Was ist ein SOC?
Die ISO 27001 fordert die Umsetzung von Sicherheitsmaßnahmen. Mit NIS 2.0 benötigen viele Unternehmen auch einen SOC, um die in Echtzeit auf eine gefährliche Bedrohungslage zu reagieren.
Die Bedeutung der SOC Abkürzung
Die Abkürzung SOC steht für das Security Operations Center einer Organisation. Das ist eine organisatorische Einheit besteht aus einem Informationssicherheitsteam und speziellen Systemen zur Angriffserkennung. Das SOC überwacht ständig die Sicherheitslage einer Organisation oder eines Unternehmens. Ihre Aufgabe ist die Erkennung, Analyse und Reaktion auf Cybersicherheitsangriffe. Sicherheitsteam nutzen verschiedene Sicherheitslösungen um Gefahren vorzeitig zu erkennen. Dabei folgenden Sie Verfahrensanweisungen und Empfehlungen der ISO 27001 bzw. NIS 2.0 Standards. Hinzukommen auch Best Practice Methoden, die sich in der Praxis bewährt haben. Ein SOC benötigt qualifizierte Mitarbeiter. Diese müssen regelmäßig fortgebildet werden. Aufgrund der Komplexität eines solchen Sicherheitszentrums, sind die Teams meist in die verschiedenen Rollen aufgeteilt. Ein Team überwacht fortwährend alle Aktivitäten an den Grenzen der Organisation als auch innerhalb des eigenen Netzwerkes. Ein Team übernimmt die Rolle des Incident-Response-Teams, welches sich mit den Sicherheitsproblemen nach ihrer Entdeckung auseinandersetzen. Ihre Aufgabe ist es die identifizierten Vorfälle zu dokumentieren und Gefahren abzuwehren.
Ein Security Operations Center einrichten
Ein Security Operations Center einzurichten, erfordert eine entsprechende Anzahl Mitarbeiter als auch spezielle technische Infrastruktur. Nicht alle Unternehmen sind in der Lage die Anforderungen eines Security Operations Center zu erfüllen. Folgende Aspekte können die Einführung eines eigenen SOC verhindern:
- fehlenden Ressourcen
- mangelndes Fachwissen
- zu wenige Fachkräfte
- zu wenig Zeit
- zu hohe Lizenzkosten
- zu hohe Betriebskosten
Für viele Unternehmen macht es wirtschaftlich kaum Sinn einen eigenen SOC zu betreiben. Dennoch können Unternehmen auf die Schutzfunktionen eines SOC kaum noch verzichten. Einen SOC Dienst gemeinsam mit anderen Unternehmen zu nutzen macht kaufmännisch gesehen deutlich mehr Sinn, denn die hohen Anlaufkosten und Betriebskosten werden durch die Nutzer geteilt. Da man aber meist keine eigenen Ressourcen zu einem Sicherheitszentrum betragen kann, ist die Nutzung eines SOC-Dienstes eines externen vertrauenswürdigen IT-Partner die optimale Lösung. Hier spricht man häufig vom „SOC as a Service“ oder dem „Managed SOC-Dienst„.
Die in einem SOC verwendete Technologie
Jedes Security Operation Center (SOC) benötigt spezielle Software und Hardware. In folgenden Teil dieses Artikels stellen wir die wichtigsten technischen Komponenten eines SOC vor. Die große Anzahl an Sicherheitsereignissen an der Peripheriegrenze der Organisation erfordert eine Vielzahl an Hilfssystemen, damit die Fachkräfte bei der Flut an Aktivitäten den Überblick behalten. Viele Prozesse in einem SOC müssen automatisiert werden. Das SOC Team muss mit den bedrohlichen Ereignissen zeitnah und korrekt umzugehen. Werden die wichtigsten Bedrohungen nicht rechtzeitig erkannt und abgewehrt, drohen der Organisation große Schäden.
SIEM - Security Information and Event Management
Ein SIEM sammelt, analysiert und kategorisiert Echtzeitdaten aus einer Vielzahl von Quellen. Dadurch erhalten Sie einen realistischen Einblick in die Aktivitäten an den verschiedenen Bereichen innerhalb Ihres Netzwerks. Das SIEM analysiert die ermittelten Daten, um rechtzeitig mögliche Bedrohungen zu erkennen. Dadurch kann das Sicherheitsteam des SOC zeitnah auf Bedrohungen reagieren. Bei einem SIEM ist die Benutzerfreundlichkeit sehr wichtig, da sonst Berichte und Ereignisse nicht richtig eingeordnet werden können. Es ist nicht einfach Anwendungsfälle richtig zu definieren. Häufig führt dies zu Diskussionen mit den Fachabteilungen und der Geschäftsleitung, ob dies abnormal Ereignisse sind oder die Ergebnisse des SOC schlecht angesehen werden. Die Akzeptanz des SOC kann bei Nutzung eines ungeeigneten SIEM erheblich leiden.
EDR - Endpoint Detection and Response
Alle Systeme und Geräte in einem Netzwerk können durch Cyberangriffe gegen die eigene Organisation verwendet werden. Ein EDR erkennt bösartige Aktivitäten und Software auf Endgeräten (Endpoints) der Organisation. Dabei ist ein EDR in der Lage, den Weg des Angreifers schritt für Schritt nachvollziehen. Dadurch können Sicherheitsteams auch im Nachhinein schnell verwundbare Lücken in der Infrastruktur identifizieren und nachhaltig schließen. Somit helfen EDR-Lösungen, die Bedrohung zu beseitigen und ihre Ausbreitung zu verhindern.
NGFW - Next-Generation Firewall
Eine klassische Firewall überwacht den ein- und ausgehenden Netzwerkverkehr. Dabei folgt sie recht starren Regeln. Moderne Angriffsszenarien können problemlos solche einfachen Firewalls überwinden. Dagegen handelt eine NGFW Firewall dynamisch und muss nicht unbedingt innerhalb ihres Standorts befinden. Einige Innovative NGFW arbeiten in der Cloud und können dennoch den eingehenden den Verkehr von hoch komplexen Angriffen trennen. Sie behalten vollständige Transparenz, Kontrolle und stärkere Prävention.
Automated application security
Die in der Organisation verwendete Software muss auf Schwachstellen geprüft werden. Application Security automatisiert diese Softwareanalysen. Dadurch erhält das SOC-Sicherheitsteam in Echtzeit Hinweise auf Schwachstellen in der verwendeten Software. Ungeschützte Anwendungen können ein Einfallstor für Cyberkriminelle und Cyberterror sein. Typische Cyberangriffe sind DDoS-Angriffe, raffinierte SQL-Injektionen sowie bösartige Quellen.
Security assessments
Die Sicherheitsanalysten eines SOC suchen nach Schwachstellen in Ihrer IT Infrastruktur. Gleichzeitig gleichen sie die Informationen aus Schwachstellendatenbanken (z.B. DFN-CERT, Bund-CERT, BSI). Ein erfolgreiches Security Assessment soll die Organisation helfen ein angemessenes Sicherheitsniveau aufrecht zu erhalten. Sicherheitsvorfälle können zu großen Schäden führen (z.B. Reputationsschäden, Klagerisiken, Insolvenz). Zugleich will man Datenschutzverletzungen vermeiden.