Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der sie anhand von eigens definierten Abläufen arbeiten und spezielle Tools einsetzen. In der Schaltzentrale laufen essenzielle Cyber-Security-Prozesse wie Gefahrenfrüherkennung und -beseitigung sowie Prognosen weitgehend automatisiert ab und erhöhen damit das Sicherheitsniveau.
Für Unternehmen, die ihren Sicherheitsbedarf nicht mit eigenen Mitteln abdecken können, ist die Dienstleistung „SOC as a Service“ interessant.
Die meisten Unternehmen verfolgen noch den klassischen Ansatz und sichern vor allem ihren Perimeter ab. Das geschieht über erprobte Basiskomponenten wie E-Mail-Gateways mit Content-Prüfung, Web-Proxys, Firewalls und Antimalware-Systeme. Mit dem Verwalten dieser konventionellen Systeme sind die Administratoren meist schon ausgelastet. Da in letzter Zeit zahlreiche Sicherheitsattacken und Datenverluste bekannt geworden sind, fokussieren sich Unternehmen zunehmend darauf, Sicherheitsvorfälle zu erkennen, zu untersuchen und abzuwenden. Angriffe, die sich nicht verhindern lassen, werden dann zumindest schnell entdeckt. Nur so lässt sich zeitnah darauf reagieren. Jedoch ist zu beachten, dass sich das Sicherheitsniveau auch durch zusätzliche Investitionen in Cybersicherheit irgendwann nicht weiter erhöhen lässt. Dann hilft nur noch eine bessere Verteilung des Sicherheitsbudgets, mit der ein zielgerichteter Einsatz von Personal, Prozessen und Technologie hergestellt werden kann sowie effizientes Management und die Optimierung des Cyber-Security-Programms.
Security Operations Center (SOC) bilden die angemessene Reaktion auf die akute Bedrohungslage und helfen Unternehmen proaktiv, sich gegen zukünftige Gefahren zu wappnen. Ein SOC versteht sich als Leitstelle für alle sicherheitsrelevanten Services rund um die IT von Unternehmen und Organisationen. Das Zusammenspiel von Cyber-Security-Experten, Prozessen und speziellen Tools schützt IT-Infrastrukturen und Daten in Echtzeit oder auch proaktiv vor Bedrohungen. Unternehmen, die Sicherheitsvorfälle noch nicht formalisiert behandeln können, stehen vor der enormen Herausforderung, ein SOC von Grund auf zur zentralen Visualisierung, Alarmierung und Analyse aufzubauen. Spezialisierte Managed Security Services Provider wie Axians verfügen bereits über funktionierende SOCs und können diese im Auftrag von Unternehmen betreiben.
Die drei Phasen des SOC
Die Aktivitäten eines SOC unterteilen sich in die drei Phasen Detect (entdecken), Respond (reagieren) und Recover (wiederbeschaffen, erholen). In der Detect-Phase benötigt man Tools, die Ereignisdaten in der Unternehmens-IT einsammeln, verdichten, auf bekannte Angriffsmuster überprüfen und Zusammenhänge aufzeigen. Werden verdächtige Aktivitäten registriert, alarmieren die Instrumente die SOC-Mitarbeiter. Die meisten SOCs setzen ein SIEM-System (Security Information and Event Management System) wie die QRadar-Plattform von IBM ein. Eine solche Lösung sammelt von verschiedenen Systemen innerhalb des Netzwerks des Anwenderunternehmens Log-Dateien, analysiert diese und alarmiert die SOC-Mitarbeiter mit einer kurzen Meldung, wenn es ungewöhnliche oder verdächtige Aktivitäten im Netzwerk gefunden hat.
In der Respond-Phase geht es darum, Alarme mit zusätzlichen Daten anzureichern, „False Positives“ (falsche Treffer) auszusortieren, Prioritäten festzulegen und weitere Schritte einzuleiten. Weitere Schritte können eine Alarmierung der für die betroffenen Systeme Verantwortlichen sein oder eine tiefergehende Analyse des Vorfalls.
Den Recover-Teil prägen Prozesse, die firmenindividuell gestaltet sind. Es geht hier darum, alle betroffenen Geräte zu säubern und wieder in die Produktion zu überführen.
Zeit- und Sicherheitsgewinn
Es gibt zwei wichtige Metriken, die für die Leistungsfähigkeit eines SOC entscheidend sind: Die Zeitspanne vom Beginn eines Angriffs bis zu seiner Entdeckung und die Dauer von der Erkennung bis zur Beseitigung des Sicherheitsvorfalls. Eine Attacke vollzieht sich in mehreren Phasen. Nach der ersten Kompromittierung bereitet ein Angreifer mehrere Aktivitäten im Netz des Opfers vor, um anschließend den eigentlichen Angriff zu starten. Der Sicherheitsgewinn eines SOC besteht darin, das Zeitfenster zu verkleinern, das einem Angreifer für seinen Angriff zur Verfügung steht.
Das Erkennen eines bevorstehenden Angriffs hängt stark von Art und Umfang der eingesetzten Sensoren ab, und wie sie das Umfeld abbilden. Ein SIEM-System kann eine Malware-Infektion innerhalb von Sekunden identifizieren und in der SIEM-Konsole einen Alarm auslösen. Ein erfahrener Analyst erkennt nach wenigen Minuten das Bedrohungspotenzial und leitet die Gegenmaßnahmen ein. Dazu gehören das Schließen eines Firewall-Ports oder das Setzen der Kommunikation auf die Blacklist über ein EDR (Endpoint Detection und Response)-System. Eine andere Reaktion kann das netzwerkseitige Isolieren der infizierten Maschine sein. Neben potenziellen Attacken von außen konzentriert sich das SOC-Team auch auf das schnelle Aufdecken von auffälligem Anwenderverhalten (Insider Threats). Ein solches weist häufig auf kompromittierte Zugangsdaten hin. Das Beseitigen eines Zwischenfalls liegt meistens in der Verantwortung der IT oder des IT-Dienstleisters des Unternehmens.
Managed SOC ist eine valide Alternative
Der Weg zum firmeneigenen SOC führt über eine Strategie, die Cyber-Security-Ziele definiert. Ein Konzept legt Tools, Datenquellen, Incident-Response-Plan, Schwachstellenmanagement, Metriken sowie die Regeln der Zusammenarbeit und das Design des SOC fest. Die Einrichtung eines SOC beginnt mit der Installation aller Systeme für Arbeitsplätze, einschließlich eines SIEM mit den benötigten Log-Quellen, eines SOAR-(Security Orchestration Automation and Response-)Tools, das eine Zusammenarbeit zwischen verschiedenen Teams ermöglicht und Routine-Tätigkeiten automatisiert, eines Ticketsystems und vielem mehr. Die größten Fallstricke bestehen im Unterschätzen der Komplexität des Themas, der mangelnden Verfügbarkeit geeigneten Personals und der fehlenden Unterstützung aus anderen Abteilungen.
Unabhängig von der Branche erweist es sich daher als wesentlich effizienter für viele Unternehmen, ihr SOC auszulagern. Viele Unternehmen wählen eine Private-Cloud-Lösung, für die es zwei grundlegende Betriebsvarianten gibt: Im CAPEX-Modell erwirbt ein Unternehmen die Infrastruktur und lässt diese dann von einem Managed Security Services Provider (MSSP) betreiben. Im Gegensatz dazu übernimmt der Dienstleister im OPEX-Modell alle Leistungen, er bietet den kompletten SOC-Betrieb gegen eine Monatsgebühr an und stellt dem Kunden dafür eine dedizierte Plattform zur Verfügung. Alternativ bieten MSSP wie Axians Public Clouds für diejenigen Kunden, die mit einer Best Practice-Lösung arbeiten möchten. Statt direkt das komplette SOC-Angebot als Managed Service zu buchen, können Unternehmen hier auch je nach Bedarf mit kleinen Basispaketen starten.