HPE-onderzoek toont security-tekortkomingen aan bij security operations centers

Hewlett Packard Enterprise (HPE) publiceert vandaag zijn jaarlijkse State of Security Operations Report 2017, nu voor de vierde keer. Het rapport bestaat uit uitvoerige analyses over de effectiviteit van security operations centers (SOC’s) en best practices om risico’s te reduceren in het zich continu ontwikkelende landschap van cyber security. Met de toegenomen druk om snel te innoveren en veiligheid mee te laten groeien met de bedrijfsdoelen, vormt een SOC de basis voor de manier waarop organisaties gevoelige informatie beschermen, dreigingen detecteren en hierop reageren. Het onderzoek van HPE toont echter aan dat de meerderheid van de SOC’s het maturity level niet halen, waardoor zij kwetsbaar zijn voor aanvallen.

HPE Security Intelligence and Operations Consulting (SIOC) onderzocht bijna 140 SOC’s via meer dan 180 assessments wereldwijd. Elk SOC wordt beoordeeld aan de hand van het HPE Security Operations Maturity Model (SOMM), waarbij de mensen, processen, technologie en bedrijfsmogelijkheden van de SOC worden geëvalueerd. Om bestaande en nieuwe dreigingen effectief te kunnen monitoren, hebben moderne bedrijven een SOC nodig dat goed ontworpen is, subjectief geëvalueerd wordt en flexibel is. Het onderzoek toont echter aan dat maar liefst 82 procent van de SOC’s niet voldoet aan deze criteria. Hierdoor zitten veel SOC’s onder het optimale maturity level. Hoewel dit een verbetering is van drie procent ten opzichte van vorig jaar, worstelt het merendeel van de organisaties nog steeds met een gebrek aan personeel met de juiste kennis en kunde. Daarbij zijn deze bedrijven niet in staat de meest effectieve processen te implementeren en documenteren.

De belangrijkste uitkomsten van het onderzoek zijn:
• Het niveau van SOC’s (maturity level) verslechtert door hunt-only programma’s. De implementatie van hunt-teams die zoeken naar onbekende dreigingen is een grote trend geworden in de security-industrie. Hoewel het toevoegen van hunt-teams aan bestaande real-time monitoringsmogelijkheden organisaties kan versterken, hebben programma’s die zich alleen focussen op hunt-teams een beduidend minder effect.
• Alles automatiseren is onrealistisch. Een tekort aan securitytalent blijft de grootste zorg bij security operations. Hierdoor is automatisering van security een essentieel onderdeel geworden voor ieder succesvol SOC. Echter, om te kunnen omgaan met geavanceerde dreigingen, zijn ook mensen nodig om enerzijds onderzoek te doen en anderzijds risicobeoordelingen te kunnen doen. Dit maakt een juiste balans tussen automatisering en personeelsbeleid noodzakelijk.
• Focus en doelen zijn belangrijker dan grootte van een organisatie. Er is geen link tussen de grootte van een organisatie en de mate van maturity van zijn cyberverdedigingscentrum. Daarentegen maken organisaties die security gebruiken als onderscheidende factor, voor marktleiderschap of voor afstemming met de industrie, een betere kans een gedegen SOC te bouwen/ontwerpen.
• Hybride IT-oplossingen en personeelsmodellen bieden meer mogelijkheden. Organisaties die risicomanagement in eigen beheer houden en opschalen met externe resources (door bijvoorbeeld gebruik te maken van managed security services providers (MSSP’s) voor co-staffing en in-sourcing) versterken hun kwaliteit en zorgen voor de benodigde skills.

Implicaties & aanbevelingen
Voor organisaties die bouwen aan hun SOC en/of deze verbeteren, is een solide fundament op basis van de juiste combinatie van mensen, processen en technologie van essentieel belang. Om organisaties te helpen dit te bereiken, heeft HPE de volgende aanbevelingen:
• Zorg dat de basics van risico-identificatie, incidentdetectie en response beheerst worden, voordat gebruik gemaakt wordt van nieuwe methodes zoals hunt-teams.
• Automatiseer taken waar mogelijk, zoals reactie-automatisering, dataverzameling en correlatie om het tekort aan vaardigheden te compenseren. Tegelijkertijd dienen organisaties te begrijpen wanneer menselijke interactie nodig is en moeten ze hun personeelsbeleid hierop aanpassen.
• Voer periodieke assessment uit van riskmanagement, security- en compliancedoelstellingen ter ondersteuning bij het definiëren van de securitystrategie en de middelen die daarvoor nodig zijn.
• Organisaties die hun beveiligingsmogelijkheden willen uitbreiden, maar niet in staat zijn om personeel aan te nemen, zouden een hybride staffing of operationele solutionstrategie moeten overwegen die zowel gebruikmaakt van interne middelen als outsourcing van een MSSP.