arrow left image Vissza

A SOC Capability Maturity Modell (SOC-CMM Model) – 3. rész

Hogyan mérhető a SOC felkészültsége? A technológiai és szolgáltatási képességek érettsége

man with monitors image

Az előző részekben áttekintettük a SOC-CMM modell működését, valamint a Business, People és Process domainek szerepét a SOC érettségének meghatározásában. A modell azonban nem áll meg a szervezeti és folyamatoldali tényezőknél: a SOC technológiai képességei és szolgáltatásportfóliója legalább ilyen meghatározó.

A SOC-CMM külön kezeli a Technology és Services domaineket, és ezeknél nemcsak érettséget (maturity), hanem képességet (capability) is mér. Ez a kettős értékelés azért fontos, mert a technológiai és szolgáltatási elemek esetében nem elég azt vizsgálni, hogy „létezik-e” egy folyamat vagy eszköz — azt is értékelni kell, hogy funkcionálisan mennyire teljes, mennyire működőképes és mennyire támogatja a SOC céljait.

Ebben a harmadik részben bemutatjuk a SOC-CMM fennmaradó két domainjét: a Technology és a Services domaineket. Ezek a domainek adják a SOC technikai gerincét, és meghatározzák, hogy a SOC mennyire képes hatékonyan detektálni, reagálni és proaktívan fellépni a fenyegetésekkel szemben.

A SOC-CMM modell felépítése: A Technológia és a Szolgáltatások domain-je
A SOC-CMM felépítése: 5 domain, 27 aspektus. Forrás: SOC-CMM®

Technology – a SOC technológiai képességei és azok érettsége

A Technology domain azt vizsgálja, hogy a SOC milyen technológiai eszközökre támaszkodik az észlelés, elemzés és reagálás során, és ezek az eszközök mennyire érettek, konfiguráltak, karbantartottak és integráltak. A technológiai érettség nem csupán arról szól, hogy „van-e SIEM vagy EDR”, hanem arról is, hogy ezek az eszközök mennyire támogatják a SOC működését, mennyire megbízhatóak, és mennyire képesek lefedni a teljes infrastruktúrát.

A Technology domain különlegessége, hogy a SOC-CMM itt maturity és capability értékelést is végez:

  • A maturity (érettség) azt mutatja meg, mennyire dokumentált, következetes és mérhető a technológia működése.
  • A capability (képesség) pedig azt, hogy az adott technológia mennyire teljes, mennyire fejlett, és mennyire támogatja a SOC céljait.

A Technology domain aspektusai:

  1. Log Monitoring: értékeli a naplóforrások lefedettségét, az adatbeolvasás (ingestion) integritását, a normalizáció és parsolás minőségét, valamint a loggyűjtő rendszer karbantartását, konfigurációját és hozzáférés-kezelését (beleértve a break-glass eljárásokat is).
  2. Network Monitoring: vizsgálja a hálózati forgalom felügyeletét, az anomáliák detektálását, a laterális mozgások felismerését és a hálózati forenzikus elemzés támogatását.
  3. Endpoint Monitoring: értékeli a végpont-szintű detekciós és reagálási képességeket, beleértve a fenyegetések megelőzését, észlelését, izolálását és a végponti telemetria minőségét.
  4. SecOps Automation: felméri a workflow-automatizációt, a playbook-szintű reagálást, az eszközök közötti orkesztrációt, az AI/ML-alapú automatizált döntéstámogatást, valamint az automatizációs rendszerek karbantartását és hozzáférés-kezelését.

A Technology domain érettsége meghatározza, hogy a SOC mennyire képes gyorsan, pontosan és megbízhatóan detektálni a fenyegetéseket — és mennyire tud lépést tartani a modern támadási technikákkal.

Services – a SOC szolgáltatási portfóliójának érettsége és teljessége

A Services domain azt vizsgálja, hogy a SOC milyen szolgáltatásokat nyújt, ezek mennyire teljesek, mennyire dokumentáltak, és mennyire képesek lefedni a vállalat teljes biztonsági igényeit. A szolgáltatási érettség nemcsak a működés minőségét határozza meg, hanem azt is, hogy a SOC mennyire képes reagálni a változó fenyegetési környezetre.

A Services domain is maturity + capability értékelést kap, hiszen a szolgáltatások esetében különösen fontos, hogy ne csak létezzenek, hanem valóban működjenek, mérhetők legyenek és értéket teremtsenek.

A Services domain aspektusai:

  1. Security Monitoring: értékeli a SOC detekciós képességeit, a riasztások kezelését, a monitoring lefedettségét, az OT-monitoring támogatását és a proaktív anomáliaészlelést.
  2. Security Incident Management: vizsgálja az incidenskezelési folyamatok érettségét, a válaszidőt, az incidens-elszigetelési (containment) képességeket és a NIST IR (Incident Response) keretrendszernek való megfelelést.
  3. Forensic Analysis: felméri a mélyebb elemzési és forenzikus képességeket, beleértve a malware-elemzést, a bizonyítékgyűjtést, az idővonal-építést és a forenzikus vizsgálati eszközök érettségét.
  4. Cyber Threat Intelligence (CTI): értékeli a teljes threat intelligence életciklust (tervezés, gyűjtés, feldolgozás, elemzés, disszemináció, visszacsatolás), valamint a CTI-infrastruktúra működtetését és a TI-alapú detekció támogatását.
  5. Threat Hunting: vizsgálja a proaktív fenyegetésvadászat érettségét, a hipotézis-alapú, TI-vezérelt és ATT&CK-alapú hunting-megközelítéseket, valamint az automatizált fenyegetésvadászat támogatását.
  6. Vulnerability Management: felméri a sérülékenység-kezelési folyamatok érettségét, a szkenneléstől a priorizáláson át a javításig, beleértve a kockázatalapú döntéstámogatást is.

A Services domain érettsége határozza meg, hogy a SOC mennyire képes nemcsak reagálni, hanem proaktívan fellépni a fenyegetésekkel szemben — és mennyire tudja támogatni a vállalat teljes biztonsági életciklusát.

Esetpélda: amikor a technológiai és szolgáltatási hiányosságok visszafogják a SOC teljesítményét

Egy nagyvállalat SOC-ja modern SIEM-mel és EDR-rel rendelkezett, mégis rendszeresen észrevétlenül maradtak kritikus események. A SOC-CMM Technology és Services domain értékelése kimutatta, hogy:

  • a loggyűjtés lefedettsége hiányos volt, több kritikus rendszer nem küldött adatot,
  • a hálózati monitoring nem fedte le a belső laterális mozgásokat,
  • az incidenskezelési folyamatok nem voltak összhangban a NIST IR-keretrendszerrel,
  • a threat hunting csak ad hoc módon történt, dokumentált módszertan nélkül,
  • a CTI-adatok nem épültek be a detekciós logikába.

A technológia tehát „megvolt”, de a képességek és a szolgáltatások érettsége hiányos volt — így a SOC nem tudta betölteni a szerepét.

Összegzés

A SOC érettsége nemcsak a folyamatokon és az embereken múlik, hanem a következő tényezőkön is:

  • milyen technológiák állnak rendelkezésre,
  • ezek mennyire teljesek és megbízhatóak,
  • milyen szolgáltatásokat nyújt a SOC,
  • és ezek mennyire képesek lefedni a vállalat biztonsági igényeit.

A Technology és Services domainek érettsége határozza meg, hogy a SOC mennyire képes gyorsan, pontosan és proaktívan fellépni a fenyegetésekkel szemben — és mennyire tud valódi értéket teremteni a vállalat számára.

A SOC CMM bemutatása után felmerülhet a kérdés: hol tart a saját szervezete a kiberbiztonsági érettség terén? Ahelyett azonban, hogy a SOC-CMM önértékeléssel töltené az időt, vegye igénybe az Andrews tapasztalatát a belső SOC-ja felmérése és fejlesztése kapcsán. Szakértőink a SOC CMM alapjain segítenek a felmérésben, a célmeghatározásban és a cselekvési terv kidolgozásában.

Amennyiben nincs belső SOC-ja, de érdekli a téma, és tisztán SaaS vagy hibrid modellben gondolkodik: ismerje meg az Andrews SOCaaS szolgáltatását, és tudja meg, hogyan támogathatja a szervezete biztonságát és megfelelését!

kapcsolat

Írjon nekünk