Der Aufbau des besten SOC erfordert strategisches Denken

Ihr Sicherheitsteam ist also bereit, sein Security Operations Center (SOC) zu erweitern, um die Sicherheitsanforderungen Ihres Unternehmens besser erfüllen zu können. Das sind gute Nachrichten. Es gibt jedoch einige sehr wichtige strategische Fragen, die beantwortet werden müssen, wenn Sie ein möglichst effektives SOC aufbauen und einige der häufigsten Probleme vermeiden wollen, denen Teams jeder Größe begegnen können.

Der Gartner® Report SOC Model Guide, ist eine hervorragende Ressource, um zu erfahren, wie Sie die richtigen Fragen zu Ihren Sicherheitsanforderungen stellen und was zu tun ist, wenn diese Fragen beantwortet sind.

Frage 1: Welches Modell ist das richtige für Sie?

Es gibt verschiedene Möglichkeiten, ein effektives SOC aufzubauen. Und auch wenn einige komplizierter (vielleicht sogar unerschwinglich) sind als andere, so hilft es Ihnen doch, Ihre Anforderungen und Ressourcen von Anfang an zu kennen, um diese wichtige erste Entscheidung zu treffen.

Gartner drückt es folgendermaßen aus:

„Ein SOC-Modell definiert eine Strategie für den unterschiedlichen Einsatz von internen Teams und externen Dienstleistern beim Betrieb eines SOC. Es stellt sicher, dass alle Rollen, die für den Betrieb eines SOC erforderlich sind, denjenigen zugewiesen werden, die für die Erfüllung der damit verbundenen Aufgaben am besten geeignet sind. Mit einem effektiven SOC-Modell können SRM-Führungskräfte Ressourcen auf der Grundlage von Geschäftsprioritäten, verfügbaren Fähigkeiten und Budgets zuweisen ...“

Es gibt effektiv drei Möglichkeiten, ein SOC aufzubauen: intern, extern und hybrid. In dem Bericht heißt es dazu:

„Die Entscheidung für ein hybrides SOC ist eine Möglichkeit, die Fähigkeiten zu erweitern und gleichzeitig die Größe und Kosten zu kontrollieren. Ein hybrides SOC ist ein SOC, in dem mehr als ein Team, sowohl intern als auch extern, eine Rolle bei den Aktivitäten spielt, die für einen ordnungsgemäßen SOC-Betrieb erforderlich sind. Die Frage, welche Teams, Rollen, Aufgaben und Aktivitäten am besten intern bleiben oder ausgelagert werden sollten, ist komplex. Der Aufbau eines SOC-Modells hilft Ihnen bei der Beantwortung dieser Frage und stellt sicher, dass ein hybrides SOC gut ausbalanciert ist.“

Frage 2: Wer macht was?

Nehmen wir an, Ihre Organisation entscheidet sich für einen hybriden Ansatz. Die nächste Frage, die Sie sich stellen müssen, lautet: Welche Aufgaben lagere ich aus und welche behalte ich intern? Um die Anforderungen Ihres Unternehmens zu verstehen und herauszufinden, ob interne oder externe Partner die beste Lösung sind, müssen Sie sich intensiv mit dem Thema auseinandersetzen.

Glücklicherweise hat Gartner einige Empfehlungen. Aus dem Bericht:

Gartner sagt „Einige SOC-Aufgaben sind strategisch, wie z. B. die Aufgaben des Senior Investigators, des Incident Response Managers und des Red Team Testers. Sie werden oft am besten von internen Mitarbeitern ausgeführt, die die Anforderungen des Unternehmens und dessen Sicherheitsprobleme verstehen.

„Andere SOC-Aufgaben sind taktischer Natur, wie z. B. das Erstellen von Erkennungsinhalten für gängige Angriffe. Sie werden in der Regel am besten von einem größeren externen Team durchgeführt, das effizienter, in größerem Maßstab und über längere Zeiträume agieren kann.“

Frage 3: Wie sorgen wir dafür, dass alles reibungslos läuft?

Sobald Sie Ihr SOC-Modell ausgewählt und Ihr Team zusammengestellt haben, ist es wichtig, die Zusammenarbeit der internen und externen Partner zu überwachen und darauf zu reagieren. Nehmen wir an, Sie sind den Empfehlungen von Gartner gefolgt und haben Ihre taktischen Anforderungen sowie einige hochspezifische Kompetenzen ausgelagert und Ihre strategischen Denker im Unternehmen behalten. Dann müssen Sie für die Zusammenarbeit der Teams eine Möglichkeit finden, die ebenso dynamisch ist wie die Umgebung, die sie schützen möchten.

Gartner rät diesbezüglich Folgendes:

„Sorgen Sie für klare Abgrenzungen zwischen den für die Ziele zuständigen Personen, aber stellen Sie sicher, dass ein gemeinsames Bewusstsein vorhanden ist. Eine Herausforderung bei hybriden Modellen, bei denen verschiedene Anbieter oder Teams mit der Bearbeitung von Zielen beauftragt werden, ist, dass es schwierig sein kann, eine ergebnisorientierte Denkweise zu vermitteln. Ein externer Anbieter oder ein internes Team hat oft einen „Tunnelblick“ und konzentriert sich nur auf sein eigenes, individuelles Ziel. Möglicherweise verliert es das Gesamtbild der SOC-Leistung aus den Augen. Sie müssen sicherstellen, dass sich jeder Anbieter oder jedes Team seiner Auswirkungen auf die angrenzenden Ziele bewusst ist, nicht nur auf die eigenen.“

Nur weil verschiedene Teams relativ unterschiedliche Ziele haben, heißt das nicht, dass sie isoliert voneinander agieren sollten. Um ein SOC aufzubauen, das gut funktioniert und gemeinsam wachsen kann, muss sichergestellt werden, dass interne und externe Teammitglieder das große Ganze sehen und die Fähigkeiten und Grenzen der anderen Teammitglieder verstehen.

Es ist nicht einfach, ein SOC von Grund auf neu aufzubauen. Und ohne ernsthafte strategische Überlegungen vor der Zusammenstellung des Teams wird es noch schwieriger. Machen Sie sich also mit Ihren individuellen Anforderungen, den allgemeinen Anforderungen an ein SOC-Team, Ihren Ressourcen und den Erwartungen Ihres Unternehmens vertraut, bevor Sie Ihr eigenes A-Team aus erfahrenen Sicherheitsexperten zusammenstellen.

Weitere Informationen zu SOC-Modellen finden Sie hier im Gartner SOC Model Guide.

Gartner, SOC Model Guide, Eric Ahlm, Mitchell Schneider, Pete Shoard, 18. Oktober 2023

GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und werden hier mit Genehmigung verwendet. Alle Rechte vorbehalten.