4min. read

Konventionelle Security Operations Center (SOC) basieren auf einem jahrzehntelang genutzten Modell, das nun ausgedient hat. Sowohl in Unternehmen als auch in der Bedrohungslandschaft um sie herum hat sich so viel geändert, dass die „alten Methoden“ nicht mehr effektiv sind.

Deshalb müssen SOCs modernisiert und konsolidiert werden, damit sie bessere Ergebnisse erzielen, unter anderem eine schnellere Schadensbehebung, eine Reduzierung des Risikos und ein besseres allgemeines Sicherheitsniveau.

Was genau hat sich für SOCs geändert?

In herkömmlichen SOCs sitzen die Mitarbeiter dicht an dicht nebeneinander und überwachen das Geschehen auf Monitoren, auf denen Dutzende verschiedener Sicherheitstools unzählige Details, Ansichten, Daten und einen scheinbar nie abreißenden Strom von Alarmen anzeigen. In diesen SOCs waren die Mitarbeiter in einem endlosen Wettrennen gegen Alarme und Ressourcenengpässe gefangen, das sie nie wirklich gewinnen konnten.

Die Pandemie hat mehrere bereits vorhandene Schwächen dieses SOC-Modells verschlimmert. Ressourcen sind knapper als je zuvor und vielerorts können nicht mehr alle Mitarbeiter im SOC anwesend sein. Gleichzeitig steigen sowohl die Zahl der Bedrohungen als auch die der ernsthaften Cybersicherheitsvorfälle explosionsartig an.

Um in dieser neuen Situation weiterhin ihre Aufgaben zu erfüllen, müssen SOCs konsolidiert wer- den, mit weniger mehr erreichen und ihre Praktiken in Hinblick auf die aktuellen und zukünftigen Herausforderungen optimieren.

Drei Ursachen für die Herausforderungen in konventionellen SOCs

Unseren Beobachtungen zufolge sind die enttäuschenden Ergebnisse und Sicherheitsniveaus älterer SOCs auf drei Hauptursachen zurückzuführen.

Zu viele Alarme

Einfach ausgedrückt wird in älteren SOCs versucht, viel zu viele Alarme zu bearbeiten. Die große Anzahl verursacht Alarmmüdigkeit und Produktivitätsverluste. Außerdem ist es bei zu vielen Alarmen wahrscheinlicher, dass Hinweise auf potenziell gefährliche Situationen in der Masse untergehen und übersehen werden.

Zur Bewältigung dieser Herausforderungen muss die Zuverlässigkeit der Alarme verbessert werden, sodass nur für wirklich wichtige Ereignisse Alarme generiert werden. Dazu sind Tools und Prozesse erforderlich, die die in das SOC eingespeisten Logdateien und Daten optimal aufbereiten.

Zu viele Sicherheitsprodukte

Ein wichtiger Punkt, der uns immer wieder auffällt, ist die hohe Anzahl an genutzten Sicherheits- produkten in SOCs. Im Durchschnitt sind es mehrere Dutzend.

Mancherorts sind auf den Endpunkten vier oder fünf verschiedene Agenten und vielleicht sogar mehrere Arten von Firewalls installiert. Dadurch entsteht ein unglaubliches Chaos, da diese Lösun- gen in der Regel nicht miteinander kommunizieren. Zudem wird der ohnehin überlastete Betrieb des SOC durch die Administration all dieser Tools unnötigerweise nur noch komplizierter.

Erfolgreiche SOCs zeichnen sich hingegen durch eine extrem konsequente Priorisierung und Nut- zung entsprechender Tools aus. Deshalb empfehlen wir, dass SOC-Teams die gewünschten Ergeb- nisse definieren und dann die Plattformen und Lösungen identifizieren, die sie benötigen, um diese Ergebnisse zu erreichen. Eine weitere wichtige Voraussetzung für einen erfolgreichen SOC-Betrieb ist eine einheitliche Plattform, über die alle genutzten Tools miteinander kommunizieren können.

Zu viele manuelle Prozesse

Viele ältere SOCs sind sowohl im Routinebetrieb als auch bei der Reaktion auf Vorfälle auf manuelle Prozesse angewiesen. Viel zu viele triviale Aufgaben erfordern einen erheblichen menschlichen Aufwand, der an der Konzentration zehrt. Bei einem Sicherheitsvorfall wird in älteren SOCs ein Playbook hervorgeholt, in dem die manuellen Schritte aufgezeichnet sind, die beim letzten ähnlichen Vorfall eingeleitet wurden. Diese werden dann – ebenfalls manuell – wieder und wieder abgearbeitet.

Manuelle Prozesse sind nicht skalierbar und führen daher zu Burn-out bei den SOC-Analysten, ohne dass diese dabei das hohe Volumen an Aktivitäten in einem modernen SOC bewältigen können. Kurze durchschnittliche Erkennungs- und Reaktionszeiten sind mit manuellen Prozessen praktisch unmöglich.

Dazu sind intelligentes maschinelles Lernen und die Automatisierung der zeitraubenden Routine- prozesse erforderlich, damit sich die Mitarbeiter auf die kritischen Aufgaben konzentrieren können.

SOC-Konsolidierung ist eine Gelegenheit zur digitalen Transformation

In der IT ist ein branchenweiter Trend hin zu homogeneren Umgebungen und größerer Konsoli- dierung zu beobachten. Früher unterschieden sich die On-Premises-Umgebungen verschiedener Unternehmen auf jede erdenkliche Art stark voneinander.

Seit ihrer Migration in die Cloud nutzen viele Unternehmen jedoch dieselben SaaS- und IaaS-Tools. Einige veraltete, On-Premises genutzte Tools sind in der Cloud nutzlos. Stattdessen benötigen Unternehmen eine neue, für die Cloud konzipierte Generation von Sicherheitsprodukten, die ein wesentlich effizienteres Arbeiten ermöglicht.

Diese Umstellung muss jetzt, zeitgleich mit der Migration in die Cloud und der digitalen Trans- formation, stattfinden. Dies ist auch der richtige Moment für eine erneute Beurteilung der im SOC genutzten Sicherheitsprodukte und -tools. Ermitteln Sie die Rendite (ROI) jedes einzelnen und konsolidieren Sie Ihre Investitionen auf eine Suite von