Probleme gegenwärtiger SOCs

Die Studie identifiziert vier Probleme gegenwärtiger SOCs:

Sichtbarkeit: 65 Prozent der Befragten sehen in der mangelnden Sichtbarkeit der IT-Sicherheitsinfrastruktur das grösste Hindernis für den Erfolg ihres SOCs. Für 69 Prozent ist die mangelnde Sichtbarkeit des Netzwerkverkehrs hauptverantwortlich für die Ineffektivität des SOCs.

Bedrohungssuche: Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators of Compromise (IOCs) verfolgen müssen, zu viel internen Datenverkehr mit den Anzeigen für einen Angriff vergleichen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen und zu viele Fehlalarme auftreten. Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als ineffizient.

Interoperabilität: SOCs weisen keine hohe Interoperabilität mit den Security-Intelligence-Tools ihrer Organisation auf. Problematisch ist auch die Unfähigkeit, Incident-Response-Services bereitzustellen, etwa Services zur Abschwächung von Angriffen und für forensische Ermittlungen.

Alignment: SOCs sind nicht (49 Prozent) oder nur teilweise (32 Prozent) an den Geschäftsanforderungen ausgerichtet. Zudem reicht das Budget des SOCs für das notwendige Personal, die Ressourcen und die Investitionen in Technologie nicht aus. Im Schnitt wird weniger als ein Drittel des IT-Sicherheitsbudgets für die Finanzierung des SOCs verwendet.

«Es gibt eine Reihe von Faktoren, die zur Ineffektivität des SOCs beitragen - etwa die mangelnde Transparenz der IT-Sicherheitsinfrastruktur -, aber der Faktor, der hervorsticht, ist das Ausmass des Burn-outs der Analysten aufgrund ihrer hohen Arbeitsbelastung und des enormen Drucks, dem sie ausgesetzt sind», betont Larry Ponemon, Gründer des Ponemon Institutes. «Es ist klar, dass dies ein kritischer Bereich ist, der angegangen werden muss, um die Wirksamkeit des SOCs zu verbessern.»