VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Security Operations CenterDie Digitalisierung konfrontiert viele Betreiber von kritischen Netzwerken erstmals mit dem Aufbau eines Security Operations Center (SOC).

Mit einem SOC können etwa Energieversorger ihre Prozessnetzwerke oder Krankenhäuser und öffentliche Einrichtungen ihre kritischen Netzsegmente effektiv gegen Cyber-Angriffe verteidigen. Der IT-Dienstleister prego services erläutert, worauf sie dabei achten sollten.

Im Zuge der Digitalisierung setzen immer mehr Unternehmen wie etwa Energieversorger, Krankenhäuser und öffentliche Einrichtungen auf IP-basierte Technologien. Das bringt zahlreiche Vorteile mit sich – setzt sie aber auch der steigenden Gefahr von Cyber-Angriffen aus. Für ein effektives IT-Sicherheitsmanagement sorgt ein so genanntes Security Operations Center. Das ist eine zentrale Leitstelle, in der Security-Experten rund um die Uhr die Netzwerke überwachen, Warnungen von Institutionen wie CERT Bund, UP KRITIS oder der Allianz für Cybersicherheit verarbeiten, Reports für das Information Security Management System (ISMS) erstellen, sicherheitsrelevante Vorfälle an das BSI melden und im Fall eines tatsächlichen Angriffs Notfallpläne umsetzen.

Viele Unternehmen werden durch die Digitalisierung von kritischen Netzwerken zum ersten Mal mit dem Thema SOC konfrontiert. Der IT-Dienstleister prego services erläutert, worauf sie beim Aufbau eines Security Operations Center achten sollten.

1. Transparentes Netzwerk schaffen.

Die Voraussetzung dafür, dass ein SOC erfolgreich betrieben werden kann, ist ein möglichst transparentes Netzwerk. Die Verantwortlichen sollten ihre Netzwerke deshalb mit Aktivkomponenten ausstatten, die nicht nur ganzheitlich abgesichert sind, sondern möglichst viele Informationen strukturiert liefern können. Schaltet sich beispielsweise jemand auf die Management-Oberfläche eines Gateways auf, sollte er erkennen können, wer sich dort angemeldet hat. Werden falsche Passwörter eingegeben, muss das Gateway ebenfalls darüber informieren. Auch bei einer Verletzung von Firewall-Regeln sollte das Gateway mitteilen können, von welcher IP-Adresse die Regelverletzung ausging. Zudem helfen Intrusion-Detection-Systeme (IDS), den Datenverkehr zu überwachen und Anomalien im Netzwerk zu erkennen. Auch Honeypots können nützliche Alarmierer für eine Angriffserkennung sein.

2. SIEM-System einrichten.

Zur Überwachung des Netzwerks werden im SOC spezielle Tools benötigt. Ein zentrales Werkzeug ist dabei ein Security-Information-and-Event-Management-System (SIEM). Damit lassen sich die Meldungen der Netzwerkaktivkomponenten aufzeichnen und in Bezug zueinander setzen, um sicherheitsrelevante Vorgänge sichtbar zu machen – zum Beispiel dann, wenn mehrere Regelverletzungen im Netzwerk auftreten, die einen räumlichen oder zeitlichen Zusammenhang aufweisen. Deuten die Vorgänge auf einen Sicherheitsvorfall hin, kann ein SIEM automatisch ein Sicherheitsformular für die Übermittlung an das BSI erzeugen. Schwachstellenanalyse-Tools können außerdem das Patchmanagement der Geräte unterstützen.

3. Expertenkreis etablieren.

Daten und Meldungen müssen korreliert und bewertet werden. Ein gut vernetztes Team erhöht die Reaktionsgeschwindigkeit, um im Notfall mit anderen Institutionen wie etwa dem BSI und der Allianz für Cybersicherheit zusammenzuarbeiten und sich gegenseitig auszutauschen. Aber auch die Ausbildung der eigenen Mitarbeiter im Bereich Security und im Bewerten von Sicherheitsvorfällen ist gut investiertes Geld.

4. Outsourcing des SOC erwägen.

Vor allem mittelständische Unternehmen verfügen in der Regel nicht über genügend explizite Security-Experten, die sich rund um die Uhr in einem SOC engagieren können; und auch die Mittel, um ein solches Team aufzubauen, sind oft nicht vorhanden. Aber auch outgesourcte SOCs haben nicht zu Unrecht den Ruf, sehr kostspielig zu sein. Bei kritischen Netzwerken ist das allerdings meist nicht der Fall. Diese sind im Gegensatz zu Büronetzwerken, die ein dynamisches und unüberschaubares Logging-Aufkommen aufweisen, relativ starr und haben eine weitgehend konstante Anzahl an Meldungen von Routern, Firewalls oder SPS-Steuerungen. Aus diesem Grund sind sie wesentlich überschaubarer und können deshalb von einem externen Dienstleister zu vertretbaren Kosten überwacht, analysiert und betreut werden.

5. Security-Portal schaffen.

Entscheidet sich ein Verantwortlicher eines kritischen Netzwerks dazu, das SOC auszulagern, muss stetig Kontakt untereinander bestehen. Durch zielgerichtete Reports bietet das SOC Transparenz über Security-Vorfälle. So kann schnell über entsprechende Maßnahmen entschieden und diese können umgehend eingeleitet werden – ganz im Sinne eines PDCA-Zyklus (Plan, Do, Check, Act). Ideal ist ein Security-Portal, in dem der Dienstleister die Aktionen für den Kunden, beispielsweise Patchmanagement Incidents, dokumentiert.

"Die Gefahr von Cyber-Angriffen auf kritische Netzwerke wird in Zukunft nicht abnehmen, ganz im Gegenteil. Ein Security Operations Center kann den Verantwortlichen dabei helfen, dieser Herausforderung effizient zu begegnen", sagt Peter Schreieck, Leiter Communication & Network bei prego services. "Vor allem mittelständische Unternehmen haben aber meist nicht die nötigen Experten und Mittel, um selbst ein SOC zu betreiben. Bei kritischen Netzwerken ist das aber nicht weiter schlimm – denn bei ihnen kann ein Outsourcing-Partner das zu vertretbaren Kosten übernehmen."

www.prego-services.de
 

GRID LIST
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Tb W190 H80 Crop Int 2a9bb0e951b163b628cae908b73607c3

8 Tipps für eine optimale Web Application Firewall

Die Entscheidung für die optimale Web Application Firewall (WAF) basiert heute nicht mehr…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Thycotic veröffentlicht kostenloses Least Privilege Discovery Tool

Thycotic, ein Anbieter von Privileged Account Management-Lösungen, hat mit Least…
Risiko Businessman

Das Sicherheitsrisiko von Vorständen ermitteln

NTT Security (Germany) erweitert seine umfangreiche Angebotsreihe um den „Management…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Malwarebytes mit neuer Endpoint Protection and Response-Lösung

Malwarebytes gibt die Veröffentlichung der Malwarebytes Endpoint Protection and…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security