HPE-Report kritisiert mangelnde Schlagkraft von Security Operations Centern

Verfasst von ictk am 20.01.2017 - 08:41

Hewlett Packard Enterprise (HPE) kritisiert im gerade publizierten "State of Security Operations Report 2017" den Reifegrad von Cyber-Abwehrzentren (Security Operations Center, SOCs). 82 Prozent der SOCs genügten demnach den an sie gestellten Anforderungen nicht, über ein Viertel (27 Prozent) hätten nicht einmal ausreichende Security-Monitoring-Lösungen im Einsatz.

Für den Report hat HPE Security Intelligence and Operations Consulting (SIOC) laut eigenen Angaben weltweit rund 140 SOCs untersucht. Als Methode diente HPEs Security Operations Maturity Model (SOMM), das die Mitarbeiter, Prozesse, Technik und Geschäftsfähigkeit eines SOCs auf einer Skala von 0 bis 5 bewertet (0 = ungenügend, 5 ist die Bestnote). Für Unternehmens-SOCs erachten die HPE-Spezialisten einen SOMM-Wert von 3 als genügend, MSSPs (Managed Security Service Provider) sollten einen Wert zwischen 3 und 4 anstreben.

Doch 82 Prozent der überprüften SOCs erfüllten gemäss dem Report diese Kriterien nicht und hinken damit der Bedrohungslage hinterher. Zwar habe sich die Lage damit gegenüber dem Vorjahr um drei Prozentpunkte verbessert, die meisten Unternehmen kämpften jedoch nach wie vor mit Fachkräftemangel, Dokumentierung und Implementierung der Prozesse. Die Unternehmen seien deshalb für den Angriffsfall nicht ausreichend gewappnet.

Die wesentlichen Ergebnisse des Reports:

* Der Reifegrad eines SOCs leidet, wenn die Programme nur auf Verfolgung von Angriffen ausgerichtet sind. Die Implementierung sogenannter "Hunt-Teams“, die nach unbekannten Bedrohungen suchen, ist in der Sicherheitsbranche ein Trend. Unternehmen, die diese Teams zusätzlich zu ihren bestehenden Strukturen zur Echtzeit-Überwachung einsetzen, konnten ihre Effektivität verbessern – doch Programme, die sich hauptsächlich auf solche Hunt-Teams konzentrieren, haben einen gegenteiligen Effekt, warnt HPE.

* Vollständige Automation ist ein unrealistisches Ziel. Der Fachkräftemangel in der Sicherheitsbranche bleibe das wichtigste Hindernis für SOC-Betreiber und mache Automation zu einer wichtigen Komponente für erfolgreiche SOCs. Dennoch erfordere die Lage nach wie vor Menschen, die Bedrohungen untersuchen, und die Risikobewertung benötige menschlichen Verstand. Darum sei es für Unternehmen sehr wichtig, die Balance aus Automation und gutem Personal zu finden.

* Ein klarer Fokus und Ziele sind wichtiger als die Unternehmensgrösse: Es gibt laut der HPE-Analyse keine Korrelation zwischen der Grösse eines Unternehmen und der Leistungsfähigkeit seines Abwehrzentrums. Stattdessen hätten Unternehmen, die Sicherheit als Wettbewerbsvorteil sehen oder sich dadurch enger mit ihrer Branche vernetzen, oft die ausgereiftesten SOCs.

* Hybride Lösungen und Personalmodelle steigern die Effektivität. Unternehmen, die ihr Risiko-Management intern betreuen und mit externen Ressourcen skalieren, etwa durch Co-Staffing oder In-Sourcing über MSSPs, können laut den HPE-Spezialisten ihren SOC-Reifegrad steigern und Qualifikationslücken schliessen.

Um effektive SOCs als Abwehr aufzubauen, empfiehlt HPE die folgenden Maßnahmen:

* Die Grundlagen meistern: Risikoidentifikation, Erkennung von Sicherheitsvorfällen und die Reaktion darauf seien die Grundlagen eines effektiven Security-Operations-Programms und sollten vor neuen Methoden wie etwa Hunt-Teams zum Einsatz kommen.

* Automation von Aufgaben, wo es möglich ist, etwa bei der Reaktion auf Angriffe (Incident Response) oder der Datensammlung und -korrelation, um den Fachkräftemangel in den Griff zu bekommen. Gleichzeitig müsse ein Unternehmen verstehen, dass es viele Prozesse gibt, die menschliches Eingreifen benötigen, und eine entsprechende Personalplanung betreiben.

* Regelmässige Bewertung der Risiko-Management-, Sicherheits- und Compliance-Vorgaben, um die Definition der Sicherheitsstrategie und Ressourcenzuteilung zu unterstützen.

* Unternehmen, die ihre Sicherheitsfähigkeiten ergänzen wollen, aber keine Mitarbeiter einstellen können, sollten eine hybride Personalplanungs- und Betriebsstrategie in Betracht ziehen, die interne Ressourcen wie auch Outsourcing an einen Dienstleister umfasst.

hpe.com/software/stateofsecops