Skip to main content

SOC-Budget 2023: „Wir brauchen ein komplettes Desaster, um die Aufmerksamkeit der Unternehmensführung zu bekommen“

SOC als logischer Schritt angesichts aktueller Bedrohungen? Ja, wenn es um die Dringlichkeit geht. Ja, wenn es um die Priorisierung in den IT-Budgets geht. Die tatsächliche Umsetzung hinkt dann aber den Umfragen nach und steht im Widerspruch mit jüngsten Studien, die von vielen unterlassenen Investitionen in SOC-Sicherheitslösungen zeugen.

Was wird als die größte Herausforderung für die vollständige Nutzung eines Security Operation Centers gesehen? Die am häufigsten genannte Hürde ist laut einer jüngsten Studie des SANS Instituts der Mangel an qualifiziertem Personal. Mehr als die Hälfte der befragten IT-Verantwortlichen und CISOs erkennen zwar die Dringlichkeit und Notwendigkeit, gaben aber an, durch fehlende SOC-Ressourcen unzureichende Kenntnissen der gesamten IT-Architektur und technischen Betriebskenntnisse zu haben und damit das Potential eines SOCs auch entsprechend zu nutzen. Als Folge sahen die Unternehmen auch im Bereich Automatisierung und der Aggregation und Aufbereitung der im SOC gewonnen Daten Handlungsbedarf. 40% gaben an, dass die Metriken nur teilweise automatisiert und oft sogar mit erheblichem manuellem Aufwand erstellt werden müssen.

Auslagerung von SOC-Aktivitäten

Mangelnde Ressourcen und damit oft fehlende Kompetenzen stellen die IT-Abteilung natürlich vor die Frage, ob das SOC intern betrieben, oder ist es besser, SOC-Dienste bei einem Partner auszulagern. Die am häufigsten genannten Aktivitäten, die ganz oder teilweise ausgelagert werden betreffen dabei die Simulation von Angriffen und aktive Threat Intelligence. Über 50 % der Nennungen sehen in Penetration-Tests und Red Teaming und die Erkennung von Bedrohungsszenarien (Detection) als sinnvollste Bereich für eine Auslagern. Die meisten Unternehmen weigern sich, von ihren Mitarbeitern, die oft Generalisten sind, zu verlangen, dass sie sich nur selten auf bestimmte Spezialgebiete spezialisieren. Demgegenüber wird die Korrelation der gewonnen Assets und Daten vielfach selbst übernommen – und sehr häufig manuell durchgeführt. Wie veraltete und manuelle Prozesse automatisiert werden können und welche Rolle maschinelles Lernen spielen kann, um knappe Ressourcen für höherwertige Aufgaben freizusetzen, wurden dabei insbesondere durch die Rolle einer SIEM-Lösung (Security Information and Event Management) unterstrichen.

Die eingesetzten Technologien

Welche Technologien/Tools werden für ein SOC als essenziell angesehen? Die meistgenutzten Produkte sind Endpunkt- oder hostbasierte Erkennung und Reaktion (158), Analyse mit SIEM sowie VPN (Zugangsschutz und -kontrolle). Die Finanzierung ist nicht zuletzt aufgrund der reklamierten mangelnden internen Ressourcen ein sensibles Thema.

Fazit:

Kaum jemand würde behaupten, dass IT-Sicherheit für Unternehmen kein relevantes Thema wäre. Dennoch werden wichtige Investitionen in IT-Sicherheit aufgrund eines unrealistischen Optimismus nicht getätigt oder verschoben. Die am dringendsten benötigten Lösungen sind qualifizierte Mitarbeiter (24 Antworten) und Automatisierung. Die Buy-Strategie hat den großen Vorteil, dass sämtliche Themenpunkte der SOC Vision bereits definiert und realisiert sind. Erfahrungsgemäß rechnet man mit zwei Jahren, bis eine SOC-Mannschaft für einen 24×7 Betrieb verfügbar ist. Neben der Rekrutierung müssen die Evaluation und Realisation der adäquaten Technologien sowie die Definition und Etablierung aller notwendigen Prozesse vorgenommen werden. Ein SOC ist schließlich nicht nur Technologie, sondern – und dies ist weit wichtiger – es lebt von einem Team erfahrener Analysten.

Leave a Reply