Anzeige

Security Operations Center (SOC)

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der sie anhand von eigens definierten Abläufen arbeiten und spezielle Tools einsetzen. In der Schaltzentrale laufen essenzielle Cyber-Security-Prozesse wie Gefahrenfrüherkennung und -beseitigung sowie Prognosen weitgehend automatisiert ab und erhöhen damit das Sicherheitsniveau.

Für Unternehmen, die ihren Sicherheitsbedarf nicht mit eigenen Mitteln abdecken können, ist die Dienstleistung „SOC as a Service“ interessant.

Die meisten Unternehmen verfolgen noch den klassischen Ansatz und sichern vor allem ihren Perimeter ab. Das geschieht über erprobte Basiskomponenten wie E-Mail-Gateways mit Content-Prüfung, Web-Proxys, Firewalls und Antimalware-Systeme. Mit dem Verwalten dieser konventionellen Systeme sind die Administratoren meist schon ausgelastet. Da in letzter Zeit zahlreiche Sicherheitsattacken und Datenverluste bekannt geworden sind, fokussieren sich Unternehmen zunehmend darauf, Sicherheitsvorfälle zu erkennen, zu untersuchen und abzuwenden. Angriffe, die sich nicht verhindern lassen, werden dann zumindest schnell entdeckt. Nur so lässt sich zeitnah darauf reagieren. Jedoch ist zu beachten, dass sich das Sicherheitsniveau auch durch zusätzliche Investitionen in Cybersicherheit irgendwann nicht weiter erhöhen lässt. Dann hilft nur noch eine bessere Verteilung des Sicherheitsbudgets, mit der ein zielgerichteter Einsatz von Personal, Prozessen und Technologie hergestellt werden kann sowie effizientes Management und die Optimierung des Cyber-Security-Programms.

Security Operations Center (SOC) bilden die angemessene Reaktion auf die akute Bedrohungslage und helfen Unternehmen proaktiv, sich gegen zukünftige Gefahren zu wappnen. Ein SOC versteht sich als Leitstelle für alle sicherheitsrelevanten Services rund um die IT von Unternehmen und Organisationen. Das Zusammenspiel von Cyber-Security-Experten, Prozessen und speziellen Tools schützt IT-Infrastrukturen und Daten in Echtzeit oder auch proaktiv vor Bedrohungen. Unternehmen, die Sicherheitsvorfälle noch nicht formalisiert behandeln können, stehen vor der enormen Herausforderung, ein SOC von Grund auf zur zentralen Visualisierung, Alarmierung und Analyse aufzubauen. Spezialisierte Managed Security Services Provider wie Axians verfügen bereits über funktionierende SOCs und können diese im Auftrag von Unternehmen betreiben.

Die drei Phasen des SOC

Die Aktivitäten eines SOC unterteilen sich in die drei Phasen Detect (entdecken), Respond (reagieren) und Recover (wiederbeschaffen, erholen). In der Detect-Phase benötigt man Tools, die Ereignisdaten in der Unternehmens-IT einsammeln, verdichten, auf bekannte Angriffsmuster überprüfen und Zusammenhänge aufzeigen. Werden verdächtige Aktivitäten registriert, alarmieren die Instrumente die SOC-Mitarbeiter. Die meisten SOCs setzen ein SIEM-System (Security Information and Event Management System) wie die QRadar-Plattform von IBM ein. Eine solche Lösung sammelt von verschiedenen Systemen innerhalb des Netzwerks des Anwenderunternehmens Log-Dateien, analysiert diese und alarmiert die SOC-Mitarbeiter mit einer kurzen Meldung, wenn es ungewöhnliche oder verdächtige Aktivitäten im Netzwerk gefunden hat. 

In der Respond-Phase geht es darum, Alarme mit zusätzlichen Daten anzureichern, „False Positives“ (falsche Treffer) auszusortieren, Prioritäten festzulegen und weitere Schritte einzuleiten. Weitere Schritte können eine Alarmierung der für die betroffenen Systeme Verantwortlichen sein oder eine tiefergehende Analyse des Vorfalls. 

Den Recover-Teil prägen Prozesse, die firmenindividuell gestaltet sind. Es geht hier darum, alle betroffenen Geräte zu säubern und wieder in die Produktion zu überführen.

Zeit- und Sicherheitsgewinn

Es gibt zwei wichtige Metriken, die für die Leistungsfähigkeit eines SOC entscheidend sind: Die Zeitspanne vom Beginn eines Angriffs bis zu seiner Entdeckung und die Dauer von der Erkennung bis zur Beseitigung des Sicherheitsvorfalls. Eine Attacke vollzieht sich in mehreren Phasen. Nach der ersten Kompromittierung bereitet ein Angreifer mehrere Aktivitäten im Netz des Opfers vor, um anschließend den eigentlichen Angriff zu starten. Der Sicherheitsgewinn eines SOC besteht darin, das Zeitfenster zu verkleinern, das einem Angreifer für seinen Angriff zur Verfügung steht. 

Das Erkennen eines bevorstehenden Angriffs hängt stark von Art und Umfang der eingesetzten Sensoren ab, und wie sie das Umfeld abbilden. Ein SIEM-System kann eine Malware-Infektion innerhalb von Sekunden identifizieren und in der SIEM-Konsole einen Alarm auslösen. Ein erfahrener Analyst erkennt nach wenigen Minuten das Bedrohungspotenzial und leitet die Gegenmaßnahmen ein. Dazu gehören das Schließen eines Firewall-Ports oder das Setzen der Kommunikation auf die Blacklist über ein EDR (Endpoint Detection und Response)-System. Eine andere Reaktion kann das netzwerkseitige Isolieren der infizierten Maschine sein. Neben potenziellen Attacken von außen konzentriert sich das SOC-Team auch auf das schnelle Aufdecken von auffälligem Anwenderverhalten (Insider Threats). Ein solches weist häufig auf kompromittierte Zugangsdaten hin. Das Beseitigen eines Zwischenfalls liegt meistens in der Verantwortung der IT oder des IT-Dienstleisters des Unternehmens.

Managed SOC ist eine valide Alternative

Der Weg zum firmeneigenen SOC führt über eine Strategie, die Cyber-Security-Ziele definiert. Ein Konzept legt Tools, Datenquellen, Incident-Response-Plan, Schwachstellenmanagement, Metriken sowie die Regeln der Zusammenarbeit und das Design des SOC fest. Die Einrichtung eines SOC beginnt mit der Installation aller Systeme für Arbeitsplätze, einschließlich eines SIEM mit den benötigten Log-Quellen, eines SOAR-(Security Orchestration Automation and Response-)Tools, das eine Zusammenarbeit zwischen verschiedenen Teams ermöglicht und Routine-Tätigkeiten automatisiert, eines Ticketsystems und vielem mehr. Die größten Fallstricke bestehen im Unterschätzen der Komplexität des Themas, der mangelnden Verfügbarkeit geeigneten Personals und der fehlenden Unterstützung aus anderen Abteilungen.

Unabhängig von der Branche erweist es sich daher als wesentlich effizienter für viele Unternehmen, ihr SOC auszulagern. Viele Unternehmen wählen eine Private-Cloud-Lösung, für die es zwei grundlegende Betriebsvarianten gibt: Im CAPEX-Modell erwirbt ein Unternehmen die Infrastruktur und lässt diese dann von einem Managed Security Services Provider (MSSP) betreiben. Im Gegensatz dazu übernimmt der Dienstleister im OPEX-Modell alle Leistungen, er bietet den kompletten SOC-Betrieb gegen eine Monatsgebühr an und stellt dem Kunden dafür eine dedizierte Plattform zur Verfügung. Alternativ bieten MSSP wie Axians Public Clouds für diejenigen Kunden, die mit einer Best Practice-Lösung arbeiten möchten. Statt direkt das komplette SOC-Angebot als Managed Service zu buchen, können Unternehmen hier auch je nach Bedarf mit kleinen Basispaketen starten.

Volker Scholz, SOC Manager Deutschland
Volker Scholz
SOC Manager Deutschland, Axians
Volker Scholz ist Diplom-Wirtschaftsingenieur mit den Schwerpunkten Systemtechnik und Betriebswirtschaftliche Planungssysteme. Im Juni 2019 hat er die Leitung des Security Operations Center (SOC) bei Axians Deutschland übernommen. Seit mehr als zwölf Jahren arbeitet er im Bereich Cyber Security, davon neun Jahre in einem Industrieunternehmen und seit September 2016 bei Axians als Security Architect. Seine Schwerpunkte sind Security-Architekturen, organisatorische Cybersicherheit, Managed Security Services und Security-as-a-Service. (Bildquelle: Axians)

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Operations Center
Aug 12, 2019

Fachkräftemangel befeuert Nachfrage nach Cyber Security-Services

Mittelständische Unternehmen in Deutschland fragen derzeit verstärkt externe…
Security Businessman Lupe
Aug 01, 2019

Cyber Security mit Managed Services - Bedrohungen schneller finden

Ransomware hat sich weitestgehend aus den Schlagzeilen verabschiedet, richtet aber…
Auge Scan
Jul 30, 2019

Die Anatomie moderner SIEM-Lösungen

Die Cybersicherheitslandschaft wird zusehends komplexer. Hacker warten ständig mit neuen…

Weitere Artikel

Bergtour

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit dem Unternehmen sich auseinandersetzen. Diesen Prozess effektiv zu gestalten ist alles andere als ein Spaziergang im Park. Der Vergleich mit einer ambitionierten Bergtour…
KI Security

KI-getriebene Security: Automatisierte Bedrohungsanalyse in Sekundenbruchteilen

Unternehmen befinden sich in einem ständigen Kampf gegen immer raffinierter werdende Cyber-Bedrohungen. Durch Künstliche Intelligenz (KI) gesteuerte Sicherheitsprozesse ermöglichen es ihnen, die Kontrolle über ihre Sicherheitssysteme zu behalten und die…
Security Schild

Trustwave launcht Cybersecurity-Kollaborationsplattform

Die neue Cybersecurity-Kollaborationsplattform „Trustwave Security Colony“ bündelt das Wissen einer global gewachsenen Community aus Organisationen und unterstützt die Nutzer dabei, Herausforderungen im Bereich der Cybersicherheit zu lösen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!