Der SOC Automation Capability Matrix (SOC ACM) wurde von John Tuckner und dem Team der Workflow- und Automatisierungsplattform Tines entwickelt, um Sicherheitsoperationsteams zu helfen, ihre Automatisierungsfähigkeiten zu verstehen und effektiver auf Vorfälle zu reagieren. Es handelt sich um ein anpassbares, herstellerunabhängiges Tool mit Listen von Automatisierungsmöglichkeiten. Seit seiner Einführung im Januar 2023 wurde es von Mitgliedern der Sicherheitsgemeinschaft geteilt und empfohlen. Der SOC ACM wird als Standard für die Klassifizierung von Automatisierungen im Bereich SOAR angesehen und wurde von Organisationen in Fintech, Cloud-Sicherheit und darüber hinaus genutzt. Der Artikel beschreibt im Detail, wie der SOC ACM funktioniert und wie er in Organisationen eingesetzt werden kann.
Die SOC Automation Capability Matrix ist interaktiv und hilft Sicherheitsteams, proaktiv auf gängige Cybersecurity-Vorfälle zu reagieren. Es bietet sowohl Anfängern als auch fortgeschrittenen Programmen eine solide Grundlage und dient als Inspirationsquelle für künftige Implementierungen. Die Matrix ist in Kategorien unterteilt und jedes Automatisierungsmerkmal enthält eine Beschreibung, Techniken, Beispiele und Referenzen. Durch die Verbindung mehrerer Automatisierungsmöglichkeiten können komplexe und wirkungsvolle Ergebnisse erzielt werden. Ein Beispiel zur Veranschaulichung ist die Phishing-Antwort: von der Erkennung über die Analyse bis hin zur Reaktion. Die Implementierung des SOC ACM erfolgt zusammen mit Plattformen wie Tines.
Die Anpassung des SOC ACM ist auf GitHub möglich, um es an individuelle Bedürfnisse anzupassen. Teams können ihre Automatisierungsreise visuell darstellen, um den Wert ihres Automatisierungsprogramms zu kommunizieren und Prioritäten festzulegen. Ein Fallbeispiel beschreibt, wie ein Fintech-Unternehmen 25 Automatisierungsfunktionen implementierte und Zeit sparende Workflows identifizierte. Empfehlungen beinhalten die Verwaltung von IOCs und die Dokumentation von Zeitersparnissen. Zukünftige Maßnahmen umfassen die Erweiterung des Benachrichtigungs- und Reaktionsprozesses sowie die Integration von weiteren Reaktionsaktionen durch den Einsatz von Tines-Automatisierung über einen Slack-Bot.
Insgesamt ist der SOC Automation Capability Matrix ein nützliches Werkzeug für Teams auf allen Automatisierungsstufen, das Inspiration für zukünftige Automatisierungsprojekte bietet und die Bewertung des eigenen Automatisierungsprogramms ermöglicht. Der SOC ACM ist auf Notion gehostet und kann von interessierten Teams erkundet werden.