SANS SOC Survey 2025: veel SOC’s handelen wel, maar missen databeleid

Security Operations Centers (SOC’s) reageren steeds sneller op meldingen vanaf endpoints, maar doen dat vaak zonder onderliggend beleid of datastrategie. De nieuwste cijfers van het SANS Institute leggen een zorgwekkende kloof bloot tussen operationele paraatheid en structurele volwassenheid.

Volgens de 2025 Global SOC Survey van het SANS Institute beschouwt 85 procent van de SOC-analisten meldingen vanaf endpoints als voornaamste aanleiding om in actie te komen. Tegelijkertijd blijkt uit het rapport dat 42 procent van de Security Operations Centers (SOC’s) inkomende gegevens zonder duidelijke strategie opslaat in hun SIEM-platform. Dat wijst op een fundamentele discrepantie tussen operationele urgentie en gestructureerde dataverwerking.

De bevindingen zijn gebaseerd op de input van duizenden securityprofessionals wereldwijd en gelden als een invloedrijke, leverancier-onafhankelijke graadmeter voor de volwassenheid van SOC’s, hun personele capaciteit en technologische keuzes.

“SOCs vormen de ruggengraat van moderne cyberverdediging,” stelt Christopher Crowley, hoofdauteur van het rapport en Certified Instructor bij het SANS Institute. “Toch blijven veel teams worstelen met een te hoge werklast en een tekort aan gekwalificeerd personeel.”

Uit de survey blijkt dat 82 procent van de SOC’s permanent operationeel is — dus 24 uur per dag, 7 dagen per week. Daarnaast werkt 73 procent van de teams deels of volledig op afstand. Op het gebied van automatisering geeft 42 procent aan AI- of ML-tools te gebruiken, zij het meestal in standaardconfiguratie. Die worden dus niet afgestemd op de specifieke infrastructuur of use cases van de organisatie.

Volgens Christopher Crowley is dat een gemiste kans — en mogelijk zelfs schadelijk: “Als de directie niet bereid is middelen vrij te maken om een tool effectief in te zetten, dan kun je die beter helemaal niet gebruiken.”

Nieuwe technologie heeft meer nodig dan alleen implementatie. Zonder passend budget, training en inbedding in bestaande workflows blijft de toegevoegde waarde vaak uit.

Dat 42 procent van de SOC’s inkomende data ongefilterd opslaat zonder duidelijk plan voor analyse of terugvinden, wijst op een structureel gebrek aan strategisch databeheer. De operationele respons op incidentmeldingen mag dan wel grotendeels op orde zijn — het ontbreekt vaak aan een datagedreven aanpak voor diepere dreigingsanalyse en het verfijnen van detectiemechanismen.

“Een SOC beoordelen we op basis van capaciteiten, architectuur, personeelsinzet en de mate waarin functies zijn uitbesteed of intern worden uitgevoerd,” aldus Crowley. “Met dit rapport geven we beveiligingsleiders inzicht in hoe andere organisaties hun SOC vormgeven — en waar zij zelf staan in dat speelveld.”

De 2025 Global SOC Survey biedt inzicht in de huidige stand van zaken bij Security Operations Centers wereldwijd, en legt pijnlijk bloot dat snelle respons vaak niet gepaard gaat met structurele volwassenheid. Operationele paraatheid zonder strategisch databeleid blijft een wijdverbreid probleem. Het volledige rapport is gratis beschikbaar via deze link.