Ob Sie ein neues Security Operations Center aufbauen oder ein bestehendes aufrüsten: Analysten mit diesen Fähigkeiten sollten Priorität Nummer eins sein. [...]
Ein Security Operations Center (SOC)-Analyst arbeitet innerhalb eines Teams, um Bedrohungen für die IT-Infrastruktur eines Unternehmens zu überwachen und zu bekämpfen sowie Sicherheitsschwachstellen und Möglichkeiten für potenzielle Verbesserungen zu identifizieren. Da ein SOC-Analyst mehrere kritische Aufgaben jonglieren muss, die technische, analytische und geschäftliche Bereiche umfassen, ist es oft schwierig, qualifizierte Kandidaten zu finden. Glücklicherweise lässt sich die Auswahl von Experten sehr viel einfacher gestalten, wenn man sich auf die folgenden fünf Schlüsselqualifikationen konzentriert, die jeder SOC-Analyst besitzen sollte:
1. Zusammenarbeit
Begabung und Tatkraft sind gängige und geschätzte Eigenschaften von intelligenten, motivierten Menschen, aber SOC–Analysten müssen auch in der Lage sein, eng und effektiv mit Kollegen zusammenzuarbeiten. „Wenn man das SOC als eine zusammenhängende Einheit betrachtet, ist viel Zusammenarbeit gefragt“, sagt Scott Dally, Leiter des Security Operations Center der NTT Security Division. „Die Fähigkeit, Informationen mit anderen Analysten über Bedrohungsdaten auszutauschen, stellt sicher, dass die gesamte Einheit bei jeder Bedrohung auf der gleichen Seite steht.“
Ein SOC-Analyst muss jederzeit in der Lage sein, offen und kooperativ zu arbeiten, da ein SOC-Stab nur so gut ist wie sein am schlechtesten informierter Analyst. „Zusammenarbeit ist der Schlüssel, der sicherstellt, dass die Leute nach neuen IOCs [indicators of compromise] und neuen Vektoren suchen“, sagt Dally. Trotz der Tatsache, dass Netzwerk- und Sicherheitsautomatisierungstechnologien wertvolle Schutzwerkzeuge sind und immer besser werden, bleiben qualifizierte SOC-Analysten die stärkste Verteidigungslinie. Wenn Analysten einen IOC-Alarm aufgrund mangelnder Zusammenarbeit nicht richtig verwalten können, wird ihre Reaktion leider verzögert, langsam oder gar nicht erfolgen. „Alle drei Szenarien sind schlecht“, bemerkt Dally.
2. Kritisches Denken
Eine häufig übersehene, aber wichtige Fähigkeit von SOC-Analysten ist kritisches Denken – die Prüfung von Fakten, um sich ein Urteil zu bilden. Kritisches Denken ist das Herzstück der Arbeit eines SOC-Analysten, besonders wenn es auf die technische Analyse angewandt wird, z. B. bei der Untersuchung der verschiedenen Ebenen eines Angriffsszenarios. „Kritische Denkfähigkeiten fördern die intellektuelle Neugier“, sagt Dan Callahan, Leiter der Cybersecurity-Schulungen beim Technologie- und Unternehmensberatungsunternehmen Capgemini North America. „Die meisten SOC-Analysten wachsen und lernen, indem sie ihre Arbeit machen und praktische Erfahrungen sammeln“, beobachtet er. Doch Lehrbuchwissen kann einen SOC-Analysten nur so weit bringen. „Es ist der Wunsch, die eigenen Fähigkeiten und Fertigkeiten zu entwickeln, der einen SOC-Analysten zum Erfolg führt“, erklärt Callahan.
Ein analytischer Ansatz zur Problemlösung – die Fähigkeit, den Wald vor lauter Bäumen nicht aus den Augen zu verlieren und dennoch die Bäume zu sehen – ist eine wertvolle Eigenschaft, nach der man bei jedem SOC-Kandidaten suchen sollte, sagt Theresa Lanowitz, Cybersecurity Director bei AT&T. „Diese Art von Personen gibt es bereits in den meisten Unternehmen“, bemerkt sie. „Zum Beispiel sind Qualitätssicherungsexperten, die den gesamten Umfang einer Anwendung verstehen, sehr kollaborativ in ihrer Arbeitsweise und detailorientiert.“ Lanowitz ist der Meinung, dass Cybersecurity-Führungskräfte „über den sprichwörtlichen Tellerrand hinausschauen müssen“, um SOC-Analysten zu finden, „die vielleicht keine klassische Cybersecurity-Ausbildung haben, aber den angeborenen Wunsch und die Fähigkeit zum kritischen Denken besitzen, um ein effektiver SOC-Analyst zu sein.“
3. Ein wissbegieriger Geist
Top-SOC–Analysten haben einen unstillbaren Wissensdurst. „Die besten Operatoren hören nie auf“, sagt Callahan, der einen Top-SOC-Analysten mit einem Profi-Sportler vergleicht. „Die meisten sehen nur den Athleten im Spiel, aber nur wenige sehen das Training und die Vorbereitung hinter den Kulissen, die sie so stark in ihren Fähigkeiten machen“, erklärt er.
In Anbetracht der Tatsache, dass sich die Cyberbedrohungslandschaft kontinuierlich weiterentwickelt und ständig neue Herausforderungen mit sich bringt, muss ein SOC-Analyst ein eifriger Zuhörer und ein ständiger Lerner sein. „SOC-Analysten stehen an vorderster Front, und sie müssen beide Fähigkeiten auf dem neuesten Stand halten, um maximale Effektivität zu erreichen“, sagt Jon Check, Senior Director, Cyber Protection Solutions, bei Raytheon. „Das Tempo der Veränderungen ist rasant, ob wir nun die sich ständig weiterentwickelnden Taktiken, Techniken und Verfahren betrachten, die unsere Gegner praktizieren, oder die Fülle von Tools, die kontinuierlich entwickelt werden, um diese Bedrohungen zu bekämpfen.“
4. Starke grundlegende Fähigkeiten
Neben anderen Eigenschaften sollte ein SOC-Analyst die wichtigsten Cybersecurity-Technologien und Angriffsmethodiken beherrschen. Diese Themen können nicht einfach im Vorbeigehen erlernt werden, sondern müssen durch sorgfältiges und häufig aufgefrischtes Lernen und Üben erworben werden.
Ein SOC-Analyst sollte zumindest über ein grundlegendes Verständnis von Informationstechnologien, einschließlich Netzwerken und Kommunikationsprotokollen, verfügen, sagt Cory Mazzola, ein Schulungsarchitekt bei der Cybersicherheits- und Karriereschulungsfirma Cybrary. „Um einen kritischen Cybersicherheitsvorfall zu identifizieren, zu verwalten und darauf zu reagieren, muss der SOC-Analyst in der Lage sein, die Netzwerkaktivität effektiv zu überwachen und einschlägige Bedrohungen zu erkennen“, erklärt er. „Ohne eine effektive Sicherheitsüberwachung und Bedrohungserkennung kann ein Vorfall möglicherweise unbemerkt eintreten und unermesslichen Schaden anrichten.“
Während technologie- und angriffserkennungsbezogene Fähigkeiten zu den wichtigsten Einstellungsvoraussetzungen gehören, sollte ein SOC-Analyst auch ein gutes Gespür für menschliches Verhalten haben und eine makellose Sicherheitsbilanz vorweisen können. Die größte Bedrohung für die Cybersicherheit ist das menschliche Element, ob intern oder extern, böswillig oder versehentlich, sagt Lanowitz. „Um sich gegen dieses menschliche Element zu schützen, sollten Sie bei der Auswahl Ihrer SOC-Analysten persönliche Eigenschaften nicht außer Acht lassen“, rät sie.
5. Fähigkeit, unter Druck zu arbeiten
Die Fähigkeit, unter Druck effektiv zu arbeiten, unabhängig von den Erwartungen der Stakeholder oder zeitlichen Beschränkungen, ist eine Schlüsseleigenschaft von SOC-Analysten. „Es ist nicht so, dass technische, problemanalytische und problemlösende Fähigkeiten nicht wichtig wären, aber wenn man unter Druck nicht mit einem klaren Verstand arbeiten kann, wird man nicht in der Lage sein, Sicherheitsprobleme zu lösen“, sagt Ken Magee, ein Skills-Autor für den Sicherheitsausbildungsanbieter Infosec.
In der heutigen turbogeladenen Geschäftswelt wollen Klienten, Kunden und Führungskräfte sofort Antworten, und sie wollen, dass ihre Systeme so schnell wie möglich wieder online gehen. „Es ist dieser Druck von Managern – insbesondere von nicht-technischen Managern -, mit dem ein guter SOC-Analyst effektiv umgehen können muss, während er das Problem löst, um eine Wiederholung oder Neuinfektion zu verhindern“, erklärt Magee.
Was ist mit Zertifizierungen?
Die Meinungen über den Wert von Zertifizierungen gehen auseinander, wobei die meisten Experten zu dem Schluss kommen, dass die Akkreditierung bei der Bewertung eines SOC-Analysten-Kandidaten eine relativ geringe Rolle spielen sollte. Zertifizierungen sind zwar nützlich, sollten aber bei der Einstellungsentscheidung kein großes Gewicht haben. Zertifizierungen bieten einen gewissen Beweis für Verständnis, Glaubwürdigkeit und den Wunsch zu lernen, aber sie vermitteln kein klares Bild von den Qualifikationen eines Kandidaten für die Rolle, sagt Check. „Ein Lebenslauf, der mit Zertifizierungen geschmückt ist, sieht auf den ersten Blick gut aus, aber wenn eine Person ihr Fachwissen in einem Vorstellungsgespräch oder bei der Arbeit nicht unter Beweis stellen kann, beweist sie nicht, dass sie ein qualifizierter SOC-Analyst ist“, merkt er an.
Zertifizierungen können zu Beginn der Karriere eines SOC-Analysten wichtiger sein, da sie potenziellen Arbeitgebern eine Grundlage und ein gewisses Maß an Vertrauen in die Fähigkeiten eines Kandidaten geben können, sagt Dally. Im weiteren Verlauf der Karriere verlieren Zertifizierungen jedoch an Bedeutung, da Erfahrung und Einsatzbereitschaft in den Vordergrund rücken.
Lassen Sie sich nicht von einem SOC-Analysten-Kandidaten blenden, der mehrere Zertifizierungen besitzt, warnt Lanowitz. Wer sich bei der Einstellung ausschließlich auf Zertifizierungen konzentriert, wird mit ziemlicher Sicherheit potenzielle Mitarbeiter mit starken kritischen Denkfähigkeiten und analytischen Fähigkeiten ausschließen, sagt sie. „Die Konzentration auf Zertifizierungen allein engt den Pool der Kandidaten erheblich ein.“
*John Edwards ist ein erfahrener Journalist für Wirtschaft und Technologie. Seine Arbeiten sind in der New York Times, der Washington Post und zahlreichen Wirtschafts- und Technologiepublikationen erschienen, darunter CIO, Computerworld, Network World, CFO Magazine, IBM Data Management Magazine, RFID Journal und Electronic Design.
Be the first to comment