SOCs fehlen Fachleute

Ein Security Operation Center (SOC) muss rund um die Uhr betrieben werden, um effektiv zu sein. Das erfordert mindestens fünf Personen, drei jeweils in Acht-Stunden-Schicht, ein Springer und einer im Urlaub. In der Realität sind es noch mehr, denn niemand kann ununterbrochen acht Stunden auf einen Monitor starren und dabei aufmerksam bleiben.

Entsprechend groß ist der Personalbedarf und die Experten sind teuer und knapp. SANS Institute hat in einer Umfrage die Trends in Cybersecurity Operation Centern (SOCs) 2022 beleuchtet. Insgesamt nahmen 519 Informationssicherheits-Fachleute an der Umfrage teil. Die Ergebnisse zeigen, dass zwar die Gesamtanzahl der Cyberattacken und IT-Sicherheitsvorfälle im Vergleich zum Vorjahr geringer war, die Probleme beim Fachkräftemangel jedoch bleiben.

Die Umfrage-Teilnehmer sehen deshalb auch das Einstellen, das Binden und die Fluktuation als zentrale Herausforderungen ihrer Tätigkeit in einem SOC. Die wichtigsten Punkte für die Umfrageteilnehmer in puncto Security Operations sind Detection/Monitoring, Vulnerability Assessments, Incident Response und Alert Triage sowie Alert Escalation, wobei die Fähigkeiten zwischen internem Personal und ausgelagerten Kräften gleich verteilt sind.

Die wichtigsten Herausforderungen im Überblick:

• Hoher Personalbedarf
• Mangel an qualifiziertem Personal
• Mangel an Automatisierung und Orchestrierung
• Mangel an Managementunterstützung

Insgesamt scheinen die Teilnehmer der Umfrage mit ihrem Arbeitsumfeld besser zurecht zu kommen. Die in der Umfrage verwendete Definition eines SOC ist nach wie vor konzeptionell und basiert auf den Fähigkeiten, die für die geschäftsspezifischen Ziele einer Organisation erforderlich sind, wie die beiden Studienautoren betonen.

„Für SOCs mit geringerem Reifegrad ist das Hinzufügen fehlender Fähigkeiten der nächste Schritt. Die Auslagerung bietet oft ein schnelles und hochwertiges Angebot ohne die damit einhergehende Anpassung und Individualisierung. Der nächste Schritt wäre die Sicherstellung der Leistung der Metriken. Für reifere SOCs ist die Bereitstellung von Berechnungen in Bezug auf geschützte Daten und Verlustvermeidung der nächste logische Schritt,“ sagt Studienautor und SANS-Instructor Christopher Crowley, hauptsächlich Trainer für die Kurse SEC575 und SEC511.

Daraus folgen diese Ratschläge:

– Vergleichen Sie Ihr Unternehmen mit demografischen Daten und den entsprechenden Ergebnissen.

– Vergleichen Sie die Größe der Belegschaft Ihres Unternehmens mit der in der Umfrage ermittelten Größe der Belegschaft.

– Überprüfen Sie die SOC-Personalstärke im Vergleich zum Wachstum Ihres Unternehmens im Laufe der Zeit.

– Bewerten Sie die Fähigkeiten Ihres SOC im Vergleich zu den in dieser Umfrage als allgemein vorhanden angegebenen, um das zu entwickeln, was Ihnen fehlt.

– Vergleichen Sie, was die Umfrageteilnehmer häufig auslagern, mit dem, was Ihr Unternehmen auslagert, um zu beurteilen, ob es eine Möglichkeit gibt, Fähigkeiten auszulagern oder wieder ins Haus zu holen.

– Vergewissern Sie sich, dass die Trends, die für Ihr Unternehmen wichtig sind, in die richtige Richtung gehen!

– Definieren und verfolgen Sie die für Ihr Unternehmen wichtigen Kennzahlen.

– Stellen Sie sicher, dass Sie mindestens eine Kennzahl haben, die den Wert Ihres SOC darstellt.

– Erkunden Sie die „Technologie: Was wird gut bewertet?“, um zu sehen, wie Ihr Unternehmen im Vergleich zu anderen Unternehmen abschneidet.

– Vergleichen Sie Ihre Technologieimplementierung mit dem, was andere Organisationen implementiert haben.

– Stellen Sie die folgenden schwierigen Fragen:

– Investieren Sie immer noch nur in Technologien, die die meisten anderen Organisationen bereits erfolgreich in die Produktion überführt haben?

– Wenn Sie eine Technologie für Ihr SOC kaufen, haben Sie dann einen Plan, wie Sie sie in der Produktion einsetzen können?

– Berücksichtigen Sie die Effektivität des SOC bei der Budgetierung seiner Ressourcen?

– Stellen Sie sicher, dass Ihre Organisationsleitung auf die SOC-Leitung hört, wenn es wichtig ist!

– Behalten Sie Ihre Metriken im Auge!