17. Dezember 2019 | pArtikel drucken | kKommentieren

So arbeitet ein SOC

Wie arbeitet ein SOC?

Ein SOC kann in einem Unternehmen oder in einer Organisation selbst aufgebaut, teilausgelagert oder komplett ausgelagert sein. Die jeweiligen Aufgaben- und Arbeitsbereiche gliedern sich unter anderem in Monitoring, Analyse und in ein Security Informations- and Event-Management (SIEM) – das in der Regel ein integraler Bestandteil eines SOCs ist. Dieses erfasst, analysiert und korreliert die Informationen und Events.

Die IT-Security Experten und Analysten arbeiten im Schichtbetrieb: 24/7 werten sie die Daten, Security-Prozesse und aktuelle Warnungen aus. Die Entscheidung, ob und wie Maßnahmen zur Abwehr eingeleitet werden, wird vorab vertraglich in einem Runbook festgehalten.

Wie ist ein SOC aufgebaut?

Das SOC ist eine zentrale Unternehmenseinheit, die für die operative IT-Sicherheit verantwortlich ist – von den Prozessen bis hin zu den Technologien. Somit hat ein SOC permanent Systeme, Daten und das Netzwerk eines Unternehmens oder einer Organisation im Blick, um Angriffe oder Bedrohungen zeitnah zu erkennen und diesen gezielt entgegenzuwirken.

In einem SOC laufen alle sicherheitsrelevanten Aufgaben und Tätigkeiten zusammen:

  • Überwachung sämtlicher Aktivitäten im Netzwerk auf Basis dessen, was „eingeliefert“ wird
  • Untersuchung und Bewertung von potenziellen Vorfällen
  • Umsetzung von Gegenmaßnahmen in Abstimmung mit dem Auftraggeber gemäß Runbook

Ein SOC unterstützt alle Geschäftsbereiche operativ bei Sicherheitsfragen und in einer akuten Bedrohungslage.

In der Regel ist ein SOC dreistufig aufgebaut:

Level 1: Die IT-Security Analysten im 1st Level bearbeiten viele Vorfälle in relativ kurzer Zeit. Dabei folgen sie genau definierten Vorgaben, die in Playbooks definiert sind. Diese Werkzeuge funktionieren wie eine Checkliste nach dem Motto: „Wenn dieser Incident auftritt, prüfe das Folgende.“

Level 2: Bei schwereren Bedrohungslagen kommen die IT-Security Analysten aus dem 2nd Level zum Einsatz. Hier ist bereits klar, dass der Vorfall entweder zu schwerwiegend, zu zeitintensiv oder zu umfangreich ist, als dass er sich mit einer formalisierten Vorgehensweise wie einem Playbook lösen ließe.

Hochqualifizierte IT-Security Analysten gehen dem Vorfall nach und arbeiten hier mit Hypothesen intensiv weiter: Könnte dieses oder jenes passiert sein? Anhand individueller Analysen und Korrelationen zu anderen Vorfällen nehmen sich die 2nd Level IT-Security Analysten der Sache an.

Level 3: IT-Security Analysten aus dem 3rd Level sind immer bei Events gefragt, die hochkritisch sind –  etwa wenn der Verdacht besteht, dass ein Advanced Persistent Threat (APT) hinter dem Vorfall stecken könnte.

Die Vorteile eines Security Operations Center liegen also auf der Hand.

Erstens: Die Überwachung der IT-Systemumgebung, der Daten und Netzwerke erfolgt zentral und ist nicht in unterschiedlichen Unternehmensbereichen, Organisationseinheiten oder Abteilungen gekapselt. Das heißt, ein SOC hat den Gesamtüberblick und kann als Folge der Bündelung nicht nur reagieren, sondern proaktiv agieren.

Zweitens: Ein SOC ermöglicht ein sehr hohes Maß an Automation. Wenn die entsprechenden Tools und Policies vorab definiert wurden, laufen viele Teile der Überwachung selbständig ab. Diese Tools filtern Unregelmäßigkeiten automatisiert heraus (z. B. Log-Daten) und stellen Korrelationen her. Zudem können sie automatisiert Alarme auslösen, die im SOC in Echtzeit angezeigt werden.

Auf der Basis von korrelierten Daten lässt sich zügig analysieren, ob es sich um ein Ereignis handelt, dem es nachzugehen gilt. Dieses übernehmen die jeweiligen IT-Security Analysten im SOC.

Diese Voraussetzungen sollten erfüllt sein

Aber: Ein SOC ist nicht für jedes Unternehmen und nicht für jede Organisation sinnvoll.

Bei Unternehmen oder Organisationen, die sich mit der Einrichtung bzw. Beauftragung eines SOC beschäftigen, sollte idealerweise ein grundlegendes IT-Sicherheitskonzept vorhanden sein. Ebenso sollten entsprechende Sicherheits-Sensoren wie IDS, Anti-Malware und Logmanagement implementiert sein. Ein SOC ohne vorhandene Detektoren (Clients, Server, Router, Firewalls, aber auch zusätzlich dedizierte Systeme wie SysMon IDR) ist wie eine Leitstelle ohne Telefon.

Für alle Unternehmen und Organisationen, die eine zuverlässige Lösung suchen, um mehrere Lösungsmodule ihres Sicherheitskonzepts mit Hilfe hochspezialisierter IT-Securityexperten zu verbinden, ist ein SOC die richtige Wahl.

Hintergrund zum Experten

CANCOM Experte Oliver Pfennigschmidt

Oliver Pfennigschmidt verfügt über langjährige Erfahrungen in den Feldern Carrier, IT-Security Distribution, Unternehmensberatung und IT-Security Hersteller. Seit 01.07.2018 ist er in der Abteilung Pre-Sales Consulting als Solution Sales Manager IT-Security am Standort Hamburg angestellt. In Hamburg befindet sich auch das CANCOM SOC. Interessenten können nach Voranmeldung und ausreichender Vorlaufzeit dort gerne eine Live-Demo besuchen.

Weitere Informationen zu den Cyber Defense Services von CANCOM finden Sie hier.

 

Copyright Titelbild: © CANCOM

Seite 2 | 2

Übersicht dieses Artikels:
  1. SEITE 1: Anforderungen an eine moderne IT-Securitylösung
  2. SEITE 2: Wie ein SOC arbeitet, erfahren Sie auf der nächsten Seite
pArtikel drucken | kKommentieren

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info