intelligentes maschinelles Lernen und die Automatisierung der zeitraubenden Routine- prozesse erforderlich, damit sich die Mitarbeiter auf die kritischen Aufgaben konzentrieren können.
SOC-Konsolidierung ist eine Gelegenheit zur digitalen Transformation
In der IT ist ein branchenweiter Trend hin zu homogeneren Umgebungen und größerer Konsoli- dierung zu beobachten. Früher unterschieden sich die On-Premises-Umgebungen verschiedener Unternehmen auf jede erdenkliche Art stark voneinander.
Seit ihrer Migration in die Cloud nutzen viele Unternehmen jedoch dieselben SaaS- und IaaS-Tools. Einige veraltete, On-Premises genutzte Tools sind in der Cloud nutzlos. Stattdessen benötigen Unternehmen eine neue, für die Cloud konzipierte Generation von Sicherheitsprodukten, die ein wesentlich effizienteres Arbeiten ermöglicht.
Diese Umstellung muss jetzt, zeitgleich mit der Migration in die Cloud und der digitalen Trans- formation, stattfinden. Dies ist auch der richtige Moment für eine erneute Beurteilung der im SOC genutzten Sicherheitsprodukte und -tools. Ermitteln Sie die Rendite (ROI) jedes einzelnen und konsolidieren Sie Ihre Investitionen auf eine Suite von Kernfunktionen, die Sie in einer Plattform definieren können.
SOC-Konsolidierung erleichtert die Erkennung und Abwehr
Wildwuchs ist der Erzfeind der Sicherheit. Das gilt für alle Unternehmen. Denken Sie nur an den Sicherheitsvorfall Log4j, von dem im Dezember 2021 zahlreiche SOCs betroffen waren. Die Ursache war eine Schwachstelle in einer Anwendungsbibliothek, die an vielen verschiedenen Stellen genutzt wird. In einem älteren SOC mit 75 bis 80 verschiedenen Tools ist es extrem schwierig, alle betroffe- nen Assets zeitnah zu identifizieren, reparieren und schützen.
Deshalb kann ein Plattformansatz im SOC, der diesen Wildwuchs beseitigt, enorme positive Auswir- kungen haben. Danach ist zum Schutz vor einem Problem wie Log4j statt zahlreicher verschiedener manueller Prozesse nur noch eine koordinierte Aktivität erforderlich.
SOC-Konsolidierung unterstützt Sicherheitsteams
Vielleicht noch wichtiger sind die weitreichenden positiven Auswirkungen, die eine SOC- Konsolidierung für die Belegschaft haben kann. Konventionelle SOCs gelten vielerorts nicht als anstrebenswertes Karriereziel, sondern bestenfalls als nützliche Zwischenetappe auf dem Weg zu einer Karriere in der Cybersicherheit. Das liegt daran, dass die Mitarbeiter im SOC normalerweise regelrecht mit Alarmen überflutet werden, enorm unter Druck stehen und nur recht chaotische, manuelle Prozesse zur Bewältigung dieser Arbeitslast nutzen können.
Für das SOC ist dieser Ruf als Zwischenstation furchtbar, denn er führt dazu, dass niemand am Aufbau eines äußerst effektiven SOC interessiert ist. Stattdessen wollen die meisten nur möglichst schnell „ihre Pflichtzeit“ im SOC hinter sich bringen und in interessantere Positionen wechseln.
Mit einer Konsolidierung ändern Sie die Arbeitsweise Ihres SOC und der SOC-Mitarbeiter. Statt immer nur dieselben langweiligen Routineaufgaben abzuarbeiten, konzentrieren sie sich dann auf hochwertige Projekte und Innovationen. Sie verbessern die Technologie kontinuierlich und decken Bedrohungen effektiver auf. Durch die Arbeit an anspruchsvollen, für das Unternehmen nützlichen Projekten können Ihre Mitarbeiter ihr volles Potenzial entfalten und sind wesentlich zufriedener. Sie fühlen sich nicht mehr wie Hamster im Laufrad und bleiben hoffentlich länger im SOC, um die Systeme dort noch weiter zu verbessern.
Kein Unternehmen kann es sich leisten, Zeit und Ressourcen an manuelle Prozesse zur Verfolgung unzähliger Alarme in voneinander isolierten, nicht kompatiblen Tools zu verschwenden. Deshalb ist es höchste Zeit, zu konsolidieren und moderne SOCs aufzubauen, die den komplexen Bedrohungen von heute gewachsen sind.
Konsolidieren, vereinfachen, koordinieren, automatisieren.