De belangrijkste redenen voor het opzetten van een Security Operations Center (SOC) zijn het versterken van de cyberbeveiliging, het mogelijk maken van snellere detectie en respons en het verkrijgen van een concurrentievoordeel. Interessant is dat ondanks de toenemende vraag naar geautomatiseerde cyberbeveiligingsoplossingen, bedrijven voor belangrijke beslissingen vertrouwen op bekwame beveiligingsprofessionals, omdat menselijke expertise essentieel blijft voor effectief beveiligingsbeheer.
Een SOC is een speciale organisatie-eenheid die verantwoordelijk is voor het continu monitoren en beveiligen van de IT-infrastructuur van een bedrijf. De kerntaak is het proactief detecteren, analyseren en reageren op cyberbeveiligingsbedreigingen. Om de belangrijkste drijfveren, strategische prioriteiten en potentiële uitdagingen bij de planning en implementatie van SOC’s in kaart te brengen, heeft Kaspersky een uitgebreid wereldwijd onderzoek uitgevoerd onder senior IT-beveiligingsspecialisten, managers en directeuren van bedrijven met 500 of meer werknemers.
Plannen voor SOC
Alle deelnemers werken zonder een Security Operations Center (SOC), maar hebben plannen om er in de nabije toekomst een op te richten. Het onderzoek omvat 16 landen in APAC, META, LATAM, Europa en Rusland en biedt waardevolle inzichten in de opkomende trends en best practices in SOC-ontwikkeling wereldwijd.
Uit de onderzoeksresultaten blijkt dat 50% van de bedrijven van plan is SOC’s op te zetten, voornamelijk om hun cyberbeveiliging te versterken, en dat 45% gemotiveerd is door de noodzaak om steeds geavanceerdere en gevaarlijkere bedreigingen aan te pakken.
Secundaire drijfveren zijn onder meer budgetoptimalisatie, de noodzaak van snellere detectie en respons, en de uitbreiding van software, eindpunten en gebruikersapparaten – factoren die om meer uitgebreide en gelaagde beveiligingsmaatregelen vragen. Deze worden door 41% van de organisaties genoemd. Daarnaast streeft 40% naar een betere bescherming van vertrouwelijke informatie, wil 39% voldoen aan wettelijke vereisten en verwacht een derde (33%) dat SOC-mogelijkheden een concurrentievoordeel opleveren. Grotere ondernemingen noemen elk van deze redenen vaker, wat een weerspiegeling is van de grotere operationele en wettelijke druk waaronder zij staan.
Continue monitoring wordt de belangrijkste SOC-vereiste
Van de belangrijkste functies die organisaties willen uitbesteden, staat 24/7 beveiligingsmonitoring met 54% op de eerste plaats. Deze 24-uursbewaking maakt vroegtijdige detectie van afwijkingen mogelijk, voorkomt escalatie en houdt de cyberweerbaarheid in realtime in stand. Deze vraag benadrukt een strategische behoefte aan proactief risicobeheer, aangezien organisaties zich willen verdedigen tegen aanhoudende bedreigingen die op elk moment kunnen toeslaan.
Bedrijven die van plan zijn SOC-activiteiten volledig uit te besteden, tonen meer interesse in het toepassen van ‘lessons learned’-methodologieën, terwijl bedrijven die interne SOC’s ontwikkelen zich meer richten op toegangsbeheer om een strengere controle te behouden.
Menselijke expertise bepaalt de keuze voor SOC-technologie
Hoewel SOC’s gebruikmaken van geavanceerde technologie, blijkt uit de keuzes van organisaties dat menselijke analisten erg belangrijk zijn. De drie meest gekozen technologieën – Threat Intelligence Platforms (48%), Endpoint Detection and Response (42%) en Security Information and Event Management-systemen (40%) – zijn geavanceerde oplossingen die gegevensverzameling automatiseren en de operationele belasting verminderen, maar ze zijn sterk afhankelijk van bekwame beveiligingsprofessionals die cruciale context bieden, complexe bevindingen interpreteren en de uiteindelijke beslissing nemen bij het begeleiden van passende reacties.
Andere gekozen oplossingen zijn onder meer Extended Detection and Response (38%), Network Detection and Response (37%) en Managed Detection and Response (33%). Grote ondernemingen hebben de neiging om meer technologieën toe te passen (gemiddeld 5,5 per SOC), terwijl kleinere ondernemingen er minder integreren (3,8).
“Om een SOC succesvol op te zetten, moeten bedrijven niet alleen prioriteit geven aan de juiste mix van technologieën, maar ook aan een zorgvuldige planning van processen, duidelijke doelstellingen en een effectieve verdeling van middelen. Goed gedefinieerde workflows en voortdurende verbetering zijn essentieel om ervoor te zorgen dat menselijke analisten zich kunnen concentreren op kritieke taken, waardoor het SOC een proactief en flexibel onderdeel van hun cyberbeveiligingsstrategie wordt”, aldus Roman Nazarov, Head of SOC Consulting bij Kaspersky.
