A SOC Capability Maturity Modell (SOC-CMM Model) – 3. rész
Hogyan mérhető a SOC felkészültsége? A technológiai és szolgáltatási képességek érettsége

Az előző részekben áttekintettük a SOC-CMM modell működését, valamint a Business, People és Process domainek szerepét a SOC érettségének meghatározásában. A modell azonban nem áll meg a szervezeti és folyamatoldali tényezőknél: a SOC technológiai képességei és szolgáltatásportfóliója legalább ilyen meghatározó.
A SOC-CMM külön kezeli a Technology és Services domaineket, és ezeknél nemcsak érettséget (maturity), hanem képességet (capability) is mér. Ez a kettős értékelés azért fontos, mert a technológiai és szolgáltatási elemek esetében nem elég azt vizsgálni, hogy „létezik-e” egy folyamat vagy eszköz — azt is értékelni kell, hogy funkcionálisan mennyire teljes, mennyire működőképes és mennyire támogatja a SOC céljait.
Ebben a harmadik részben bemutatjuk a SOC-CMM fennmaradó két domainjét: a Technology és a Services domaineket. Ezek a domainek adják a SOC technikai gerincét, és meghatározzák, hogy a SOC mennyire képes hatékonyan detektálni, reagálni és proaktívan fellépni a fenyegetésekkel szemben.
Technology – a SOC technológiai képességei és azok érettsége
A Technology domain azt vizsgálja, hogy a SOC milyen technológiai eszközökre támaszkodik az észlelés, elemzés és reagálás során, és ezek az eszközök mennyire érettek, konfiguráltak, karbantartottak és integráltak. A technológiai érettség nem csupán arról szól, hogy „van-e SIEM vagy EDR”, hanem arról is, hogy ezek az eszközök mennyire támogatják a SOC működését, mennyire megbízhatóak, és mennyire képesek lefedni a teljes infrastruktúrát.
A Technology domain különlegessége, hogy a SOC-CMM itt maturity és capability értékelést is végez:
- A maturity (érettség) azt mutatja meg, mennyire dokumentált, következetes és mérhető a technológia működése.
- A capability (képesség) pedig azt, hogy az adott technológia mennyire teljes, mennyire fejlett, és mennyire támogatja a SOC céljait.
A Technology domain aspektusai:
- Log Monitoring: értékeli a naplóforrások lefedettségét, az adatbeolvasás (ingestion) integritását, a normalizáció és parsolás minőségét, valamint a loggyűjtő rendszer karbantartását, konfigurációját és hozzáférés-kezelését (beleértve a break-glass eljárásokat is).
- Network Monitoring: vizsgálja a hálózati forgalom felügyeletét, az anomáliák detektálását, a laterális mozgások felismerését és a hálózati forenzikus elemzés támogatását.
- Endpoint Monitoring: értékeli a végpont-szintű detekciós és reagálási képességeket, beleértve a fenyegetések megelőzését, észlelését, izolálását és a végponti telemetria minőségét.
- SecOps Automation: felméri a workflow-automatizációt, a playbook-szintű reagálást, az eszközök közötti orkesztrációt, az AI/ML-alapú automatizált döntéstámogatást, valamint az automatizációs rendszerek karbantartását és hozzáférés-kezelését.
A Technology domain érettsége meghatározza, hogy a SOC mennyire képes gyorsan, pontosan és megbízhatóan detektálni a fenyegetéseket — és mennyire tud lépést tartani a modern támadási technikákkal.
Services – a SOC szolgáltatási portfóliójának érettsége és teljessége
A Services domain azt vizsgálja, hogy a SOC milyen szolgáltatásokat nyújt, ezek mennyire teljesek, mennyire dokumentáltak, és mennyire képesek lefedni a vállalat teljes biztonsági igényeit. A szolgáltatási érettség nemcsak a működés minőségét határozza meg, hanem azt is, hogy a SOC mennyire képes reagálni a változó fenyegetési környezetre.
A Services domain is maturity + capability értékelést kap, hiszen a szolgáltatások esetében különösen fontos, hogy ne csak létezzenek, hanem valóban működjenek, mérhetők legyenek és értéket teremtsenek.
A Services domain aspektusai:
- Security Monitoring: értékeli a SOC detekciós képességeit, a riasztások kezelését, a monitoring lefedettségét, az OT-monitoring támogatását és a proaktív anomáliaészlelést.
- Security Incident Management: vizsgálja az incidenskezelési folyamatok érettségét, a válaszidőt, az incidens-elszigetelési (containment) képességeket és a NIST IR (Incident Response) keretrendszernek való megfelelést.
- Forensic Analysis: felméri a mélyebb elemzési és forenzikus képességeket, beleértve a malware-elemzést, a bizonyítékgyűjtést, az idővonal-építést és a forenzikus vizsgálati eszközök érettségét.
- Cyber Threat Intelligence (CTI): értékeli a teljes threat intelligence életciklust (tervezés, gyűjtés, feldolgozás, elemzés, disszemináció, visszacsatolás), valamint a CTI-infrastruktúra működtetését és a TI-alapú detekció támogatását.
- Threat Hunting: vizsgálja a proaktív fenyegetésvadászat érettségét, a hipotézis-alapú, TI-vezérelt és ATT&CK-alapú hunting-megközelítéseket, valamint az automatizált fenyegetésvadászat támogatását.
- Vulnerability Management: felméri a sérülékenység-kezelési folyamatok érettségét, a szkenneléstől a priorizáláson át a javításig, beleértve a kockázatalapú döntéstámogatást is.
A Services domain érettsége határozza meg, hogy a SOC mennyire képes nemcsak reagálni, hanem proaktívan fellépni a fenyegetésekkel szemben — és mennyire tudja támogatni a vállalat teljes biztonsági életciklusát.
Esetpélda: amikor a technológiai és szolgáltatási hiányosságok visszafogják a SOC teljesítményét
Egy nagyvállalat SOC-ja modern SIEM-mel és EDR-rel rendelkezett, mégis rendszeresen észrevétlenül maradtak kritikus események. A SOC-CMM Technology és Services domain értékelése kimutatta, hogy:
- a loggyűjtés lefedettsége hiányos volt, több kritikus rendszer nem küldött adatot,
- a hálózati monitoring nem fedte le a belső laterális mozgásokat,
- az incidenskezelési folyamatok nem voltak összhangban a NIST IR-keretrendszerrel,
- a threat hunting csak ad hoc módon történt, dokumentált módszertan nélkül,
- a CTI-adatok nem épültek be a detekciós logikába.
A technológia tehát „megvolt”, de a képességek és a szolgáltatások érettsége hiányos volt — így a SOC nem tudta betölteni a szerepét.
Összegzés
A SOC érettsége nemcsak a folyamatokon és az embereken múlik, hanem a következő tényezőkön is:
- milyen technológiák állnak rendelkezésre,
- ezek mennyire teljesek és megbízhatóak,
- milyen szolgáltatásokat nyújt a SOC,
- és ezek mennyire képesek lefedni a vállalat biztonsági igényeit.
A Technology és Services domainek érettsége határozza meg, hogy a SOC mennyire képes gyorsan, pontosan és proaktívan fellépni a fenyegetésekkel szemben — és mennyire tud valódi értéket teremteni a vállalat számára.
A SOC CMM bemutatása után felmerülhet a kérdés: hol tart a saját szervezete a kiberbiztonsági érettség terén? Ahelyett azonban, hogy a SOC-CMM önértékeléssel töltené az időt, vegye igénybe az Andrews tapasztalatát a belső SOC-ja felmérése és fejlesztése kapcsán. Szakértőink a SOC CMM alapjain segítenek a felmérésben, a célmeghatározásban és a cselekvési terv kidolgozásában.
Amennyiben nincs belső SOC-ja, de érdekli a téma, és tisztán SaaS vagy hibrid modellben gondolkodik: ismerje meg az Andrews SOCaaS szolgáltatását, és tudja meg, hogyan támogathatja a szervezete biztonságát és megfelelését!