Anzeige

Security Operations Center (SOC)

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der sie anhand von eigens definierten Abläufen arbeiten und spezielle Tools einsetzen. In der Schaltzentrale laufen essenzielle Cyber-Security-Prozesse wie Gefahrenfrüherkennung und -beseitigung sowie Prognosen weitgehend automatisiert ab und erhöhen damit das Sicherheitsniveau.

Für Unternehmen, die ihren Sicherheitsbedarf nicht mit eigenen Mitteln abdecken können, ist die Dienstleistung „SOC as a Service“ interessant.

Die meisten Unternehmen verfolgen noch den klassischen Ansatz und sichern vor allem ihren Perimeter ab. Das geschieht über erprobte Basiskomponenten wie E-Mail-Gateways mit Content-Prüfung, Web-Proxys, Firewalls und Antimalware-Systeme. Mit dem Verwalten dieser konventionellen Systeme sind die Administratoren meist schon ausgelastet. Da in letzter Zeit zahlreiche Sicherheitsattacken und Datenverluste bekannt geworden sind, fokussieren sich Unternehmen zunehmend darauf, Sicherheitsvorfälle zu erkennen, zu untersuchen und abzuwenden. Angriffe, die sich nicht verhindern lassen, werden dann zumindest schnell entdeckt. Nur so lässt sich zeitnah darauf reagieren. Jedoch ist zu beachten, dass sich das Sicherheitsniveau auch durch zusätzliche Investitionen in Cybersicherheit irgendwann nicht weiter erhöhen lässt. Dann hilft nur noch eine bessere Verteilung des Sicherheitsbudgets, mit der ein zielgerichteter Einsatz von Personal, Prozessen und Technologie hergestellt werden kann sowie effizientes Management und die Optimierung des Cyber-Security-Programms.

Security Operations Center (SOC) bilden die angemessene Reaktion auf die akute Bedrohungslage und helfen Unternehmen proaktiv, sich gegen zukünftige Gefahren zu wappnen. Ein SOC versteht sich als Leitstelle für alle sicherheitsrelevanten Services rund um die IT von Unternehmen und Organisationen. Das Zusammenspiel von Cyber-Security-Experten, Prozessen und speziellen Tools schützt IT-Infrastrukturen und Daten in Echtzeit oder auch proaktiv vor Bedrohungen. Unternehmen, die Sicherheitsvorfälle noch nicht formalisiert behandeln können, stehen vor der enormen Herausforderung, ein SOC von Grund auf zur zentralen Visualisierung, Alarmierung und Analyse aufzubauen. Spezialisierte Managed Security Services Provider wie Axians verfügen bereits über funktionierende SOCs und können diese im Auftrag von Unternehmen betreiben.

Die drei Phasen des SOC

Die Aktivitäten eines SOC unterteilen sich in die drei Phasen Detect (entdecken), Respond (reagieren) und Recover (wiederbeschaffen, erholen). In der Detect-Phase benötigt man Tools, die Ereignisdaten in der Unternehmens-IT einsammeln, verdichten, auf bekannte Angriffsmuster überprüfen und Zusammenhänge aufzeigen. Werden verdächtige Aktivitäten registriert, alarmieren die Instrumente die SOC-Mitarbeiter. Die meisten SOCs setzen ein SIEM-System (Security Information and Event Management System) wie die QRadar-Plattform von IBM ein. Eine solche Lösung sammelt von verschiedenen Systemen innerhalb des Netzwerks des Anwenderunternehmens Log-Dateien, analysiert diese und alarmiert die SOC-Mitarbeiter mit einer kurzen Meldung, wenn es ungewöhnliche oder verdächtige Aktivitäten im Netzwerk gefunden hat. 

In der Respond-Phase geht es darum, Alarme mit zusätzlichen Daten anzureichern, „False Positives“ (falsche Treffer) auszusortieren, Prioritäten festzulegen und weitere Schritte einzuleiten. Weitere Schritte können eine Alarmierung der für die betroffenen Systeme Verantwortlichen sein oder eine tiefergehende Analyse des Vorfalls. 

Den Recover-Teil prägen Prozesse, die firmenindividuell gestaltet sind. Es geht hier darum, alle betroffenen Geräte zu säubern und wieder in die Produktion zu überführen.

Zeit- und Sicherheitsgewinn

Es gibt zwei wichtige Metriken, die für die Leistungsfähigkeit eines SOC entscheidend sind: Die Zeitspanne vom Beginn eines Angriffs bis zu seiner Entdeckung und die Dauer von der Erkennung bis zur Beseitigung des Sicherheitsvorfalls. Eine Attacke vollzieht sich in mehreren Phasen. Nach der ersten Kompromittierung bereitet ein Angreifer mehrere Aktivitäten im Netz des Opfers vor, um anschließend den eigentlichen Angriff zu starten. Der Sicherheitsgewinn eines SOC besteht darin, das Zeitfenster zu verkleinern, das einem Angreifer für seinen Angriff zur Verfügung steht. 

Das Erkennen eines bevorstehenden Angriffs hängt stark von Art und Umfang der eingesetzten Sensoren ab, und wie sie das Umfeld abbilden. Ein SIEM-System kann eine Malware-Infektion innerhalb von Sekunden identifizieren und in der SIEM-Konsole einen Alarm auslösen. Ein erfahrener Analyst erkennt nach wenigen Minuten das Bedrohungspotenzial und leitet die Gegenmaßnahmen ein. Dazu gehören das Schließen eines Firewall-Ports oder das Setzen der Kommunikation auf die Blacklist über ein EDR (Endpoint Detection und Response)-System. Eine andere Reaktion kann das netzwerkseitige Isolieren der infizierten Maschine sein. Neben potenziellen Attacken von außen konzentriert sich das SOC-Team auch auf das schnelle Aufdecken von auffälligem Anwenderverhalten (Insider Threats). Ein solches weist häufig auf kompromittierte Zugangsdaten hin. Das Beseitigen eines Zwischenfalls liegt meistens in der Verantwortung der IT oder des IT-Dienstleisters des Unternehmens.

Managed SOC ist eine valide Alternative

Der Weg zum firmeneigenen SOC führt über eine Strategie, die Cyber-Security-Ziele definiert. Ein Konzept legt Tools, Datenquellen, Incident-Response-Plan, Schwachstellenmanagement, Metriken sowie die Regeln der Zusammenarbeit und das Design des SOC fest. Die Einrichtung eines SOC beginnt mit der Installation aller Systeme für Arbeitsplätze, einschließlich eines SIEM mit den benötigten Log-Quellen, eines SOAR-(Security Orchestration Automation and Response-)Tools, das eine Zusammenarbeit zwischen verschiedenen Teams ermöglicht und Routine-Tätigkeiten automatisiert, eines Ticketsystems und vielem mehr. Die größten Fallstricke bestehen im Unterschätzen der Komplexität des Themas, der mangelnden Verfügbarkeit geeigneten Personals und der fehlenden Unterstützung aus anderen Abteilungen.

Unabhängig von der Branche erweist es sich daher als wesentlich effizienter für viele Unternehmen, ihr SOC auszulagern. Viele Unternehmen wählen eine Private-Cloud-Lösung, für die es zwei grundlegende Betriebsvarianten gibt: Im CAPEX-Modell erwirbt ein Unternehmen die Infrastruktur und lässt diese dann von einem Managed Security Services Provider (MSSP) betreiben. Im Gegensatz dazu übernimmt der Dienstleister im OPEX-Modell alle Leistungen, er bietet den kompletten SOC-Betrieb gegen eine Monatsgebühr an und stellt dem Kunden dafür eine dedizierte Plattform zur Verfügung. Alternativ bieten MSSP wie Axians Public Clouds für diejenigen Kunden, die mit einer Best Practice-Lösung arbeiten möchten. Statt direkt das komplette SOC-Angebot als Managed Service zu buchen, können Unternehmen hier auch je nach Bedarf mit kleinen Basispaketen starten.

Volker Scholz, SOC Manager Deutschland
Volker Scholz
SOC Manager Deutschland, Axians
Volker Scholz ist Diplom-Wirtschaftsingenieur mit den Schwerpunkten Systemtechnik und Betriebswirtschaftliche Planungssysteme. Im Juni 2019 hat er die Leitung des Security Operations Center (SOC) bei Axians Deutschland übernommen. Seit mehr als zwölf Jahren arbeitet er im Bereich Cyber Security, davon neun Jahre in einem Industrieunternehmen und seit September 2016 bei Axians als Security Architect. Seine Schwerpunkte sind Security-Architekturen, organisatorische Cybersicherheit, Managed Security Services und Security-as-a-Service. (Bildquelle: Axians)

Artikel zu diesem Thema

Security Operations Center
Aug 12, 2019

Fachkräftemangel befeuert Nachfrage nach Cyber Security-Services

Mittelständische Unternehmen in Deutschland fragen derzeit verstärkt externe…
Security Businessman Lupe
Aug 01, 2019

Cyber Security mit Managed Services - Bedrohungen schneller finden

Ransomware hat sich weitestgehend aus den Schlagzeilen verabschiedet, richtet aber…
Auge Scan
Jul 30, 2019

Die Anatomie moderner SIEM-Lösungen

Die Cybersicherheitslandschaft wird zusehends komplexer. Hacker warten ständig mit neuen…

Weitere Artikel

Ransomware

Ransomware-Bekämpfung mit Multi-Faktor-Authentifizierung

Da immer mehr Unternehmen mit Ransomware-Bedrohungen konfrontiert sind, müssen IT-Teams proaktive Schritte heranziehen, um Daten und Anwendungen zu schützen, die für Angreifer zu einem wertvollen Ziel geworden sind.
Cybersecurity

CrowdStrike und AWS bauen Partnerschaft aus

CrowdStrike kündigte heute neue Funktionen für die CrowdStrike Falcon-Plattform an, die mit den Diensten von Amazon Web Services (AWS) funktionieren und Kunden noch besser vor den wachsenden Ransomware-Bedrohungen und zunehmend komplexen Cyberangriffen…
EU Cyber Security

NIS 2 - ein Rückschritt für die Cybersicherheit der EU

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller…
DevSecOps

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und Services. Schon jetzt bieten Smartphone-Apps und Web-Services Möglichkeiten, den Alltag zu vereinfachen und neue Dinge zu erleben. Grundlage dafür sind Nutzerdaten, mit…
Cybersecurity training

Anstieg in der Nachfrage für Sicherheitstrainings

Mit schnellen Schritten nähern wir uns Halloween. Wer sich gruseln möchte, muss allerdings nicht auf den Monatswechsel warten. Denn Oktober ist Cybersecurity Awareness Month, und ein Blick auf die steigende Zahl sowie die immer gravierenderen Folgen von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.