Netzwerke entwickeln sich weiter. Sie müssen eine wachsende Remote-Belegschaft, die weit verbreitete Nutzung von Cloud-Anwendungen und die Anforderung einer agilen IT überall unterstützen.

Starting off with the difference between SOC vs. NOC. SOC is responsible for protecting an organization against cyber threats and strengthening an organization's assets to prevent further attacks. NOC on the other hand is the team within an organization that is responsible for ensuring the corporate infrastructure is capable of meeting business news by optimizing and troubleshooting the corporate network. The main differences between the two are the objectives. The SOC objective is to protect networks against cyber threat actors while the NOC objective is to address disruptions and ensure the network is capable of meeting SLAs during normal operations.

Da die Wahrscheinlichkeit schwerer Cybersicherheitsvorfälle zunimmt, wird unsere Abhängigkeit von SOC-Netzwerken zunehmend geschäftskritisch. Damit Netzwerke sowohl agil als auch sicher sein können, kann die Security nicht länger wie eine beschwerliche Rüstung übergestülpt werden. Security muss in die Struktur des Netzwerks eingebunden werden. Diese neue Realität hat dazu geführt, dass die Grenzen zwischen Netzwerken und Security durch neue Architekturen wie SASE, die Einführung von ZTNA für die Zugangskontrolle und das Wachstum mobiler Zugangspunktplattformen, die Netzwerkbetriebszentren und Security-Betriebszentren zu einem einzigen Betrieb verbinden, verschwimmen.

“The lines between them (SOC NOC) are becoming increasingly unclear as more advanced cyberattacks tend to freely jump between attack surfaces of different IT equipment.” (1)

Warum sollten Unternehmen angesichts der fortschreitenden Konvergenz von Netzwerken und Sicherheit erwägen, unabhängige SOCs und NOCs in einem einzigen einheitlichen Betriebszentrum zu konsolidieren?

Grund 1: Einheitliche domainübergreifende Transparenz

Unified NOC-SOC networks allow administrators to have visibility of both domains simultaneously. They can deep-dive into either security or network issues from one interface or explore cross-domain incidents that involve both. For example, NDR (network detection and response) becomes more efficient when security and networks and the teams that manage them stop reacting separately. Response times are faster when SOC network and NOC act as one. It’s also the best way to manage access points and endpoints where connectivity and security converge into one platform.

“CTO/CIO and Chief Information Security Officers (CISO) will be well served in understanding what a potential collaborative, efficient effort integration brings versus having two separate siloed teams with very little crossing of paths except for at a Lessons-learned/After-action meeting. The exploration of integrating a SOC NOC is something every organization should consider.” (1)

Grund 2: Vereinheitlichte Automatisierung und KI

Automatisierung und künstliche Intelligenz spielen eine immer wichtigere Rolle bei der Verwaltung von Sicherheit und Netzwerkeffizienz, denn Daten sind Macht.

„Für die Automatisierung wird ein grösseres Sicherheitsbudget verwendet. Das Bild des Budgets verbesserte sich im Jahresvergleich messbar, mit einem Anstieg von 3 % auf 10 % im gesamten Führungsgremium für Automatisierungsprojekte und einem erwarteten Anstieg von 16 % im nächsten Jahr.“ (2)

Es gibt viele Beispiele dafür, wie ein einheitliches NOC-SOC-Netzwerk mit Domain-übergreifender Orchestrierung und Automatisierung Abläufe rationalisiert. Das Hinzufügen zusätzlicher Standorte, mobiler Zugangspunkte oder die Integration kürzlich erworbener Unternehmen wird erheblich vereinfacht, wenn unabhängige Netzwerk- und Security-Verfahren synchronisiert, automatisiert und in einem einfachen Schritt bereitgestellt werden. Durch einheitliche Abläufe wird beispielsweise sichergestellt, dass die Security automatisch einbezogen wird, wenn MPLS-Pfade über kostengünstigere Breitbandverbindungen umgeleitet werden. Mit einheitlichen Abläufen können Zugangspunktfunktionen wie Firewall, Application Optimization und Routing einheitlich mit einem Satz von Richtlinien verwaltet werden, was die Verwaltung erheblich vereinfacht. Das Identifizieren und Eindämmen von Cyberbedrohungen mit einem einzigen automatisierten Service ist wesentlich schneller, als der Versuch, zwei zu koordinieren.

Grund 3: Geringere Kosten, erweiterte Ressourcen und schnellere Reaktion

Bösartige Akteure und Netzwerke haben eines gemeinsam: Sie arbeiten rund um die Uhr. Dies bedeutet, dass Unternehmen über separate Netzwerk- und Security-Einrichtungen, Tools, Infrastrukturen und Mitarbeitende verfügen müssen, die 24x7x365 zur Verfügung stehen, um die Sicherheit und Funktionsfähigkeit ihrer Netzwerke und ihres Unternehmens zu gewährleisten. Ein getrennter Betrieb von Security und Netzwerk führt zu redundanten Kosten und Überlappungen von Services. Durch die Vereinheitlichung von Security- und Netzwerkfunktionen werden die doppelten Kosten eliminiert und überlappende Ausgaben konsolidiert. Die Kosten werden deutlich gesenkt, wenn getrennte Vorgänge in einem Betrieb konsolidiert werden.

Ein einheitliches Operations Center beseitigt auch redundante Aufgaben, koordiniert unterschiedliche Funktionen und sorgt für eine unabhängige Berichterstattung, Budgetierung und Compliance. IT-Experten haben dadurch mehr Zeit, sich auf wichtige strategische Pläne zu konzentrieren. Wertvolle IT-Ressourcen zurückzugewinnen ist ein Glücksfall für viele Unternehmen, die darum kämpfen, freie Stellen im Bereich Cybersicherheit und Netzwerke zu besetzen.

„Die Integration von Sicherheits- sowie Netzwerk-Gruppen an der vordersten Front der Verteidigungslinie könnte sich in vielen Unternehmen als die beste Möglichkeit erweisen, Kosten zu senken, die Effizienz zu erhöhen und die Ressourcen zu optimieren.“ (1)

Doch Vorsicht ist geboten

Die Kombination von SOC und NOC zu einer Einheit ist nicht einfach. Sicherheits- und Netzwerkgrenzen sollten festgelegt werden, um neue Überschneidungen zu vermeiden.

“Integrating a SOC NOC requires convergence and integration at the organizational level (i.e., common first-level response), system-level (i.e., integrated ticketing and workflow) and asset level (i.e., shared sensors and criticality information).” (3)

Domainübergreifende Verfahren müssen erstellt oder aktualisiert werden, um Arbeitsabläufe voranzutreiben, die auf die neue operative Architektur ausgerichtet sind. Allgemeine Tools müssen evaluiert werden, um Redundanz zu vermeiden. Gleichzeitig sollten wichtige Tools für Sicherheit und Netzwerkbetrieb in die einheitliche Plattform integriert werden, um den Zugriff und die Nutzung zu vereinfachen und den Wert zu maximieren. Gegenseitige Schulungen und Wissensaustausch zwischen Netzwerk- und Sicherheitsexperten sollten gefördert werden. Die Entscheidung, wann genau die Migration zu einem einheitlichen Operations Center stattfinden soll, ist angesichts der Vielzahl von Variablen und Überlegungen kompliziert.

Open Systems bietet seit über 30 Jahren Security- und Netzwerklösungen an, darunter SASE, ZTNA und MDR. Wir bieten ein globales 24x7x365-Netzwerk einheitlicher SOC-NOCs, mit einer DevSecOps-Methodik. Sie sind von Level-3 geschulten und zertifizierten Ingenieuren mit über 140  Stunden an Intensiv-Schulungen besetzt. Für uns ist es keine Integration um der Integration willen oder auch nur, um die Dinge zu vereinfachen. Es geht darum, Bedrohungen früher in der Angriffskette zu erkennen, damit die Geschäfte unserer Kunden weiterhin reibungslos und ohne Unterbrechungen laufen. Erfahren Sie mehr darüber, wie unser fortschrittliches SOC zum Schutz Ihrer Organisation beitragen kann.

Referenzen
(1) SANS institute Report. SOC-NOC Integration: Opportunities for Increased Efficiency in Incident Response within Cyber-Security
(2) 2020 SANS Automation and Integration Survey
(3) Jenkins/IBM, D. (n.d.). Aus: Secure Your Operations through SOC-NOC Integration