Von einem Security Operations Center (SOC) geht entscheidender Mehrwert aus und gerade kleinen und mittelständischen Unternehmen bieten sich dank moderner MDR-Services (Managed Detection and Response) immer mehr Möglichkeiten, Gefahren schneller zu erkennen und entsprechend abzuwehren.
Angesichts der Komplexität aktueller Angriffsszenarien wird ein vorausschauendes Agieren im Zuge der Umsetzung einer effektiven IT-Strategie (proaktive Gefahrenabwehr) zur Pflicht. Genau hier kommen SOC ins Spiel, die auf die konsequente Überwachung und Analyse der Bedrohungslandschaft ausgelegt sind. Im Hinblick auf die Vorgehensweise fallen dabei immer wieder die Begriffe IoC (Indicators of Compromise) und IoA (Indicators of Attack). Aber was ist der Unterschied in der jeweiligen Ausrichtung? Die folgende Betrachtung hilft bei der Einordnung.
IoC (Indicators of Compromise)
IoC-basierte Analysen erkennen die Gegenwart einer Bedrohung auf einem Computer, wenn dieser bereits kompromittiert wurde. Das bedeutet: IoC werden verwendet, um ein Sicherheitsproblem zu diagnostizieren, das gerade innerhalb des Unternehmens aufgetreten ist. Sie zeigen an, dass eine Sicherheitsgefährdung stattgefunden hat oder in Kürze bevorstand.
Ziel ist die Identifikation von Dateien oder Ereignissen, die zuvor als bösartig eingestuft wurden – wie beispielsweise Phishing-Mails, Malware-Dateien, IPAdressen, die im Zusammenhang mit Cyberkriminalität stehen, oder riskante Verzeichniseinträge. IoC sind für Unternehmen immer dann nützlich, wenn es darum geht, den Schaden nach oder während einer Kompromittierung zu analysieren – und entsprechend zu reagieren, um Schlimmeres zu verhindern. Zugleich können aufgedeckte Lücken geschlossen werden, damit sich ähnliche Szenarien in Zukunft nicht wiederholen.
IoA (Indicators of Attack)
Die Suche nach IoA folgt einer anderen Philosophie, hierbei ist deutlich mehr Proaktivität im Spiel: Aufgabe ist es, die Kompromittierung anhand verdächtiger Aktivitäten vorherzusehen. Mit anderen Worten: IoA wirken nicht erst, wenn der Angriff bereits stattgefunden hat, sondern zum Zeitpunkt der Attacke oder bereits davor.
Sie machen auf jeden Angriffsversuch aufmerksam – unabhängig davon, welche Methode zur Umgehung des Sicherheitssystems des Unternehmens angewendet wurde. Das heißt, IoA erkennen selbst Angriffsschritte, für die keine Malware erforderlich ist, wie bei Livingoff-the-Land-Techniken.
Gefahren rechtzeitig erkennen
Für den Schutz einer Organisation sind grundsätzlich beide Konzepte notwendig, wobei der proaktive IoA-Ansatz im Hinblick auf die Vermeidung von Sicherheitsvorfällen einen klaren Schritt weitergeht. Insofern liefern MDR-Anbieter (Managed Detection and Response) wertvolle Unterstützung. Ihre Dienste sind hochgradig proaktiv ausgerichtet.
Das Gesamtpaket umfasst dabei nicht nur effektive Technologie auf Basis von Künstlicher Intelligenz und Maschinellem Lernen, sondern auch Cybersicherheitsexperten sowie gut definierte und routinierte Prozesse, die massiv zum Schutz von Unternehmen gegenüber fortschrittlichen Bedrohungen beitragen.
Damit ist das SOCKonzept bei Weitem nicht mehr nur Konzernen vorbehalten, die über die nötige Manpower verfügen und hohe IT-Budgets zur Verfügung haben. Immer mehr Service-Angebote richten sich gerade an KMUs. Und diese sind gut damit beraten, dem Thema Managed Detection and Response einen genaueren Blick zu schenken. Denn die besten Karten bei der Absicherung hat derjenige, der die Gefahren erkennt, bevor das Eis dünn wird.