Anzeige

Security Operations Center (SOC)

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der sie anhand von eigens definierten Abläufen arbeiten und spezielle Tools einsetzen. In der Schaltzentrale laufen essenzielle Cyber-Security-Prozesse wie Gefahrenfrüherkennung und -beseitigung sowie Prognosen weitgehend automatisiert ab und erhöhen damit das Sicherheitsniveau.

Für Unternehmen, die ihren Sicherheitsbedarf nicht mit eigenen Mitteln abdecken können, ist die Dienstleistung „SOC as a Service“ interessant.

Die meisten Unternehmen verfolgen noch den klassischen Ansatz und sichern vor allem ihren Perimeter ab. Das geschieht über erprobte Basiskomponenten wie E-Mail-Gateways mit Content-Prüfung, Web-Proxys, Firewalls und Antimalware-Systeme. Mit dem Verwalten dieser konventionellen Systeme sind die Administratoren meist schon ausgelastet. Da in letzter Zeit zahlreiche Sicherheitsattacken und Datenverluste bekannt geworden sind, fokussieren sich Unternehmen zunehmend darauf, Sicherheitsvorfälle zu erkennen, zu untersuchen und abzuwenden. Angriffe, die sich nicht verhindern lassen, werden dann zumindest schnell entdeckt. Nur so lässt sich zeitnah darauf reagieren. Jedoch ist zu beachten, dass sich das Sicherheitsniveau auch durch zusätzliche Investitionen in Cybersicherheit irgendwann nicht weiter erhöhen lässt. Dann hilft nur noch eine bessere Verteilung des Sicherheitsbudgets, mit der ein zielgerichteter Einsatz von Personal, Prozessen und Technologie hergestellt werden kann sowie effizientes Management und die Optimierung des Cyber-Security-Programms.

Security Operations Center (SOC) bilden die angemessene Reaktion auf die akute Bedrohungslage und helfen Unternehmen proaktiv, sich gegen zukünftige Gefahren zu wappnen. Ein SOC versteht sich als Leitstelle für alle sicherheitsrelevanten Services rund um die IT von Unternehmen und Organisationen. Das Zusammenspiel von Cyber-Security-Experten, Prozessen und speziellen Tools schützt IT-Infrastrukturen und Daten in Echtzeit oder auch proaktiv vor Bedrohungen. Unternehmen, die Sicherheitsvorfälle noch nicht formalisiert behandeln können, stehen vor der enormen Herausforderung, ein SOC von Grund auf zur zentralen Visualisierung, Alarmierung und Analyse aufzubauen. Spezialisierte Managed Security Services Provider wie Axians verfügen bereits über funktionierende SOCs und können diese im Auftrag von Unternehmen betreiben.

Die drei Phasen des SOC

Die Aktivitäten eines SOC unterteilen sich in die drei Phasen Detect (entdecken), Respond (reagieren) und Recover (wiederbeschaffen, erholen). In der Detect-Phase benötigt man Tools, die Ereignisdaten in der Unternehmens-IT einsammeln, verdichten, auf bekannte Angriffsmuster überprüfen und Zusammenhänge aufzeigen. Werden verdächtige Aktivitäten registriert, alarmieren die Instrumente die SOC-Mitarbeiter. Die meisten SOCs setzen ein SIEM-System (Security Information and Event Management System) wie die QRadar-Plattform von IBM ein. Eine solche Lösung sammelt von verschiedenen Systemen innerhalb des Netzwerks des Anwenderunternehmens Log-Dateien, analysiert diese und alarmiert die SOC-Mitarbeiter mit einer kurzen Meldung, wenn es ungewöhnliche oder verdächtige Aktivitäten im Netzwerk gefunden hat. 

In der Respond-Phase geht es darum, Alarme mit zusätzlichen Daten anzureichern, „False Positives“ (falsche Treffer) auszusortieren, Prioritäten festzulegen und weitere Schritte einzuleiten. Weitere Schritte können eine Alarmierung der für die betroffenen Systeme Verantwortlichen sein oder eine tiefergehende Analyse des Vorfalls. 

Den Recover-Teil prägen Prozesse, die firmenindividuell gestaltet sind. Es geht hier darum, alle betroffenen Geräte zu säubern und wieder in die Produktion zu überführen.

Zeit- und Sicherheitsgewinn

Es gibt zwei wichtige Metriken, die für die Leistungsfähigkeit eines SOC entscheidend sind: Die Zeitspanne vom Beginn eines Angriffs bis zu seiner Entdeckung und die Dauer von der Erkennung bis zur Beseitigung des Sicherheitsvorfalls. Eine Attacke vollzieht sich in mehreren Phasen. Nach der ersten Kompromittierung bereitet ein Angreifer mehrere Aktivitäten im Netz des Opfers vor, um anschließend den eigentlichen Angriff zu starten. Der Sicherheitsgewinn eines SOC besteht darin, das Zeitfenster zu verkleinern, das einem Angreifer für seinen Angriff zur Verfügung steht. 

Das Erkennen eines bevorstehenden Angriffs hängt stark von Art und Umfang der eingesetzten Sensoren ab, und wie sie das Umfeld abbilden. Ein SIEM-System kann eine Malware-Infektion innerhalb von Sekunden identifizieren und in der SIEM-Konsole einen Alarm auslösen. Ein erfahrener Analyst erkennt nach wenigen Minuten das Bedrohungspotenzial und leitet die Gegenmaßnahmen ein. Dazu gehören das Schließen eines Firewall-Ports oder das Setzen der Kommunikation auf die Blacklist über ein EDR (Endpoint Detection und Response)-System. Eine andere Reaktion kann das netzwerkseitige Isolieren der infizierten Maschine sein. Neben potenziellen Attacken von außen konzentriert sich das SOC-Team auch auf das schnelle Aufdecken von auffälligem Anwenderverhalten (Insider Threats). Ein solches weist häufig auf kompromittierte Zugangsdaten hin. Das Beseitigen eines Zwischenfalls liegt meistens in der Verantwortung der IT oder des IT-Dienstleisters des Unternehmens.

Managed SOC ist eine valide Alternative

Der Weg zum firmeneigenen SOC führt über eine Strategie, die Cyber-Security-Ziele definiert. Ein Konzept legt Tools, Datenquellen, Incident-Response-Plan, Schwachstellenmanagement, Metriken sowie die Regeln der Zusammenarbeit und das Design des SOC fest. Die Einrichtung eines SOC beginnt mit der Installation aller Systeme für Arbeitsplätze, einschließlich eines SIEM mit den benötigten Log-Quellen, eines SOAR-(Security Orchestration Automation and Response-)Tools, das eine Zusammenarbeit zwischen verschiedenen Teams ermöglicht und Routine-Tätigkeiten automatisiert, eines Ticketsystems und vielem mehr. Die größten Fallstricke bestehen im Unterschätzen der Komplexität des Themas, der mangelnden Verfügbarkeit geeigneten Personals und der fehlenden Unterstützung aus anderen Abteilungen.

Unabhängig von der Branche erweist es sich daher als wesentlich effizienter für viele Unternehmen, ihr SOC auszulagern. Viele Unternehmen wählen eine Private-Cloud-Lösung, für die es zwei grundlegende Betriebsvarianten gibt: Im CAPEX-Modell erwirbt ein Unternehmen die Infrastruktur und lässt diese dann von einem Managed Security Services Provider (MSSP) betreiben. Im Gegensatz dazu übernimmt der Dienstleister im OPEX-Modell alle Leistungen, er bietet den kompletten SOC-Betrieb gegen eine Monatsgebühr an und stellt dem Kunden dafür eine dedizierte Plattform zur Verfügung. Alternativ bieten MSSP wie Axians Public Clouds für diejenigen Kunden, die mit einer Best Practice-Lösung arbeiten möchten. Statt direkt das komplette SOC-Angebot als Managed Service zu buchen, können Unternehmen hier auch je nach Bedarf mit kleinen Basispaketen starten.

Volker Scholz, SOC Manager Deutschland
Volker Scholz
SOC Manager Deutschland, Axians
Volker Scholz ist Diplom-Wirtschaftsingenieur mit den Schwerpunkten Systemtechnik und Betriebswirtschaftliche Planungssysteme. Im Juni 2019 hat er die Leitung des Security Operations Center (SOC) bei Axians Deutschland übernommen. Seit mehr als zwölf Jahren arbeitet er im Bereich Cyber Security, davon neun Jahre in einem Industrieunternehmen und seit September 2016 bei Axians als Security Architect. Seine Schwerpunkte sind Security-Architekturen, organisatorische Cybersicherheit, Managed Security Services und Security-as-a-Service. (Bildquelle: Axians)

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Operations Center
Aug 12, 2019

Fachkräftemangel befeuert Nachfrage nach Cyber Security-Services

Mittelständische Unternehmen in Deutschland fragen derzeit verstärkt externe…
Security Businessman Lupe
Aug 01, 2019

Cyber Security mit Managed Services - Bedrohungen schneller finden

Ransomware hat sich weitestgehend aus den Schlagzeilen verabschiedet, richtet aber…
Auge Scan
Jul 30, 2019

Die Anatomie moderner SIEM-Lösungen

Die Cybersicherheitslandschaft wird zusehends komplexer. Hacker warten ständig mit neuen…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!