Optimizing the SOC: A socio-technical approach to balancing a security analyst's tasks

Abstract

Den raske utviklingen av ny teknologi og systemer kan føre til et svært komplekst arbeidsmiljø for en sikkerhetsanalytiker som arbeider i et sikkerhetsoperasjonssenter (SOC). I et felt som tungt vektlegger teknologi, kan oppgavene som sikkerhetsanalytikerne må utføre på daglig basis mangle sosiale elementer for å kunne utføres på et effektivt nivå. Denne masteroppgaven foreslår en prosess som kan bidra til å kontrollere en slik ubalanse. Ved å introdusere en firetrinns prosess av forskning, helhetlig case study med intervjuer, sosioteknisk balanse og metrikker, resulterer dette i en måte å bedre kontrollere effektiviteten til oppgavene til en SOC-analytiker. Basert på nøkkelinformasjon og analysert data fra intervjuer, fremheves utfordringer som sikkerhetsanalytikere står overfor. Disse kan over tid potensielt føre til utbrenthet og ubalanse av oppgaver, noe som kan ha en negativ innvirkning på brukte metrikker. Etter å ha valgt alarmhåndteringsoppgaven som et eksempel for balansering, viser bruken av Consensus by Security (SBC), sosiotekniske og arketype-modeller ubalansen og legge til tiltak for å balansere oppgaven. Til slutt blir det presentert en liste over vanlige metrikker for å fungere som et utgangspunkt for alarmhåndteringsoppgaven. Dette legger grunnlaget for en mye mer pålitelig og nøyaktig oppgave å måle, noe som vil gi høyere effektivitet og varighet for sikkerhetsanalytikere som arbeider i sikkerhetsoperasjonssenteret.

Rapid development of new technology and systems can lead to a very complex work environment for a security analyst working in a SOC. With such a heavy technology leaning field, the tasks that the security analysts have to perform on a day-to-day basis, can have missing social elements in order to perform at an efficient level. This thesis is suggesting a process that can aid in the control of such imbalance. By introducing a four stage process of research, holistic multiple case study with interviews, socio-technical balance and metrics, the end result is a way to better control the efficiency of a SOC analyst’s tasks. Based on the extracted and analysed data from the interviews, certain challenges that security analysts face are highlighted. These can potentially over time lead to analyst burnout and imbalance of tasks, which can have a negative impact on metrics used. After selecting the alarm handling task as an example for balancing, the result is usage of the Consensus by Security (SBC), socio-technical and archetype models to illustrate the imbalance and add measures to balance the task. In the end, a list of common metrics is provided to serve as a baseline to the alarm handling task. This creates the foundation for a much more trustworthy and accurate task to measure, which will yield a higher SOC efficiency and longevity for the security analysis working there.