Anfang 2022 gab Splunk beim Security-Forschungs- und -Beratungsunternehmen Securosis eine Untersuchung zur Zukunft des Sicherheitsbetriebs bzw. des Security Operations Center in Auftrag. Daraus entstanden ist der Bericht mit dem Titel "SOC 2025: The Future of Security Operations Centers", in den Securosis Analyst und President Mike Rothman, der inzwischen als Geschäftsführer bei Techstrong Research verantwortlich zeichnet, diverse Einblicke aus zuvor von ihm veröffentlichten Blogs einfließen ließ. Patrick Coughlin, VP of Go To Market Strategy & Specialization bei Splunk und ehemaliger CEO von TruSTAR, hatte jüngst Gelegenheit, im Gespräch mit Mike Rothman den Status quo der Sicherheitslandschaft, Entwicklungen rund um das Security Operations Center (SOC) und das Potenzial von Daten in diesem Kontext auszuleuchten und mit dem Experten zu eruieren, wo er das SOC in den nächsten fünf Jahren sieht. Einige der Highlights aus der Diskussion sowie aus Rothmans Bericht haben wir im Folgenden für euch zusammengefasst.
Von Personalmangel und Prozessstrukturen bis zur Technologie – die Herausforderungen, vor denen Unternehmen heute im Security-Kontext stehen, dürften inzwischen hinreichend bekannt sein. Hinzu kommen kontinuierlich wachsende Angriffsflächen und höchst raffiniert getarnte Angreifer, die Sicherheitsthemen immer stärker ins Blickfeld rücken lassen. So steht die Arbeit der Security-Teams zunehmend unter Beobachtung, was sich angesichts des anhaltenden Fachkräftemangels immer öfter in "Abnutzungserscheinungen" der Betroffenen niederschlägt. Dass viele Unternehmen in den vergangenen fünf Jahren kaum nennenswert in neue Tools für sie investiert haben, kommt erschwerend hinzu. Denn komplexes Tooling und damit einhergehende Silostrukturen auch im Prozess erschweren es zusehends, Bedrohungen aufzuspüren, zu untersuchen und auf sie zu reagieren.
Größere Aufmerksamkeit für Sicherheitsthemen bedeutet: Fragen und Erwartungen betreffend der eigenen Resilienz in diesem Kontext rücken inzwischen auch immer mehr in den Fokus der Unternehmensführung. So gilt es für Security-Verantwortliche, die Ergebnisse ihrer Arbeit und den Wert, den ihr Team für das Unternehmen liefert, klar zu definieren und zu kommunizieren. Dies in einer Sprache, die das Business versteht: den durch sie generierten ROI.
Bedeutende Entwicklungen sind zudem in Sachen Security-Tooling festzustellen. Neben tiefergehenden Analysemöglichkeiten hält hier in den vergangenen Jahren insbesondere auch Automatisierung zunehmend Einzug. Für das SOC böte sie wichtige Potenziale für Verbesserungen, wird bislang jedoch noch nicht weitreichend genug genutzt – dies womöglich auch, weil dafür in der Regel eine engere Koordination mit anderen Funktionsbereichen bzw. Teams vonnöten ist. Und genau hierin liegt auch eine der Kernanforderungen. Security muss teamübergreifend angegangen werden: Das SOC übernimmt die Erkennung und Untersuchung von Incidents, die Behebung erfolgt funktionsübergreifend. Das entscheidende Bindeglied, das Teams und Prozesse dabei zusammenbringt und die Weiterentwicklung des SOC ermöglicht, bilden dabei Daten.
Dies bedeutet auch, dass Daten wie auch Telemetrie zu Infrastrukturservices und Anwendungen in den Einfluss- und bisweilen auch Kontrollbereich des SOC gelangen. Security und Observability rücken also zusammen, da die Datenschichten der entsprechenden Systembereiche ineinander übergehen.
Nie zuvor standen Security-Teams Daten in einer Menge und Vielfalt zur Verfügung wie heute. Dadurch werden differenzierte Use Cases möglich, die auf Grundlage selektiver Teilmengen aus dem Gesamtbestand an Unternehmensdaten spezifische Anforderungen adressieren. Dies jedoch nur mit passendem Tooling, das mit aktuellen Entwicklungen Schritt hält.
Die Cloud-Plattform von Splunk vereint hierzu fortschrittliche Analyse-Features für das SOC mit der Fähigkeit, Security teamübergreifend anzugehen und entsprechend zu stärken. Flankiert durch neue Erkennungsmethoden können Security-Teams dabei zudem potenziell weniger risikobehaftete Signale korrelieren und so zu aussagekräftigen Warnmeldungen zusammenführen, die auch wirklich ihrer Aufmerksamkeit bedürfen. Dies beschleunigt nicht nur die Erkennung, sondern entlastet auch ihre ohnehin knapp bemessenen Personalressourcen.
Allerdings: Daten und ihre Analyse können nur zu mehr Sicherheit betragen, wenn die daraus gewonnenen Erkenntnisse auch aktiv genutzt werden. Genau hier kommen die Potenziale ins Spiel, die sich dem SOC durch Orchestrierung und Automatisierung eröffnen: Es gilt, Abläufe soweit wie möglich zu automatisieren und Strategien für die häufigsten Szenarien in Playbooks festzuhalten und diese iterativ weiterzuentwickeln.
Laut Mike Rothman und Patrick Coughlin sieht die Zukunft des SOC durchaus spannend aus. Hierzu nennen sie etwa folgende Entwicklungen:
Noch mehr spannende Einblicke hierzu erhaltet ihr im vollständigen Bericht, den ihr euch hier herunterladen könnt. Nicht weniger empfehlenswert sind aber auch die weiteren Themen aus dem Gespräch von Mike Rothman und Patrick Coughlin. So etwa die Ausführungen der Experten zur Zukunft von SIEM-Tools, und der Umsetzung des MITRE ATT&CK Framework, zur Frage, wie Security-Teams in einem virtuellen SOC agieren können, und welche Use Cases die Zusammenführung von Security, IT und DevOps eröffnet.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die in diesem Blog-Artikel verwendeten Bilder stammen aus dem Bericht "SOC 2025: The Future of Security Operations Centers".
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.