Sok IT biztonsági vezető érezheti úgy, hogy a vállalat biztonsági műveleti központja (Security Operations Center - SOC) jól működik: modern SIEM, 24/7 ügyelet, tapasztalt elemzők. Legtöbbször azonban csak egy alapos felmérés során derül ki, hogy például a logforrások egy része nem küld adatot, az incidensek és azok kezelése nincs megfelelően dokumentálva vagy a threat hunting csak ad hoc módon történik. Ezek a hiányosságok súlyos kiberbiztonsági és megfelelési problémákhoz vezethetnek, ezért a vezetés számára alapvető fontosságú, hogy objektív képet kapjon a SOC valódi állapotáról.

Mi az a SOC-CMM?

A SOC-CMM egy átfogó keretrendszer a vállalati SOC érettségének meghatározásához. Egy olyan képesség- és érettségmérési modell, amely a belső SOC önértékelésére szolgál. A célja, hogy objektív képet adjon a SOC erősségeiről és gyengeségeiről, és segítse az IT-biztonsági vezetőket, hogy megalapozott döntéseket hozzanak arról, mely területek igényelnek fejlesztést. A SOC rendszeres értékelésével a szervezet képes nyomon követni a kiberbiztonsági felkészültségét, és összevetni saját működését az iparági jó gyakorlatokkal.

Az alkotók a szakirodalmi elemzéseken túl több iparágban vizsgálták a SOC-ok gyakorlati működését, és különböző érettségi szinteken lévő SOC-ok szakembereivel készítettek interjúkat, majd ezekből a tapasztalatokból állították össze a végső keretrendszert.

A modell tehát nem elméleti alapokon nyugszik, hanem valós SOC-ok működésének összehasonlításából. És ez teszi különösen értékessé: a kérdések és szempontok olyan tényezőkre világítanak rá, amelyek a gyakorlatban is meghatározzák egy SOC hatékonyságát. Éppen ezért a SOC-CMM mára a SOC-ok értékelésének de facto nemzetközi szabványává vált.

A SOC-CMM célja és célközönsége

A SOC-CMM elsődleges célja, hogy átfogó képet adjon a SOC működéséről, és segítsen azonosítani, hogy:

• mely területek működnek jól,
• hol vannak hiányosságok,
• mely folyamatok igényelnek figyelmet,
• és milyen irányba érdemes továbbfejleszteni a SOC-ot.

A modell elsősorban SOC vezetők, IT-biztonsági menedzserek, SOC mérnökök és külső SOC tanácsadók számára használható igazán jól.

A modell nemcsak értékelésre alkalmas, hanem kiváló vitaindító is: a kérdések mentén a belső csapatok mély szakmai párbeszédet folytathatnak arról, hogyan működik jelenleg a SOC, és hogyan kellene működnie.

5 domain, 27 szempont

A modell öt nagy területet (domain-t) és azon belül összesen 27 aspektust vizsgál, így egy SOC működésének minden lényeges elemét lefedi:

1. Business – üzleti illeszkedés, governance, adatvédelmi szabályok;
2. People – szerepkörök, tudásmenedzsment, képzés, szervezeti struktúra;
3. Process – SOC menedzsment, log menedzsment, reporting;
4. Technology – log monitoring, hálózati és végpont felügyelet, SecOps-automatizáció;
5. Services – biztonságfelügyelet, incidens menedzsment, forenzikus vizsgálatok, stb.

A domain-ek közül mind az öt kap érettségi (maturity) értékelést, és kettő (Technology és Services) kap képesség (capability) értékelést is. Ez a kettős megközelítés teszi lehetővé, hogy a SOC-ot ne csak a folyamatok érettsége, hanem a technikai képességei szempontjából is vizsgáljuk.

Hogyan mérjük a SOC érettségét?

A SOC-CMM a CMMI (Capability Maturity Model Integration) modellhez hasonló érettségi szinteket használ:

• 0 – Non-existent: nincs folyamat, nincs működés;
• 1 – Initial: kezdetleges működés, nincs standardizáltság;
• 2 – Managed: alapvető folyamatok léteznek, de nem egységesek;
• 3 – Defined: dokumentált, egységes, következetes működés;
• 4 – Quantitatively managed: mérőszámok, KPI-k megléte, folyamatos mérés;
• 5 – Optimizing: folyamatos fejlesztés, automatizáció, proaktív működés.

Fontos, hogy a SOC-CMM nem előfeltételekre épülő modell. Nem kell „átmenni” az 1-es szinten ahhoz, hogy a 2-es szint egyes elemei teljesüljenek. A modell folyamatos skálán méri az érettséget mind az öt domain-ben: minden elem külön-külön járul hozzá a végső pontszámhoz.

Ez így sokkal rugalmasabb, mint a hagyományos érettségi modellek.

A technikai képességek felmérése

A képességek (capability) értékelése a technológiai és szolgáltatási képességekre fókuszál. A SOC-CMM négy képességi szintet használ:

• 0 – Incomplete
• 1 – Performed
• 2 – Managed
• 3 – Defined

A képesség értékelése különösen hasznos akkor, ha a SOC technológiai stack-jét szeretnénk fejleszteni, vagy ha össze akarjuk hasonlítani a SOC működését más szervezetekével.

Hogyan zajlik az önértékelés?

A SOC-CMM egy részletes, több munkalapos Excel-alapú eszköz, amely szabadon letölthető, és lépésről lépésre vezeti végig a felhasználót a teljes önértékelési folyamaton. A folyamat fő lépései:

1. Profil és scope meghatározása

   • Mekkora a SOC?
   • Milyen szolgáltatásokat nyújt?
   • Milyen technológiákat használ?
   • Mi az értékelés célja?

2. A 27 aspektus értékelése

   A legtöbb kérdés egy 5 fokozatú skálán válaszolható meg, amely az érettségi szintekhez kapcsolódik. A SOC‑CMM minden kérdéshez értelmezési útmutatót, és példákat ad, amely segíti a kitöltést.

3. Eredmények összesítése

   A „Results" munkalap automatikusan összesíti a domain-enkénti érettségi szintet, a képességi szinteket, és a teljes SOC érettségi profilját. A modell vizuális összefoglalót is ad, amely megmutatja, hol vannak a legnagyobb hiányosságok.

Miért hasznos a SOC-CMM a vállalat számára?

1. Objektív, bizonyítékokon alapuló önértékelés

   A SOC-CMM nem érzésekre vagy benyomásokra épít, hanem strukturált kérdésekre és mérhető szinteken alapul.

2. Segít priorizálni a fejlesztéseket

   A modell megmutatja, hogy:

   • hol vannak kritikus hiányosságok,
   • mely területek igényelnek azonnali fejlesztést, és
   • hol lehet gyors eredményt elérni.

3. Támogatja a NIS2 és DORA megfelelést

   Az érettségi és képességi szintek jól illeszthetők a különböző szabályozói elvárásokhoz.

4. Kiváló alap a SOC modernizációs projektekhez

   Legyen szó SIEM cseréről, automatizáció bevezetéséről, vagy új SOC szolgáltatások kialakításáról, a SOC-CMM világos kiindulópontot ad.

5. Segít összehangolni a SOC működését az üzleti elvárásokkal

   A Business domain kérdései kifejezetten erre fókuszálnak.

Összegzés

A SOC-CMM egy hasznos, gyakorlatias és átfogó keretrendszer, amely segít a vállalatoknak megérteni, mennyire érett a SOC működése, és milyen irányba érdemes továbbfejleszteni azt. A modell nemcsak értékel, hanem gondolkodásra késztet, és olyan kérdéseket feszeget, amelyekre minden modern SOC-nak tudnia kell a választ.

Aki komolyan veszi a SOC működését, annak a SOC-CMM nem opcionális eszköz — hanem alap.

Az önértékelő Excel-eszközt innen töltheted le ingyenesen.

Ismerd meg az Andrews SOCaaS szolgáltatását, és tudd meg, hogyan támogathatja a szervezeted biztonságát és megfelelését.