Security Operations Center as a Service (SOCaaS)

Ein Eliteteam von Experten, das zur Erkennung und Reaktion bereit steht

MDR KUNDENRATGEBER

Was ist SOC as a Service? 

SOC as a Service wird von Cybersicherheitsunternehmen angeboten, um das gesamte Security Operations Center (SOC) des Kunden zu verwalten. In Zeiten widriger Umstände, wie z. B. einem Mangel an Fachkräften oder wenn ein Unternehmen sich in der Startphase befindet und nicht über die nötigen Ressourcen verfügt, um sein Netzwerk angemessen zu schützen, kann ein SOC as a Service (SOCaaS) als taktisches Kontrollzentrum dienen, von dem aus das Unternehmen Sicherheitswarnungen verfolgen, Cyberangriffe abwehren und die allgemeine Sicherheitslage verbessern kann.

Laut IDC können Unternehmen verschiedene Sicherheitsfunktionen an ein SOC-Team auslagern, darunter z. B. SIEM, das Schwachstellen-Management, die Endpunkt-Sicherheit und andere Tools für die Erkennung und Abwehr. Sie können auch das gesamte Serviceangebot in Anspruch nehmen. Bei der Bereitstellung als Cloud-basierter Service erfolgt der Betrieb jedoch dezentral und wird in der Cloud gehostet. Dies sind nur einige Beispiele aus der Praxis, die SOCaaS-Anbieter im Auftrag eines Kunden erbringen können:

  • Abwehr von Cyberbedrohungen im Auftrag des Kunden 
  • Befähigung der Kunden zur Ermittlung der für sie relevanten Services 
  • Rationalisierung der Datenerfassung und -analyse aus dem Netzwerk eines Kunden 
  • Übertragung von Prozessen und Ergebnissen in eine verständliche Sprache, die von nahezu jedem Stakeholder verwendet und verstanden werden kann

In diesem Zusammenhang ist es auch wichtig, dass ein Unternehmen oder eine Sicherheitsorganisation ihr aktuelles Sicherheitsprogramm umfassend analysiert und dessen Stärken und Schwächen sowie bisher nicht berücksichtigte Anwendungsbereiche identifiziert. So kann die Suche nach einem SOCaaS-Anbieter auf die Kriterien des Kunden eingegrenzt werden.

Die Vorteile von SOC as a Service (SOCaaS) 

Der vielleicht größte Vorteil, der sich aus der Beauftragung eines Service-Anbieters für einen bestimmten Sicherheitsbereich ergibt, besteht darin, dass der Kunde sich um diesen Bereich keine Gedanken mehr machen muss. SOCaaS umfasst, wie oben erwähnt, viele Bereiche. Werfen wir nun einen Blick auf einige konkrete Vorteile:

Schnellere Erkennung und Behebung 

Wenn ein Team nur langsam auf eine entdeckte Anomalie reagiert, gibt es wahrscheinlich verschiedene Prioritäten, die das Personal in unterschiedliche Richtungen lenken. Ein SOCaaS-Anbieter stellt Analysten ab, die auf Cyberbedrohungen und Schwachstellen reagieren und diese beseitigen oder beheben. Für ein firmeninternes SOC kann der schnelle Kontextwechsel von einer Situation zur nächsten sehr zeitraubend sein, sodass sich ein Team, das sich ausschließlich der Erkennung, Abwehr und Behebung widmet, wesentlich schneller handeln kann.

Zugriff auf spezialisiertes Sicherheitsfachwissen 

SOC-Analysten müssen die gesamte Bandbreite an Spezialgebieten abdecken und schnell im Interesse der Kunden reagieren. SOCaaS-Anbieter sollten Zugang zu Analysten gewähren können, die sich mit der Eindämmung von Endpunkten, Bedrohungsjagd, der Analyse und Eindämmung von Malware, verteilten Warn- und Eskalationspfaden und vielem mehr befassen können. Bei der Suche nach einem vertrauenswürdigen SOC-Anbieter kann es hilfreich sein, seine Mitarbeiter, seine Technologie und seine Arbeitsweise kennenzulernen.

Erhöhte Reife 

Eine beschleunigte Entwicklung des Sicherheitsprogramms eines Kunden bringt enorme Vorteile mit sich, die nicht zu unterschätzen sind. SOCs sehen sich jeden Tag mit Bedrohungen konfrontiert – manchmal sogar mit mehreren gleichzeitig. Ein Budget zur Bewältigung eines unausgereiften Sicherheitsprogramms ist sicher ein guter Ausgangspunkt. Doch ohne einen strategischen Plan für die interne Talentakquise könnte es effizienter sein, den Schwerpunkt auf die Suche nach dem richtigen SOCaaS-Partner zu legen.

Kostengünstiger als ein On-Premises-SOC

Wo wir beim Thema Talentakquise sind: Der vollständige Neuaufbau eines SOC kann im Vergleich zur Beauftragung eines Managed-Service-Partners mit vielen zusätzlichen Kosten verbunden sein. Zum einen fallen die üblichen Anlaufkosten für die Beschaffung der richtigen Technologie und des richtigen Personals an. Zum anderen besteht die Gefahr der Abwanderung, sobald Sie diese Mitarbeiter und betrieblichen Prozesse etabliert haben. Etwa 71 % der SOC-Analysten fühlen sich in ihrer Rolle überarbeitet. Das ist ein Problem, insbesondere wenn es nur sieben Analysten gibt, auf deren Schultern die gesamte Sicherheit des Unternehmens lastet.

Rollen und Zuständigkeiten von SOC as a Service

Auch wenn eine Firma oder ein kleines Sicherheitsunternehmen beschlossen hat, einen SOCaaS-Anbieter in Anspruch zu nehmen, muss es die Rollen und Zuständigkeiten der Analysten und Mitarbeiter in diesem SOC genau kennen. Sie sind es schließlich, die für den Schutz Ihrer Umgebung und Ihres Rufs verantwortlich sind.

SOC Manager 

Diese Person/Position ist für das SOC verantwortlich und betreut das Sicherheitsteam, das aus mehreren Personen besteht, direkt. Der SOC Manager entwickelt die allgemeine Sicherheitsstrategie für das Unternehmen und schafft dabei eine Vision für Neueinstellungen, den Aufbau von Prozessen und die Entwicklung des Technologie-Stacks. Er sollte sowohl technisch beratend als auch leitend tätig sein können.

Sicherheitsanalyst Stufe 1 – Triage

Die Analysten im SOC des Anbieters erfassen Warnmeldungen und ordnen sie ein. Bei dieser Untersuchung bestimmen sie, wo in der Warteschlange für Patches oder Abhilfemaßnahmen sie eingeordnet werden sollten. Warnmeldungen können einen beträchtlichen Teil der Zeit eines internen Sicherheitsteams einnehmen. Doch ein Team, das den Triage-Prozess verwaltet und automatisiert, kann die tägliche Belastung dieser internen Teams drastisch reduzieren. 

Sicherheitsanalyst Stufe 2 – Incident-Response-Verantwortliche/r

Diese Art von Analysten bearbeitet in der Regel Warnmeldungen, die ihr Pendant auf der ersten Stufe an sie weiterleitet. Wird eine Warnmeldung in die Warteschlange dieser Person eingereiht, wurde sie als authentisch eingestuft und muss vorrangig abgewehrt werden. Zu den wichtigsten Aufgaben dieser Rolle gehören die gründliche Untersuchung der Warnmeldung, die Identifizierung der betroffenen Systeme und die Ausarbeitung eines Plans zur Abwehr und/oder Behebung.

Sicherheitsanalyst Stufe 3 – Threat-Hunting-Verantwortliche/r

Auf dieser Stufe wird aktiv nach Bedrohungen gefahndet. Wenn der Vorfall als schwerwiegend eingestuft wird, untersucht ein Threat Hunter, wie ein Angreifer oder eine Bedrohung die ersten Sicherheitskontrollen umgehen konnte. Beim Threat Hunting können Sicherheitsanalysten sich aktiv im Netzwerk eines Kunden, seinen Endpunkten und Sicherheitstechnologien umsehen, um nach Bedrohungen oder Angreifern zu suchen, die möglicherweise noch nicht erkannt wurden.  

Sicherheitsarchitekt 

Ein Architekt ist in der Regel für den Aufbau einer Sicherheitsarchitektur, die Entwicklung der Sicherheitssysteme und die Implementierung dieser Systeme verantwortlich. Er sollte außerdem die Anforderungen, Verfahren und Protokolle der von ihm erstellten Architektur und Systeme dokumentieren können. Zusätzlich äußert er sich im Auftrag seiner SOCaaS-Kunden zu den wichtigsten regulatorischen und Compliance-Anforderungen.

Herausforderungen bei SOC as a Service

Ein SOC bildet das Kontrollzentrum für den Cybersecurity-Betrieb eines Unternehmens. Es finden dort also eine Reihe komplexer Vorgänge statt. Einige davon sind automatisiert, während andere manuell durchgeführt werden müssen. Ein Unternehmen, das auf der Suche nach dem richtigen Partner ist, möchte einige – oder alle – dieser Tätigkeiten auslagern. Sehen wir uns nun einige Herausforderungen an, die der SOCaaS-Ansatz mit sich bringt, wenn sich ein Unternehmen entscheidet, einen Teil seines Digitalgeschäfts einem externen Team anzuvertrauen.

Onboarding-Prozess

Auf jede Beauftragung eines SOCaaS-Anbieters folgt eine Phase erhöhter Anfälligkeit. Dabei muss der Anbieter seinen Technologie-Stack für die Umgebung des neuen Kunden konfigurieren, und der Kunde muss sein Netzwerk für die Bereitstellung von Monitoring-Protokollen durch den neuen Anbieter vorbereiten. Die Erprobung und Implementierung einer Vorlage für das Sammeln und Auswerten von Erkenntnissen folgt in der nächsten Etappe der Einführungsphase.

Sicherheit von Unternehmensdaten

Die Absicherung eines Kundennetzwerks ist eine Sache, die Gewährleistung der Sicherheit der Daten auf Seiten des SOCaaS-Anbieters jedoch eine ganz andere. Deshalb müssen Kunden unbedingt nach einem Anbieter suchen, dessen eigene Abwehrmechanismen die Unternehmensdaten all seiner Kunden schützen. Dies ist im Wesentlichen ein Lieferkettenproblem und sollte unter Berücksichtigung aller damit verbundenen Überlegungen behandelt werden.

Kosten für die Protokollierung

Vollständiger Zugang zu den Operationen eines Anbieters und eine entsprechende Autonomie in Bezug auf einen bestimmten Kunden kann für diesen Kunden teuer werden. Obwohl es sich technisch gesehen um die vom Netzwerk des Kunden generierten Daten handelt, sind die Vorgänge und Maßnahmen, die der SOCaaS-Anbieter durchführt, seine eigenen. Vor diesem Hintergrund wird klar, warum der vollständige Zugriff auf Protokolldaten für ein Sicherheitsunternehmen teuer werden kann.

Einhaltung gesetzlicher Vorschriften

Die Einhaltung gesetzlicher Vorschriften und die Wahrung der Compliance gehören bei der Übertragung der Verantwortung für einen Geschäftsbereich an ein Sicherheitsunternehmen wohl zu den wichtigsten Überlegungen.Ein wesentlicher Faktor für die Einhaltung der Compliance sind Kommunikation und Berichterstellung, sowohl innerhalb als auch außerhalb des Unternehmens. Die Führungskräfte des Unternehmens müssen fortlaufend Berichte erhalten, um den zuständigen Aufsichtsbehörden ihre Compliance nachweisen zu können. Dabei muss klar sein, ob sich der SOCaaS-Anbieter um die Compliance kümmert oder ob er diese Aufgabe an einen Drittanbieter überträgt.

Erfahren Sie mehr über SOCs

MDR-Anbieter im Vergleich

Erfahren Sie mehr über die Managed SOC-Services von Rapid7

SOC: Aktuelles aus dem Blog 

MDR Produkt-Tour