Security Operations Center: Modernisierung richtig angehen

Anzeichen für eine erforderliche Modernisierung des SOC

CISOs sollten auf zunehmende Ermüdung, Frustration und Fluktuation unter den SecOps-Mitarbeitern achten, da dies Anzeichen dafür sind, dass das SOC Schwierigkeiten hat, die Aufgaben zu bewältigen. Ebenso können steigende Trends bei KPIs wie der Anzahl der Vorfälle, der Schwere der Vorfälle, der durchschnittlichen Erkennungszeit (MTTD, Mean Time to Detect), der durchschnittlichen Reaktionszeit (MTTR; Mean Time to React) und der durchschnittlichen Wiederherstellungszeit (MTTR, Mean Time to Recover) auf systemische Probleme hindeuten.

Wenn die aktuelle Leistung des SOC ein inakzeptables Maß an Cyberrisiken mit sich bringt, sollten Sie in Modernisierungsinitiativen investieren, um das Sicherheitsprogramm besser auf die Cyberrisiken und Geschäftsziele des Unternehmens abzustimmen.

Zentrale Komponenten eines modernen SOC

Um das SOC so zu modernisieren, dass es den Anforderungen des Unternehmens optimal entspricht, muss ein CISO das richtige Gleichgewicht zwischen Mitarbeitenden, Prozessen, Technologie und Einrichtungen finden.

Viele Komponenten eines modernen SOC sind geläufig, beispielsweise Threat Hunting, Schwachstellenmanagement, Disaster Recovery sowie Identitäts- und Zugriffsmanagement (IAM). Andere hingegen sind hinsichtlich ihrer Fähigkeiten und Ergebnisse eher zukunftsweisend. Betrachten Sie beispielsweise Folgendes.

• KI-gestützte SecOps-Systeme. KI ist ein Verstärker für Systeme, die Bedrohungen erkennen, analysieren und mindern oder beseitigen, wie beispielsweise SIEM, SOAR, Endpoint Detection and Response (EDR) und XDR. Sie kann auch die Automatisierung routinemäßiger und sich wiederholender Aufgaben unterstützen, sodass Mitarbeiter mehr Zeit für anspruchsvollere und interessantere Projekte haben.
• Threat-Intelligence-Plattformen. Threat-Intelligence-Plattformen sind Dienste, die Daten zu Millionen von Sicherheitsereignissen aus Threat Intelligence-Feeds erfassen, aggregieren und weitergeben, um die Suche nach Bedrohungen, die Reaktion auf Vorfälle und die Risikoanalyse zu unterstützen. Sie lassen sich in Plattformen wie SIEM, SOAR und XDR integrieren, um diese Anwendungen bei der Erkennung, Prävention und Reaktion auf Bedrohungen zu unterstützen.
• Integration von Sicherheitsplattformen. SOCs der nächsten Generation integrieren mehrere Sicherheitsplattformen und -tools wie SIEM, SOAR und XDR, um einen einheitlichen Überblick über die gesamte Bedrohungslandschaft zu bieten. Damit können sie Analysten bei der Priorisierung und Reaktion auf Ereignisse zu unterstützen.
• Compliance-Management. Unternehmen sehen sich mit einer ständig wachsenden Zahl von Cybersicherheitsstandards und -vorschriften konfrontiert. SOCs der nächsten Generation überwachen regelmäßig alle betrieblichen Aktivitäten, vergleichen sie mit den Anforderungen der relevanten Standards und erstellen Berichte zur Compliance.
• Personal und Schulungen. Die Nachfrage nach erfahrenen Cybersicherheitsexperten übersteigt das Angebot bei weitem. Die Modernisierung von SOCs und die Schulung der Mitarbeiter im Umgang mit neuen Tools können die Arbeitszufriedenheit verbessern und Burnout vorbeugen, was dazu beiträgt, Teammitglieder zu motivieren und zu binden.

Tipps zur Modernisierung des SOC

Um erfolgreich zu sein, erfordern SOC-Modernisierungsprojekte eine sorgfältige Planung, die Unterstützung der Geschäftsleitung, kluge Investitionen und ausreichend Zeit. Beachten Sie die folgenden Best Practices.

1. Verstehen Sie, wie das aktuelle SOC funktioniert. Dazu gehört die Bewertung, wie gut die Teammitglieder miteinander interagieren, wie effizient Ereignisse verarbeitet werden und wie effektiv Präventivmaßnahmen umgesetzt werden. Erwägen Sie die Verwendung und Verfolgung von SOC-Kennzahlen.
2. Sichern Sie sich die Zustimmung der Geschäftsleitung. Dazu müssen Sie möglicherweise einen Plan für ein aktualisiertes SOC, relevante Cyberrisikoerklärungen, eine Kosten-Nutzen-Analyse und eine prognostizierte Cybersicherheits-ROI-Analyse erstellen.
3. Bestimmen Sie das gewünschte Leistungsniveau. Legen Sie Zeitrahmen für die Bewertung und Lösung von Ereignissen sowie für deren Verbesserung fest, legen Sie fest, wie die Ereignisberichterstattung verbessert werden kann. Ermitteln Sie, wie die Einhaltung gesetzlicher Vorschriften erreicht werden kann, und definieren Sie Verfahren und Prozesse, die von einer Automatisierung profitieren könnten.
4. Erstellen Sie einen Projektplan für das neue SOC. Stellen Sie sicher, dass die Geschäftsleitung die SOC-Projektpläne überprüft und genehmigt. Geben Sie regelmäßig Statusberichte heraus.
5. Legen Sie eine neue Basislinie für das SOC und dessen Funktionsweise fest. Definieren Sie Erwartungen hinsichtlich Sicherheitswarnungen und -berichten, Bedrohungsanalyse und -behebung, Bedrohungssuche, Upgrades und Austausch von Sicherheitstools, Konfigurationen von Arbeitsbereichen und Integrationen mit Unternehmensnetzwerken, Systemen und anderen Ressourcen.
6. Bestimmen Sie, wie der Übergang zu einem neuen SOC erfolgen soll. Unter der Annahme, dass das bestehende SOC während der Modernisierung betriebsbereit bleibt, legen Sie fest, wie und wann neue und aktualisierte Systeme die bestehenden Plattformen ablösen sollen, wie lange die alten und neuen Plattformen parallel betrieben werden sollen, wie die Schulungen für die neuen Systeme stattfinden sollen und wie die Integration mit anderen Einheiten, wie zum Beispiel dem Rechenzentrum, erfolgen soll.
7. Bewerten Sie verschiedene Technologieoptionen. Auch wenn neue Systeme mit größerer Funktionalität ideal sein mögen, sollten Sie bedenken, dass bestehende Systeme möglicherweise aufrüstbar sind. Wägen Sie ab, wie neue Systeme und Upgrades am besten in die Betriebsumgebung eingeführt werden können.
8. Den Personalbedarf bewerten. Möglichkeiten für zusätzliche Schulungen für bestehende Mitarbeiter ermitteln und Personalengpässe bewerten.
9. Bewerten Sie die Anforderungen an die Einrichtung. Wenn die vorhandene SOC-Ausstattung ausreichend ist, prüfen Sie, ob eine Aufrüstung oder Neukonfiguration der Arbeitsplätze erforderlich ist. Wenn Sie zusätzlichen Platz schaffen oder an einen neuen SOC-Standort umziehen möchten, planen Sie ausreichend Zeit für die Bauarbeiten ein.
10. Erstellen Sie Pläne zur Aktualisierung von Richtlinien und Verfahren. Bestehende Verfahren zum Umgang mit Bedrohungsereignissen müssen möglicherweise aufgrund neuer Technologien überarbeitet werden, beispielsweise aufgrund von KI-basierten Systemen, die zuvor manuell ausgeführte Tätigkeiten automatisch ausführen.
11. Definieren Sie die Verantwortlichkeiten der SOC-Teammitglieder. Während der Übergangsphase wird jedes Teammitglied wahrscheinlich neben seinen regulären Aufgaben zusätzliche Aufgaben im Zusammenhang mit dem Erlernen und der Nutzung der neuen Systeme übernehmen müssen.
12. Testen Sie alle neuen und aktualisierten Systeme. Stellen Sie sicher, dass neue und aktualisierte Systeme wie erforderlich funktionieren. Dies kann mithilfe von Beispieldaten aus früheren Ereignissen erfolgen.
13. Führen Sie die Umstellung und den Übergang zum neuen SOC durch. Führen Sie Systemabnahmetests mit Anbietern durch und stellen Sie sicher, dass das SOC-Team mit der neuen Technologie vollständig vertraut ist.