Security Operations Center (SOC)

Was macht ein Security Operations Center?

Das übergeordnete Ziel eines SOC ist es, die IT-Infrastruktur von Organisation vor Cyberangriffen zu schützen. Ganz grob kann man diese Arbeit in drei Bereiche unterteilen:

• Überwachung und Berohungserkennung: Ein typisches SOC verfolgt eine Vielzahl von Sicherheitswarnungen, einschließlich Meldungen von Security-Tools über potenzielle Bedrohungen sowie Informationen von Seiten der Mitarbeiter, Partner und aus externen Quellen. Viele moderne SOCs verwenden dabei ein SIEM-System zur zentralen Sammlung und Verwaltung der Alerts (SIEM = Security Information and Event Management).
• Untersuchung und Validierung: Die gemeldeten Bedrohungen oder Incidents werden von den SOC-Spezialisten untersucht, um sicherzustellen, dass es sich nicht um eine falsch-positive Meldung handelt (d. h. eine gemeldete Bedrohung, die tatsächlich harmlos ist).
• Abwehr: Wenn der Sicherheitsvorfall validiert wird und eine Reaktion erforderlich ist, übergibt das SOC den Fall an die geeigneten Personen oder Teams, um Gegenmaßnahmen zu ergreifen.

Der Betrieb eines SOC erfordert eine raffinierte Kombination aus Know-how, Prozessen und Technologie. Deshalb ist nicht jedes Unternehmen in der Lage, ein SOC intern zu unterstützen oder auszustatten. Viele entschließen sich daher, einen externen Partner (Managed Security Service Provider oder MSSP) mit der Verwaltung ihres SOC zu beauftragen. In diesem Fall spricht man auch von einem Managed SOC.

Warum ist ein SOC so wichtig?

Hackerangriffe werden immer komplexer und raffinierter, und ihre Abwehr erfordert ein erhebliches Maß an Expertise. Ein SOC ist Ihre erste und wichtigste Verteidigungslinie gegen solche Cyberattacken. Hier werden Präventionsmaßnahmen entwickelt und implementiert, potentielle Bedrohungen identifiziert, laufende Angriffe erkannt und abgewehrt sowie die Sicherheitsmaßnahmen des Unternehmens weiterentwickelt. Im Falle eines Angriffs sorgt ein SOC für schnelle und effiziente Reaktion und kann so den Schaden an Vermögenswerten und dem Image des Unternehmens minimieren. Zudem erleichtert ein SOC die Einhaltung von Compliance-Richtlinien erheblich.

Wie funktioniert ein SOC?

Um die effiziente Arbeit eines Security Operations Center zu gewährleisten, muss eine Reihe von unterstützenden Komponenten vorhanden sein.

Die erste Komponente ist eine solide Verwaltung der Angriffsfläche, um potentiellen Angreifern möglichst wenige Ansatzpunkte zu geben. Diese beinhaltet:

• Asset-Management
• Regelmäßige Schwachstellen-Scans 
• Patch-Management
• Anwendungssicherheitstests (auch im Zusammenhang mit dem Patchen)
• Bedrohungserkennung
• Penetrationstests
• Benutzerauthentifizierung und Autorisierung
• Zugriffsverwaltung.

Als nächstes ist ein Incident Response Plan erforderlich. Eines der Hauptziele bei der Einführung eines SOC ist die effiziente Erkennung von Bedrohungen in der IT-Landschaft des Unternehmens. Wenn nach Entdeckung eines Sicherheitsvorfalls keine reaktiven Maßnahmen vorgesehen sind, die zudem regelmäßig getestet werden, haben Sie nicht wirklich ein effektives Incident Detection and Response-Programms.

Zuletzt ist es auch wichtig, einen Disaster-Recovery-Plan vorbereitet zu haben. Ein solcher Plan sorgt dafür, dass Sie nach Erkennung, Validierung und Beseitigung eines Sicherheitsvorfalls Ihre normalen betrieblichen Prozesse geordnet wiederherstellen können.

Aufbau eines SOC: Erste Schritte

Angesichts der inhärenten Komplexität eines Security Operations Center gibt es bei der Einrichtung eine Menge zu berücksichtigen. Unabhängig davon, ob es intern aufgebaut oder als Managed SOC ausgelagert wird, ist für den Erfolg des SOC die Vorbereitung der folgenden drei Elemente entscheidend:

• Mitarbeiter: Als allerersten Schritt müssen die Rollen der SOC-Analysten und deren Aufgaben definiert werden. Welche Teams Sie erstellen und welche Aufgaben Sie ihnen erteilen, ist von der bestehenden Struktur Ihres Unternehmens abhängig. Wenn Sie beispielsweise ein SOC aufbauen, um bestehende Kapazitäten bei Incident Detection und Schwachstellenmanagement zu erweitern, sollten Sie prüfen, welche Aufgaben ans SOC fallen und welche an andere Teams (z.B. Incident Response). Es empfiehlt sich auch, die Verantwortung zwischen den einzelnen SOC-Analysten aufzuteilen. Insbesondere muss Klarheit bestehen, wer hochkritische Alerts bearbeitet, wer weniger kritische validiert, wer Alerts eskaliert, wer Threat Hunting betreibt usw.
• Technologie: Für die Entscheidung, welche Technologie das SOC verwenden soll, zahlt sich die in die Festlegung der oben genannten Rollen und Aufgaben investierte Zeit aus. Welche Technologie werden sie nutzen? Wahrscheinlich müssen sie Tools für Log-Management, Nutzerverhaltensanalyse, Endpunktabfrage, Suchvorgänge in Echtzeit etc. mithilfe einer SIEM-Lösung kombinieren. Es ist wichtig, zu prüfen, wie SOC-Analysten Ihre Tools nutzen und bestimmen, ob die bestehende Technologie die SOC-Prozesse fördert oder behindert und ob sie durch neue Tools ersetzt werden sollte. Darüber hinaus ist es wichtig, über Kommunikationsmittel zu verfügen, mit denen die Analysten zusammenarbeiten können.
• Prozesse: Die Festlegung der Prozesse, die die oben genannten Personen und Technologien befolgen sollen, ist die letzte Komponente, die Sie im Rahmen der ersten Schritte hin zu einem SOC berücksichtigen müssen. Was passiert, wenn ein Sicherheitsvorfall validiert, gemeldet, eskaliert oder an ein anderes Team weitergegeben werden muss? Wie sammeln und analysieren Sie Metriken? Diese Prozesse müssen präzise genug sein, um sicherzustellen, dass investigative Ansätze nach ihrer Schwere bearbeitet werden, aber mit ausreichender Flexibilität, um nicht in festgefahrene Analyseprozesse zu verfallen. Prozesse bestimmen, inwieweit ein SOC effektiv ist oder auch nicht. Von daher lohnt sich der Aufwand, es richtig zu machen.

Die oben genannten Punkte gelten auch für die Zusammenarbeit mit einem SOC-Drittanbieter. Ein SOC-Anbieter ist ein vertrauenswürdiger Unternehmenspartner und als solches ist es entscheidend, dass er in seinen Mitteilungen, seiner Transparenz, dem Feedback und der Zusammenarbeit mit Ihnen aktiv und verlässlich ist, um sicherzustellen, dass Ihr SOC so erfolgreich und effektiv wie möglich ist.

Erfahren Sie mehr über die SOC-Strategie

SOC: Aktuelles aus dem Rapid7 Blog