So weit fortgeschritten ist die SOC-Automatisierung

Security Operations Centers (SOCs) sind zu einem wichtigen Bestandteil der Cybersicherheitsvorkehrungen einer Organisation geworden. Aber um ihr volles Potenzial nutzen zu können, gibt es mehr als nur ein Hindernis. Das grösste Herausforderung ist der Mangel an Automatisierung und Orchestrierung (siehe Grafik unten), wie aus dem jüngsten SOC-Bericht des SANS Institute hervorgeht. An zweiter Stelle folgen der hohe Personalbedarf und der Mangel an Fachkräften. 

Mehrere Auslöser 

Die Teams eines SOC werden über verschiedene Wege auf ein mögliches Sicherheitsrisiko oder einen Sicherheitsvorfall aufmerksam. Am häufigsten sind es Warnungen von Endpoint Security Systems (EDR/XDR). SIEM-Tools, Benutzermeldungen, andere ungewöhnliche Aktivitäten und Informationen von Dritten sind ebenfalls wichtige Auslöser für die Incident Response. 

Threat Hunting automatisieren

Die vorhandenen Systeme müssen jedoch durch Verfahren ergänzt werden, die neue Bedrohungen aufspüren, indem neu entdeckte Indikatoren auf historische Datenrepositories angewendet werden. Die Umfrageergebnisse zeigen, dass diese Massnahmen in den meisten Fällen von den Organisationen teilweise oder sogar vollständig automatisiert werden. Dabei kommen sowohl von Herstellern bereitgestellte als auch intern entwickelte Tools zum Einsatz. Etwas mehr als ein Drittel der Befragten gab an, dass dieser Vorgang noch manuell durchgeführt wird. 

Über die Studie

Für die Studie "SANS 2024 SOC Survey: Facing Top Challenges in Security Operations“ wurden 403 Spezialisten und Manager befragt, die in einem SOC tätig sind, darunter IT-Sicherheitsanalysten, CISOs und SOC-Leiter. 334 der Befragten sind in Nordamerika ansässig. Die übrigen sind weltweit tätig, darunter auch in der Schweiz.