SOC-CMM- Eine Frage für SOCs

Photo by CDC on Unsplash

Wie wir Ihrem SOC mit dem SOC-CMM auf die Sprünge helfen können. Eine direkte Bewertung und Messung der Verbesserungen im Rahmen eines KVP.

Eine Frage, welche Sie sich vielleicht nie gestellt haben. Wie bauen wir das SOC auf oder aus? 

In der heutigen Zeit, bekommt man immer die gleiche Nachricht über „noch mehr“ Cyberangriffe in allen Bereichen.

Sie wollen daher ein „Security Operation Center“ aufbauen? Oder möchten Sie Ihr SOC bewerten und ausbauen? Aber, wo fangen Sie an? Wie sind die Kriterien für ein gutes SOC?

Um diese und weitere Fragen zu beantworten, gibt es das sogenannte SOC-CMM (SOC Capability & Maturity Model).

Fakt ist, die Services, welche ein SOC bereitstellt helfen jedem Unternehmen. Wieviel Finanzen Sie auch immer für Security bereitstellen, ein SOC sollte Teil davon sein. Sie müssen die Tätigkeiten nicht unbedingt intern ausführen, denn Sie können diese Aufgaben auch extern vergeben. Oder auch aufteilen zwischen Ihrem Staff und einem externen Dienstleister, z.B. kann das Vulnerability Scannen von einem geübten Unternehmen übernommen werden. Die Steuerung kann dann aus dem SOC passieren. Und die Ergebnisse stoßen dann Prozesse wieder im SOC an.

Die Definition eines Security Operation Centers ist in Etwa: Ein SOC ist eine zentrale Einrichtung in einer Organisation mit Personen, Prozessen und Technologien um eine kontinuierliche Überwachung der Sicherheit zu gewährleisten. Aus dieser Überwachung wird auch eine Verbesserung der Sicherheitslage resultieren. Definierte und strukturierte Methoden zur Bekämpfung von Sicherheitsproblemen führen zu früherer Erkennung von Bedrohungen und liefern eine bessere Sichtweise auf z.B. die Datenflüsse im Unternehmen. Die Erkennung von Einbrüchen wird massiv angehoben, Sicherheitslücken schon vor einem Angriff aufgedeckt oder aber Fehlkonfigurationen früh erkannt.

Mit dem SOC-CMM hat man ein Mittel um den Mehrwert eines SOC zu messen und zu sehen, ob sich eine Implementation lohnt bzw. gelohnt hat. Eine Verbesserung der Qualität kann man hiermit messen und dem C-Level gegenüber glaubhaft vertreten.

Diese Bewertungen helfen die Kosten besser zu planen, die benötigten Spezialisten zu finden oder die bestehenden Strukturen zu schärfen. Man kann die verschiedenen Ressourcen besser definieren. Damit kann man Skillsets heranziehen und sieht, wo ein Mitarbeiter noch geschult werden muss, oder welche Mitarbeiter man noch benötigt. Daraus resultiert eine gute Mannschaft, welche in der Lage ist, die Aufgaben kompetent zu erledigen.

Dieses „Capability & Maturity Model“ gibt es auch als Erweiterung für CERT Teams. Mit dem „SOC-CMM for CERT“ können Sie auch ihr Incident-Response Team bewerten.

Nun, das bringt uns zur Frage was genau ein SOC macht. Oftmals wird ein SOC so genannt, weil man hier die Sicherheitskomponenten wie eine Firewall, Proxy und z.B. Virenschutz betreibt. Dies sind quasi Services, welche das SOC erbringt. Nun ist nicht genau definiert, wann ein SOC ein SOC ist. Z.B. gehört „Threathunting“ in anderen Ländern schon zu der normalen Tätigkeit von diesen Einrichtungen. In Deutschland führt dies noch ein Schattendasein. Ist ein SOC nun ein SOC, erst wenn es Threathunting betreibt, oder schon vorher? Ist ein SOC etwa auch eins, wenn die Logdaten nicht analysiert werden, sondern nur Firewall und Proxyregeln eingetragen werden? Was ist ein SOC nicht? Zum Beispiel plant ein SOC keine Security Architektur. Ein SOC macht auch keine Strategieplanung, obwohl man eine Strategieplanung benötigt um ein SOC zu betreiben.

Viele Fragen kann man so einfach nicht beantworten, allerdings hilft das SOC-CMM dabei, Ihr SOC auf eine vereinbarte Art zu bewerten.

Für weitere Fragen stehen wir die Cyberdfense ® und unsere Geschäftspartner zur Verfügung!