Die Zukunft des Security Operations Center (SOC)

Anfang 2022 gab Splunk beim Security-Forschungs- und -Beratungsunternehmen Securosis eine Untersuchung zur Zukunft des Sicherheitsbetriebs bzw. des Security Operations Center in Auftrag. Daraus entstanden ist der Bericht mit dem Titel "SOC 2025: The Future of Security Operations Centers", in den Securosis Analyst und President Mike Rothman, der inzwischen als Geschäftsführer bei  Techstrong Research verantwortlich zeichnet, diverse Einblicke aus zuvor von ihm veröffentlichten Blogs einfließen ließ. Patrick Coughlin, VP of Go To Market Strategy & Specialization bei Splunk und ehemaliger CEO von TruSTAR, hatte jüngst Gelegenheit, im Gespräch mit Mike Rothman den Status quo der Sicherheitslandschaft, Entwicklungen rund um das Security Operations Center (SOC) und das Potenzial von Daten in diesem Kontext auszuleuchten und mit dem Experten zu eruieren, wo er das SOC in den nächsten fünf Jahren sieht. Einige der Highlights aus der Diskussion sowie aus Rothmans Bericht haben wir im Folgenden für euch zusammengefasst.

Status quo der Sicherheitslandschaft

Von Personalmangel und Prozessstrukturen bis zur Technologie – die Herausforderungen, vor denen Unternehmen heute im Security-Kontext stehen, dürften inzwischen hinreichend bekannt sein. Hinzu kommen kontinuierlich wachsende Angriffsflächen und höchst raffiniert getarnte Angreifer, die Sicherheitsthemen immer stärker ins Blickfeld rücken lassen. So steht die Arbeit der Security-Teams zunehmend unter Beobachtung, was sich angesichts des anhaltenden Fachkräftemangels immer öfter in "Abnutzungserscheinungen" der Betroffenen niederschlägt. Dass viele Unternehmen in den vergangenen fünf Jahren kaum nennenswert in neue Tools für sie investiert haben, kommt erschwerend hinzu. Denn komplexes Tooling und damit einhergehende Silostrukturen auch im Prozess erschweren es zusehends, Bedrohungen aufzuspüren, zu untersuchen und auf sie zu reagieren.

Entwicklungen rund ums SOC

Größere Aufmerksamkeit für Sicherheitsthemen bedeutet: Fragen und Erwartungen betreffend der eigenen Resilienz in diesem Kontext rücken inzwischen auch immer mehr in den Fokus der Unternehmensführung. So gilt es für Security-Verantwortliche, die Ergebnisse ihrer Arbeit und den Wert, den ihr Team für das Unternehmen liefert, klar zu definieren und zu kommunizieren. Dies in einer Sprache, die das Business versteht: den durch sie generierten ROI.

Bedeutende Entwicklungen sind zudem in Sachen Security-Tooling festzustellen. Neben tiefergehenden Analysemöglichkeiten hält hier in den vergangenen Jahren insbesondere auch Automatisierung zunehmend Einzug. Für das SOC böte sie wichtige Potenziale für Verbesserungen, wird bislang jedoch noch nicht weitreichend genug genutzt – dies womöglich auch, weil dafür in der Regel eine engere Koordination mit anderen Funktionsbereichen bzw. Teams vonnöten ist. Und genau hierin liegt auch eine der Kernanforderungen. Security muss teamübergreifend angegangen werden: Das SOC übernimmt die Erkennung und Untersuchung von Incidents, die Behebung erfolgt funktionsübergreifend. Das entscheidende Bindeglied, das Teams und Prozesse dabei zusammenbringt und die Weiterentwicklung des SOC ermöglicht, bilden dabei Daten.

Dies bedeutet auch, dass Daten wie auch Telemetrie zu Infrastrukturservices und Anwendungen in den Einfluss- und bisweilen auch Kontrollbereich des SOC gelangen. Security und Observability rücken also zusammen, da die Datenschichten der entsprechenden Systembereiche ineinander übergehen.

Daten als Kernsäule moderner Security-Methodiken

Nie zuvor standen Security-Teams Daten in einer Menge und Vielfalt zur Verfügung wie heute. Dadurch werden differenzierte Use Cases möglich, die auf Grundlage selektiver Teilmengen aus dem Gesamtbestand an Unternehmensdaten spezifische Anforderungen adressieren. Dies jedoch nur mit passendem Tooling, das mit aktuellen Entwicklungen Schritt hält.

Die Cloud-Plattform von Splunk vereint hierzu fortschrittliche Analyse-Features für das SOC mit der Fähigkeit, Security teamübergreifend anzugehen und entsprechend zu stärken. Flankiert durch neue Erkennungsmethoden können Security-Teams dabei zudem potenziell weniger risikobehaftete Signale korrelieren und so zu aussagekräftigen Warnmeldungen zusammenführen, die auch wirklich ihrer Aufmerksamkeit bedürfen. Dies beschleunigt nicht nur die Erkennung, sondern entlastet auch ihre ohnehin knapp bemessenen Personalressourcen.

Allerdings: Daten und ihre Analyse können nur zu mehr Sicherheit betragen, wenn die daraus gewonnenen Erkenntnisse auch aktiv genutzt werden. Genau hier kommen die Potenziale ins Spiel, die sich dem SOC durch Orchestrierung und Automatisierung eröffnen: Es gilt, Abläufe soweit wie möglich zu automatisieren und Strategien für die häufigsten Szenarien in Playbooks festzuhalten und diese iterativ weiterzuentwickeln.

Ausblick: Wo stehen wir in 5 Jahren?

Laut Mike Rothman und Patrick Coughlin sieht die Zukunft des SOC durchaus spannend aus. Hierzu nennen sie etwa folgende Entwicklungen:

• Anhaltende Fortschritte rund um Tools für Datenerfassung und Security werden bestehende Hürden zur Umsetzung differenzierterer Erkennungs-, Orchestrierungs- und Automatisierungsmechanismen weiter herabsetzen.
  
  
• Noch umfangreichere Möglichkeiten zum Zugriff auf Daten werden es Unternehmen ermöglichen, unabhängig vom jeweiligen Speicherort analysegestützt Erkenntnisse aus ihnen zu ziehen.
  
  
• Durch Anreicherung von Daten um Informationen aus internen und externen Quellen wird das SOC den nötigen Kontext erhalten, um höchst spezifische Fragestellungen zu adressieren und so idealerweise noch weitreichendere Automatisierungen sicher umzusetzen.
  
  
• Wo das SOC bislang noch eher eine physische Kommandozentrale bildet, dürfte es künftig eher als eine Art erweitertes Team agieren, das Methodiken aus Site Reliability Engineering (SRE) und DevOps in sich vereint. So rückt sein Fokus auf den Gesamt-Stack, für den es Erkennungsverfahren ausgestaltet, testet und implementiert, dabei Automatisierungen vorantreibt und so letztlich den manuellen Aufwand reduziert. In diesem Zuge rücken die Teams aus Security, IT und DevOps zudem kulturell wie auch im Hinblick auf ihre Arbeitsweisen enger zusammen, was zu mehr Produktivität aller Beteiligten beiträgt.

Noch mehr spannende Einblicke hierzu erhaltet ihr im vollständigen Bericht, den ihr euch hier herunterladen könnt. Nicht weniger empfehlenswert sind aber auch die weiteren Themen aus dem Gespräch von Mike Rothman und Patrick Coughlin. So etwa die Ausführungen der Experten zur Zukunft von SIEM-Tools, und der Umsetzung des MITRE ATT&CK Framework, zur Frage, wie Security-Teams in einem virtuellen SOC agieren können, und welche Use Cases die Zusammenführung von Security, IT und DevOps eröffnet.

^{*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.}

^{Die in diesem Blog-Artikel verwendeten Bilder stammen aus dem Bericht "SOC 2025: The Future of Security Operations Centers".}