Ein soziotechnisches Messrahmenwerk für Netzwerk- und Sicherheitsbetriebszentren

Im Januar 2019 habe ich auf Information Security Buzz einen Artikel mit dem Titel „ Sie wollen also ein Sicherheitsstar werden?“ veröffentlicht, in dem ich mich mit dem heutigen Mangel an verfügbaren Sicherheitstalenten, der erforderlichen Ausbildung, dem typischen Arbeitstag eines SOC-Analysten, echter Arbeitsmüdigkeit und Möglichkeiten zur Steigerung der Moral von Informationssicherheitsmitarbeitern befasste. Wir haben uns außerdem mit der Studie „Ein Humankapitalmodell zur Mitigierung von Burnout bei Sicherheitsanalysten“ aus dem Jahr 2015 befasst, die das Burnout-Phänomen aus anthropologischer Sicht untersuchte. Sie konnten Forscher ausbilden und anschließend in verschiedenen Sicherheitseinsatzzentren einsetzen, um über Interviews hinaus besser zu verstehen, was die Ursachen der Erschöpfung verursacht. Sie untersuchten die Moral, die Automatisierung, die Betriebseffizienz, die Managementkennzahlen und natürlich, wie dies zum Burnout der Analysten führt. Die Studie identifizierte vier Faktoren, die sich auf die Ausbildung und den Erhalt effizienter Sicherheitsanalysten auswirken: Fähigkeiten, Ermächtigung, Kreativität und Wachstum.

Während wir die Veröffentlichung vorbereiteten, kontaktierte ich einen der Autoren der Studie, Alex Bardas , derzeit Assistenzprofessor für Informatik an der University of Kansas . Ich wollte ihm für die Recherche danken und ihm die Gelegenheit geben, zu überprüfen, wie wir die Studie dargestellt haben.

Während dieses Gesprächs erwähnte Alex, dass er an einem neuen Zuschussantrag an die National Science Foundation (NSF) für ein anderes Forschungsprojekt arbeitete. Dieser Vorschlag konzentrierte sich auf die Entwicklung eines neuen Messrahmens für Security Operation Center (SOCs), der die SOC-Leistung im Hinblick auf die Netzwerksicherheit von Unternehmen misst und validiert. Es handelt sich um eine Zusammenarbeit mit Professor Bradley Fidler vom Stevens Institute of Technology, der die langfristige Entwicklung von Netzwerkarchitekturen aus sozialer und institutioneller Perspektive untersucht. Alex fragte, ob F5 an einer Zusammenarbeit bei diesem zweijährigen Projekt interessiert wäre, und das F5 SOC stimmte begeistert zu.

Network Operations Center und Security Operations Center (NOCs/SOCs) sind zentrale Komponenten moderner Unternehmensnetzwerke. Organisationen setzen NOCs/SOCs ein, um ihre Netzwerkvorgänge zu verwalten, sich gegen Cyberbedrohungen zu verteidigen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Traditionell wird diesen Organisationen über die Schnittstelle der NOC/SOC-Metriken eine abstrakte Ansicht der Netzwerksicherheit bereitgestellt, und das NOC/SOC kommuniziert wiederum über eine Überwachungssoftware mit dem Netzwerk. Durch die Isolierung einer engen Teilmenge von „Leistungs“-Messungen, in der Regel einer Anzahl geschlossener Tickets, stellen diese Kennzahlen sowohl die Effektivität des NOC/SOC als auch die Sicherheitslage des Netzwerks selbst falsch dar. Diese Kennzahlen fördern tendenziell unproduktives Verhalten in einem NOC/SOC, verbergen potenziell grundlegende Sicherheitslücken im Netzwerk selbst und lösen destabilisierende „Right-Sizing“-Prozesse in der Kontrollorganisation aus.

Alex und sein Team möchten ein neues Mess-Framework entwickeln, das die NOC/SOC-Leistung mit der Netzwerksicherheit des Unternehmens in Einklang bringt. Sie erstellen Messgrößen, die als Stellvertreter für Faktoren wie strategische und langfristige Planung dienen und den NOC/SOC-Betreibern vor Ort die Möglichkeit bieten, lokales Wissen in Entscheidungen auf höherer Ebene einfließen zu lassen. Letztendlich wollen sie:

1. Seien Sie transformativ in der Fähigkeit, die Wirksamkeit der Sicherheit in der realen Welt zu kommunizieren,

2. Passt in bestehende NOC/SOC-Abläufe und Managementpraktiken,

3. Dient als Grundlage für eine neue Generation von Tools zur Netzwerksicherheit in Unternehmen

(was wiederum letztendlich dazu führt…)

4. Durchbrechen Sie den Teufelskreis zwischen NOC/SOC-Praktiken und Management-Entscheidungsfindung.

Indem Netzwerke, Sicherheitskomponenten und Betriebspersonal als Teil eines voneinander abhängigen Systems behandelt werden, können die Messgrößen Faktoren wie etwa offene Sicherheitslücken, strategische und langfristige Planung sowie Kundeninteressen berücksichtigen. Zudem erhalten SOC-Analysten vor Ort die Möglichkeit, lokales Wissen in Entscheidungen auf höherer Ebene einfließen zu lassen. Dies könnte potenziell einen grundlegenden Wandel in der Sicherheitslandschaft auslösen, indem es einen leistungsstarken neuen Rahmen für reale Sicherheitsbewertungen bietet.

Bisher hat ihr Forschungsteam einen akademischen Forscher in ein separates Sicherheitsoperationszentrum integriert und analysiert die Entwicklung der Schnittstellen zwischen NOC/SOC-Personal, Netzwerküberwachungssoftware und Unternehmensnetzwerkarchitektur. Sie befinden sich noch in der Anfangsphase des Projekts und unser Engagement war eher beratend als praktisch. Wir freuen uns darauf, möglicherweise einige der Hypothesenelemente aus der Studie zu testen und dem Team bei Bedarf Feedback zu geben.

Wir planen, in Zukunft regelmäßige Updates zum Forschungsprojekt zu veröffentlichen, darunter Meilensteine, erste Analysen und hoffentlich einige Ergebnisse, die Ihnen bei Ihren NOC/SOC-Abläufen hilfreich sein könnten.