‘Handmatig checken van security alerts vaak zonde van de tijd’

Abonneer je gratis op Techzine!

Routinewerk als het natrekken van security-alerts vinden medewerkers van Security Operation Centers (SOC’s) vaak zonde van de tijd. Werkgevers kunnen deze activiteiten maar beter automatiseren, stelt securityspecialist SIRP Labs op basis van onderzoek.

Werken in een SOC is niet altijd even uitdagend als het vaak wordt geschetst, zo stelt het onderzoek onder 250 securityspecialisten die werkzaam zijn in SOC’s. Uit het onderzoek komt naar voren dat een SOC gemiddeld 840 security alerts per dag krijgt te verwerken. Een tiende van de respondenten geeft aan dat dit wel eens kan oplopen tot maar liefst 5.000 security alerts op een dag. Bijna een kwart van deze alerts zijn false positives.

Veel routinematig werk

De security-experts zijn ongeveer een vijfde deel van hun werkdag bezig met het verwerken van deze security alerts, maar dat kan in enkele gevallen ook oplopen tot de helft van de dag.

Meer dan de helft van de ondervraagde specialisten ziet het reageren op al deze alerts dan ook als routinematig werk dat een groot deel van de dag in beslag neemt. Graag hadden zij deze tijd aan iets anders besteed, constateert SIRP Labs.

Bovendien levert dit routinematig werk ook gevaren op. De respondenten geven aan dat zij zoveel tijd bezig zijn met het natrekken van de alerts, dat echte belangrijke issues worden gemist.

Meer automatisering gewenst

De onderzoekers stellen dan ook dat bedrijven nog steeds te weinig doen om de effectiviteit van SOC’s te verbeteren. Bedrijven laten SOC’s nog steeds veel te veel afhankelijk zijn van een groot aantal security tools en routinematige en handmatige processen voor het reageren op gemiste security alerts en false positives. Ongeveer een derde van de triage- en incident responseprocessen gebeurt nu nog handmatig.

De onderzoekers vinden daarom dat bedrijven meer kunnen doen aan het automatiseren van deze handmatige processen rondom security alerts. Ook zou hier veel vraag naar zijn. SIRP Labs is hierbij mogelijk niet geheel objectief, omdat het een leverancier is van een risk-based security orchestration, automation en response (SOAR)-platform.