Oliver Pfennigschmidt
Ein Security Operations Center (SOC) richtet sich an Unternehmen, die für sich selbst keine 24/7-Angriffsüberwachung und -abwehr aufbauen können oder es aufgrund des hohen internen Aufwands nicht wollen. Im Gastbeitrag von CANCOM-Experten Oliver Pfennigschmidt erfahren Sie, wie ein SOC arbeitet und welche Vorteile Managed Security Services für Unternehmen bieten.
17. Dezember 2019
|
Lesedauer: ca. 8 Min.
Bild: © CANCOM
Im Gastbeitrag zeigt CANCOM-Experte Oliver Pfennigschmidt vielfältige Facetten rund um das Thema Security Operations Center (kurz: SOC) auf. So erklärt er, was ein SOC auszeichnet, was dieses leistet und wie dieses arbeitet und aufgebaut ist. Dabei geht er explizit auf den wesentlichen Vorteil eines SOC ein: Die frühzeitige Erkennung und Reaktion auf Cyberbedrohungen – um potenzielle Schäden im Voraus zu vermeiden.
IT-Abteilungen kommen an ihre Grenzen, da sich heutzutage jedes Unternehmen mit neuen Cyberbedrohungen auseinander setzen muss. Dazu kommen die steigenden Anforderungen im Bereich IT-Security und Compliance. Allein diese Erfordernisse für zeitgemäße IT-Security sind für viele Unternehmen kaum noch händelbar.
Ein SOC unterstützt Unternehmen bei der umfassenden Abwehr von Angriffen. Um dieses Ziel zu erreichen, sind IT-Security Experten und Analysten, marktführende Tools und Technologien sowie optimierte Prozesse eine Grundvoraussetzung.
Viele der in diesem Zusammenhang stehenden Faktoren wie z. B. Ransomware und Würmer, können durch aktuelle Sicherheitskonstrukte wie Firewallsysteme, Endpoint-Lösungen und ATP-Systeme (Advanced Threat Protection) erkannt werden. Die Herausforderung liegt aber in den nahezu unbegrenzten Kombinationsmöglichkeiten der verschiedensten Angriffsvektoren, der individuellen Kreativität der Angreifer und der anvisierten Ziele der Cyberangriffe.
Aus genau diesem Grund setzt ein SOC bzw. CSOC (Cyber Security Operations Center) sowohl auf automatisierte Lösungen als auch auf die Erfahrung von IT-Security Analysten. Studien und Erfahrungswerte haben ergeben, dass ca. 98 Prozent aller Meldungen (Security Events) automatisiert abgearbeitet werden können. Es bleiben also ca. 2 Prozent der Meldungen, Warnungen und Security Events, die sich nicht automatisiert analysieren lassen.
Hierzu ein kleines Rechenbeispiel: In einer durchschnittlichen IT-Infrastruktur kommen pro Tag ca. 1000 Meldungen, Warnungen und Security Events zustande – bestehend aus Regelverstößen, Bedrohungen und Verdachtsfällen. Davon können etwa 20 Security Events nicht durch automatisierte Systeme näher beleuchtet werden.
Erfahrungsgemäß ergibt sich prozentual eine Event-Verteilung (Regelverstoß, Bedrohung, Verdachtsfall) von 50%-30%-20%. Im o.g. Beispielfall bedeutet dies bei 20 Events, eine Verteilung auf 10 Regelverstöße, 6 Bedrohungen und 4 Verdachtsfälle. Fokussiert man sich nun auf die 4 Verdachtsfälle, können nach einer „händischen“ Untersuchung durch einen IT-Security Analysten ca. 2 bis 3 Events mit einer hohen Wahrscheinlichkeit als unkritisch eingestuft werden.
Somit ergibt sich: Ein Event pro Tag ist mit sehr hoher Wahrscheinlichkeit Teil einer möglichen Cyberattacke und wird damit als hoch kritisch eingestuft. Anschließend untersuchen IT-Security-Analysten zusammen mit den Kundenverantwortlichen diese Meldungen. Dabei gehen sie nach einem bestimmten Prozess vor.
Dennoch kann eine SOC-Lösung keine absolute Sicherheit bieten, dessen muss man sich bewusst sein. Es ist jedoch ein wichtiger Baustein im Bereich der IT-Security. Ein SOC bietet streng genommen eher ein Monitoring der IT-Infrastruktur, um Angriffe frühzeitig zu bemerken und die Sicherheitslücke, die zum Angriff geführt hat, zu beheben. In machen Fällen können die SOC IT-Security Analysten durch die frühzeitige Erkennung einen Angriff tatsächlich abwehren. Daneben betreibt ein SOC ein proaktives Risikomanagement und übernimmt optional grundlegende IT-Sicherheitsdienstleistungen – wie Firewall-, Network- oder Endpoint-Security.
Tatsächlich ist die frühzeitige Erkennung von Cyberattacken eine Grundvoraussetzung, um potenzielle Schäden begrenzen bzw. wiedergutmachen zu können. Sind Unternehmen und Organisationen nicht ausreichend geschützt, bleiben die Eindringlinge in der Regel lange unentdeckt. Sie breiten sich in den Unternehmensnetzen weiter aus und können z. B. sensible Daten entwenden, eine Daten-Verschlüsselung starten oder Angriffe auf kritische Infrastrukturen durchführen. Gerade bei Attacken auf Healthcare-Einrichtungen, auf Versorgungsunternehmen, auf Banken und Versicherungen sowie auf Einrichtungen des Bundes steht weit mehr als nur der mögliche wirtschaftliche Schaden auf dem Spiel.
So haben Cryptolocker und Krypto-Trojaner wie BadRabbit, Petya und WannaCry enorme Schäden (teilweise im Milliarden Euro Bereich) verursacht und mit der Einbindung von IoT-Systemen in Botnetze sind neue Angriffsmuster entstanden – IoT_Reaper und IoTroop sind nur einige Beispiele. Hinzu kommen Advanced Persistent Threats (ATP), die nicht mehr die Ausnahme, sondern immer mehr die Regel bilden. Darunter versteht man individuell ausgearbeitete Attacken, die über mehrere Eingangstore (Point-of-Entry) und einen langen Zeitraum stattfinden.
Für Unternehmen und Organisationen gilt deshalb: Die Früherkennung und schnelle Analyse von Sicherheitsrisiken und -bedrohungen wird immer wichtiger. Aus diesem Grund ist ein SOC generell für jedes Unternehmen und jede Behörde äußerst interessant. Dabei ist es egal, wie groß das Unternehmen, die Organisation oder die Behörde ist – alle stehen sie vor der Herausforderung, auf professioneller werdende Angreifer zeitnah zu reagieren.
In Anbetracht des aktuellen akuten IT-Fachkräftemangels fehlen Unternehmen und Organisationen allerdings häufig die personellen und technischen Ressourcen für den Aufbau eines eigenen SOCs. Hinzu kommen der 24/7 Betrieb und die kontinuierlichen Updates der benötigten Sicherheitstechnologien.
Abhilfe schaffen hier die Managed Security Services: So haben Unternehmen die Möglichkeit, ein SOC bei einem IT-Dienstleister einzukaufen. Je nach Angebot kann der IT-Dienstleister es komplett betreiben oder dedizierte Aufgaben des Kunden übernehmen. Individuell zusammengestellt, bieten Managed Security Services Unternehmen und Organisationen einen hohen Schutz vor Cyber-Bedrohungen. Damit sind die Voraussetzungen geschaffen, um Sicherheitsrisiken proaktiv und effizient zu erkennen und zu managen.
Als ideales IT-Security Lösungskonzept decken Managed Security Services das gesamte Spektrum von End-to-End-Securityservices ab. Dies beginnt mit dem IT-Infrastruktur-Management und reicht über das Device- und Change-Management bis hin zum Monitoring und Reporting – einschließlich ganz konkreter Handlungsempfehlungen.
Darüber hinaus haben Unternehmen und Organisationen heutzutage zusätzliche Anforderungen an eine IT-Securitylösung, die sowohl gesetzliche Vorschriften (z.B. DSGVO) als auch Compliance-Vorgaben erfüllt. Die IT-Securitylösung muss personenbezogene und unternehmenskritische Daten schützen und einen zuverlässigen und reibungslosen IT-Betrieb gewährleisten.
Auf den Punkt gebracht: Ein SOC soll Bedrohungen frühzeitig erkennen und darauf extrem zeitnah reagieren (CANCOM.info berichtete). Die IT-Security Spezialisten eines Security Operations Center betreiben eigenständig Monitoring und Analyse, d.h. sie sammeln umfangreiche Informationen im Unternehmensnetzwerk, korrelieren diese (u.a. automatisiert) und werten diese Datenmengen aus. Mit dem Ziel, Vorfälle und Angriffe zu erkennen, darauf zu reagieren und Angreifer wieder auszusperren sowie nach Möglichkeit zu identifizieren.
Seite 1
