HPE-Report: Großteil aller Security Operations Centers erfüllt Erwartungen nicht
Schlagkraft von SOCs oft mangelhaft
Im aktuellen "State of Security Operations Report 2017" bemängelt Hewlett Packard Enterprise (HPE) den Reifegrad von Cyber-Abwehrzentren (Security Operations Center, SOCs). 82 Prozent der SOCs genügten den an sie gestellten Anforderungen nicht, so der Report, über ein Viertel (27 Prozent) hätten nicht einmal ausreichende Security-Monitoring-Lösungen im Einsatz.
Für den Report, verantwortet von HPE Security Intelligence and Operations Consulting (SIOC), hat der IT-Anbieter laut eigenen Angaben weltweit rund 140 SOCs untersucht. Als Methode diente HPEs Security Operations Maturity Model (SOMM), das die Mitarbeiter, Prozesse, Technik und Geschäftsfähigkeit eines SOCs auf einer Skala von 0 bis 5 bewertet (0 = ungenügend, 5 ist die Bestnote). Für Unternehmens-SOCs erachten die HPE-Spezialisten einen SOMM-Wert von 3 als genügend, MSSPs (Managed Security Service Provider) sollten einen Wert zwischen 3 und 4 anstreben.
Doch 82 Prozent der überprüften SOCs erfüllten laut dem Report diese Kriterien nicht und hinken damit der Bedrohungslage hinterher. Zwar habe sich die Lage damit gegenüber dem Vorjahr um drei Prozentpunkte verbessert, die meisten Unternehmen kämpften jedoch nach wie vor mit Fachkräftemangel, Dokumentierung und Implementierung der Prozesse. Die Unternehmen seien deshalb für den Angriffsfall nicht ausreichend gewappnet.
"Der diesjährige Report zeigt, dass Unternehmen zwar viel in Sicherheit investieren und dabei neue Prozesse und Technologie einführen", so Matthew Shriner, Vice President Security Professional Services bei HPE. "Sie verlieren dabei aber das große Ganze aus dem Blick und bleiben daher verwundbar gegenüber den schnellen und fortschrittlichen Methoden heutiger Angreifer."
"Erfolgreiche Cyber-Abwehrzentren zeichnen sich dadurch aus, dass sie einen ausbalancierten Security-Ansatz verfolgen, der die richtigen Menschen, Prozesse und Technologien kombiniert", so Shriner weiter. "Außerdem nutzen sie Automation, Analyseverfahren, Echtzeit-Monitoring und hybride Arbeitsmodelle, um ein ausgereiftes und reproduzierbares Cyber-Verteidigungsprogramm zu entwickeln."
Die wesentlichen Ergebnisse des Reports:
* Der Reifegrad eines SOCs leidet, wenn die Programme nur auf Verfolgung von Angriffen ausgerichtet sind. Die Implementierung sogenannter "Hunt-Teams“, die nach unbekannten Bedrohungen suchen, ist in der Sicherheitsbranche ein Trend. Unternehmen, die diese Teams zusätzlich zu ihren bestehenden Strukturen zur Echtzeit-Überwachung einsetzen, konnten ihre Effektivität verbessern - doch Programme, die sich hauptsächlich auf solche Hunt-Teams konzentrieren, haben einen gegenteiligen Effekt, warnt HPE.
* Vollständige Automation ist ein unrealistisches Ziel. Der Fachkräftemangel in der Sicherheitsbranche bleibe das wichtigste Hindernis für SOC-Betreiber und mache Automation zu einer wichtigen Komponente für erfolgreiche SOCs. Dennoch erfordere die Lage nach wie vor Menschen, die Bedrohungen untersuchen, und die Risikobewertung benötige menschlichen Verstand. Darum sei es für Unternehmen sehr wichtig, die Balance aus Automation und gutem Personal zu finden.
* Ein klarer Fokus und Ziele sind wichtiger als die Unternehmensgröße: Es gibt laut der HPE-Analyse keine Korrelation zwischen der Größe eines Unternehmen und der Leistungsfähigkeit seines Abwehrzentrums. Stattdessen hätten Unternehmen, die Sicherheit als Wettbewerbsvorteil sehen oder sich dadurch enger mit ihrer Branche vernetzen, oft die ausgereiftesten SOCs.
* Hybride Lösungen und Personalmodelle steigern die Effektivität. Unternehmen, die ihr Risiko-Management intern betreuen und mit externen Ressourcen skalieren, etwa durch Co-Staffing oder In-Sourcing über MSSPs, können laut den HPE-Spezialisten ihren SOC-Reifegrad steigern und Qualifikationslücken schließen.
Empfehlungen
Um effektive SOCs als Abwehr aufzubauen, empfiehlt HPE die folgenden Maßnahmen:
* Die Grundlagen meistern: Risikoidentifikation, Erkennung von Sicherheitsvorfällen und die Reaktion darauf seien die Grundlagen eines effektiven Security-Operations-Programms und sollten vor neuen Methoden wie etwa Hunt-Teams zum Einsatz kommen.
* Automation von Aufgaben, wo es möglich ist, etwa bei der Reaktion auf Angriffe (Incident Response) oder der Datensammlung und -korrelation, um den Fachkräftemangel in den Griff zu bekommen. Gleichzeitig müsse ein Unternehmen verstehen, dass es viele Prozesse gibt, die menschliches Eingreifen benötigen, und eine entsprechende Personalplanung betreiben.
– Regelmäßige Bewertung der Risiko-Management-, Sicherheits- und Compliance-Vorgaben, um die Definition der Sicherheitsstrategie und Ressourcenzuteilung zu unterstützen.
* Unternehmen, die ihre Sicherheitsfähigkeiten ergänzen wollen, aber keine Mitarbeiter einstellen können, sollten eine hybride Personalplanungs- und Betriebsstrategie in Betracht ziehen, die interne Ressourcen wie auch Outsourcing an einen Dienstleister umfasst.
Weitere Informationen finden sich unter www.hpe.com. Der Report ist zu finden unter hpe.com/software/stateofsecops.
Lesen Sie mehr zum Thema
