Security Operations Center (SOC)

Teams für die gezielte Erkennung und Validierung von Bedrohungen

Was ist ein Security Operations Center?

Ein SOC ist ein zentrales Sicherheitsbetriebszentrum, das entweder an einem festen, physischen Ort besteht oder eine virtuelle Organisation ist und sich der Überwachung, Erkennung und Behebung von Sicherheitsproblemen und -vorfällen widmet, die in einem Unternehmen auftreten können. Es gibt mehrere Modelle für die Implementierung eines SOC im Rahmen eines größeren Programms zur Erkennung von Vorfällen und Maßnahmen (IDR), darunter interne Modelle, gemeinsam verwaltete Modelle und voll verwaltete oder ausgelagerte Modelle.

Sie können sich ein Security Operations Center wie einen typischen Krisenraum oder „War Room“ in einem Film vorstellen: ein dunkler Raum voller detaillierter Karten, ausgeklügelter Monitore und Analysten mit Kopfhörern. Die meisten SOCs sind jedoch nicht wirklich vorhanden oder gar ein Raum, sondern genauer gesagt, ein formell organisiertes Team, das eine bestimmte Reihe von Sicherheitsaufgaben und Zuständigkeiten übernommen hat, um Bedrohungen in Ihrer Umgebung zu erkennen und zu validieren.

 

Wer braucht ein Security Operations Center (SOC)?

Unabhängig vom Zweck oder der Größe eines Unternehmens, ist es sinnvoll, ein spezialisiertes Team auf Unternehmensebene zu haben, das sich mit der Sicherheitsüberwachung und Bearbeitung von eventuell auftretenden Vorfällen befasst. Die verschiedenen Aufgaben eines Cybersicherheits-Teams können äußerst komplex sein und ein SOC kann nicht nur als taktischer Hebel dienen, der Teammitglieder bei der Durchführung ihrer täglichen Aufgaben unterstützt, sondern auch als strategisches Zentrum, das das Team über die größeren, längerfristigen Sicherheitstrends auf dem Laufenden hält.

Ein typisches SOC verfolgt eine beliebige Anzahl von Sicherheitswarnungen, die in einem Unternehmen auftreten, einschließlich technische Benachrichtigungen oder Meldungen von Tools über potenzielle Bedrohungen sowie Meldungen von Seiten der Mitarbeiter, Partner und von externen Quellen. Ab diesem Zeitpunkt untersucht und validiert das SOC die gemeldete Bedrohung, um sicherzustellen, dass es sich nicht um eine falsche Positivmeldung handelt (d. h. eine gemeldete Bedrohung, die tatsächlich harmlos ist). Wenn der Sicherheitsvorfall als gültig angesehen wird und eine Reaktion erforderlich ist, übergibt das SOC den Fall an die geeigneten Personen oder Teams für Maßnahmen und Wiederherstellung.

Es erfordert eine raffinierte Kombination aus Know-how, Prozess und Organisierung, um ein Sicherheitsbetriebszentrum im Rahmen eines Gesamtprogramms zur Erkennung von Vorfällen und Behebung zu unterhalten. Deshalb ist nicht jedes Unternehmen in der Lage, ein SOC intern zu unterstützen oder auszustatten. Viele entschließen sich daher, eine externe Agentur mit der Verwaltung ihres SOC zu beauftragen oder vergeben den Auftrag komplett an einen Dritten.

Grundlegende Vorarbeit

Es müssen eine Reihe von unterstützenden Komponenten vorhanden sein, bevor ein SOC für ein Unternehmen zu einer tragfähigen Option wird. Die erste Komponente ist ein solides Attack-Surface-Verwaltungsprogramm, als Schutzschild der Angriffsfläche. Dies beinhaltet Bedrohungserkennungstechnik für alle Eingangs- und Ausgangspässe, regelmäßige Schwachstellen-Scans (mit zugehörigem Patch), Pen-Tests, Benutzerauthentifizierung und Autorisierung, Asset-Management, externe Anwendungstests (mit zugeordnetem Patch) und ferngesteuerte Zugriffsverwaltung.

Als nächstes ist ein Maßnahmenplan bei Vorfällen erforderlich. Eines der Hauptziele bei der Einführung eines SOC in ein IDR-Programm ist die Steigerung der Effizienz bei der Erkennung von Bedrohungen in der Unternehmensumgebung. Wenn nach Entdeckung des Verstoßes keine Maßnahmen als Behebungsprozess vorgesehen sind, die zudem regelmäßig getestet werden, gehen Sie nur auf einige Komponenten eines effektiven IDR-Programms ein.

Zuletzt ist es auch wichtig, einen Disaster-Recovery-Plan vorbereitet zu haben. Ein Verstoß ist nur ein Beispiel eines Ernstfalls, von dem sich Unternehmen erholen müssen. Sobald der erkannte Verstoß vollständig erfasst und die betroffenen Assets, Anwendungen und Benutzer feststehen und eine Weiterverbreitung verhindert wurde, muss es einen Plan geben, um normale betriebliche Prozesse wiederherzustellen. Dies wird als Disaster-Recovery bezeichnet.

Erste Schritte

Angesichts der inhärenten Komplexität eines Sicherheitszentrums gibt es bei der Einrichtung eine Menge Dinge zu berücksichtigen. Unabhängig davon, ob intern aufgebaut oder ausgelagert wird, ist für den Erfolg des SOC die Vorbereitung der folgenden drei Elemente entscheidend:

  • Personen: Eine wichtige Voraussetzung für die Auswahl der Technologie, unter der das SOC laufen wird, ist die Kenntnis der Rollen der SOC-Analysten und deren Aufgaben. Welche Teams Sie erstellen und welche Aufgaben Sie ihnen erteilen ist von der bestehenden Struktur Ihres Unternehmens abhängig. Wenn Sie beispielsweise ein SOC erstellen, um bestehende Bedrohungserkennungsfähigkeiten und Kapazitäten zur Behebung von Schwachstellen zu erweitern, sollten Sie prüfen, für welche spezifischen Aufgaben die SOC-Teammitglieder Verantwortung tragen und welche von IDR-Teams, die nicht zum SOC gehören, bearbeitet werden. Es empfiehlt sich auch, die Verantwortung zwischen den SOC-Analysten aufzuteilen, so dass Klarheit besteht, wer Hi-Fi-Warnungen bearbeitet, wer die Lo-Fi-Warnungen validiert, wer Warnungen eskaliert, wer nach unbekannten Bedrohungen forscht usw. Viele Sicherheitsbetriebszentren setzen für ihr Personal ein Stufen-Framework ein, damit die Aufgaben klar unterteilt werden und eine Hierarchie erkennbar ist.
  • Technologie: Für die Entscheidung, welche Technologie das SOC verwenden soll, zahlt sich die in die Festlegung der oben genannten Rollen und Aufgaben investierte Zeit aus. Welche Technologie werden sie nutzen? Wahrscheinlich müssen sie Tools für die Protokollaggregation, Nutzerverhaltensanalyse, Endpunktabfrage, Suchvorgänge in Echtzeit und vieles mehr kombinieren. Es ist wichtig, zu prüfen, wie SOC-Analysten Ihre Technologie nutzen und bestimmen, ob die bestehende Technologie die SOC-Prozesse fördert oder behindert und ob sie durch neue Technologie ersetzt werden sollte. Darüber hinaus ist es wichtig, über Kommunikationsmittel zu verfügen, mit denen die Analysten zusammenarbeiten können.
  • Prozesse: Die Festlegung der Prozesse, die die oben genannten Personen und Technologien befolgen sollen, ist die letzte Komponente, die Sie im Rahmen der ersten Schritte hin zu einem SOC berücksichtigen müssen. Was passiert, wenn ein Sicherheitsvorfall validiert, gemeldet, eskaliert oder an ein anderes Team weitergegeben werden muss? Wie sammeln und analysieren Sie Metriken? Diese Prozesse müssen präzise genug sein, um sicherzustellen, dass investigative Ansätze nach ihrer Schwere bearbeitet werden, aber mit ausreichender Flexibilität, um nicht in festgefahrene Analyseprozesse zu verfallen. Prozesse bestimmen, inwieweit ein SOC effektiv ist oder auch nicht. Von daher lohnt sich der Aufwand, es richtig zu machen.

Die oben genannten Punkte gelten auch für die Zusammenarbeit mit einem SOC-Drittanbieter. Ein SOC-Anbieter ist ein vertrauenswürdiger Unternehmenspartner und als solches ist es entscheidend, dass er in seinen Mitteilungen, seiner Transparenz, dem Feedback und der Zusammenarbeit mit Ihnen aktiv und verlässlich ist, um sicherzustellen, dass Ihr SOC so erfolgreich und effektiv wie möglich ist.