SOC (Security Operation Center)

Warum ein SOC?

Aufgrund der aktuellen Geschehnisse, welche mit Cyberangriffen verbunden sind, müssen sowohl öffentliche als auch private Organisationen verstärkt Maßnahmen zum Schutz ihrer IT-Systeme ergreifen.

Moderne Antiviren-Suites und die grundlegendsten Maßnahmen, wie die Einrichtung einer Firewall und eines Spam-Filters zur Verhinderung von Datendiebstahl, Ransomware und Phishing, etwa durch Täter von innen (z. B. ein Subunternehmer oder verärgerter Mitarbeiter) oder von außen (Malware/DDoS-Angriffe und Industriespionage) reichen dabei nicht mehr aus, da viele Cyberkriminelle bereits ein Niveau erreicht haben, mit dem sie solche Maßnahmen überwinden können. Die Schwachstellen der Systeme zeigen sich auch regelmäßig bei den von uns durchgeführten Penetrationtests.

SOC als Lösung

Um diesen Gefahren besser entgegenzuwirken, ist es sinnvoll, ein Team zu bilden, welches als zentrale Anlaufstelle für alle IT-Sicherheits- und IT-organisationsbezogenen Themen und Ressourcen fungiert. Das SOC (Security Operation Center) ist hauptverantwortlich für die Sicherstellung des fortlaufenden operativen Betriebes und somit der elementare Ansprechpartner in Fragen für das IT-Sicherheitsbudget. Außerdem ist das SOC eine aktive Informationsquelle für den Datenschutz und das Unternehmensmanagement, um zu jeder Zeit über mögliche Risiken up to date gehalten zu werden.

Da alle relevanten Ereignisse und zu treffende Maßnahmen in einem SOC dokumentiert werden, ergibt sich hier eine weitere Synergie für den Datenschutz und die Datensicherheit in Bezug auf rechtliche Vorschriften und Vertragsverpflichtungen.

Deine IT wird nicht durch ein SOC überwacht?
Wir helfen Dir bei der Umsetzung!
Jetzt IT-Sicherheitsberatung anfordern!

Aufbau Informationsquellen &
Bestandteile eines SOC

Ein SOC kann von Unternehmen zu Unternehmen variieren, beinhaltet jedoch häufig folgende Schwerpunkte:

Die Betreuung und Organisation der Sicherheitssysteme des Unternehmens, bzw. des Standortes, sprich, es wird sich darum gekümmert, dass die Systeme aktuell gehalten werden (Patchmanagement).

Ebenso ist es wichtig, die vorhandenen Systeme den Anforderungen gemäß zu konfigurieren (Configuration Management) und eventuelle Störungen der Geräte selbst zu minimieren. Eine Web Application Firewall oder ein Intrusion Detection System kann nur dann eine wertvolle Stütze für das Unternehmen sein, wenn sie sinnvoll konfiguriert und an eben jenes Unternehmen angepasst wurde.

Als weiterer wichtiger Punkt gilt das Monitoring und Reporting, von klassischen Firewall- und SPAM-Benachrichtigungen bis hin zu allen Ereignissen, die sicherheitsrelevant sein können. All diese Meldungen müssen sorgsam überwacht, analysiert und aufbereitet werden, um potenzielle Angriffsversuche und verdächtiges Verhalten entdecken zu können, bevor ein (weiterer) Schaden entstehen kann.

Auch beim Thema sicherheitstechnische Ereignisse ist das SOC die erste Anlaufstelle, sei es zur akuten Schadenseindämmung (Incident Response), wie auch der proaktiven Suche nach Schwachstellen im Unternehmensnetzwerk und dessen Systemen, sowie die Analyse von forensischen Daten oder der Telemetrie, um Bedrohungen zu erkennen, die von dem System nicht erkannt wurden (Threat Hunting). Besonders das Threat Hunting ist in den SOCs von Unternehmen seltener anzutreffen.

Die zunehmende Bedrohungslage und die an das SOC gestellten Anforderungen machen es obligatorisch, in Schichten zu arbeiten, um ein schnelles Reagieren rund um die Uhr zu gewährleisten.

Der Regelbetrieb eines SOC besteht in erster Linie aus dem „Sichten“ (engl. Triage). Das heißt, die Security Analysten verfolgen in einem Situation Room, ähnlich der integrierten Leitstelle der Rettungsdienste oder der Polizei, über mehrere Monitore an ihren Arbeitsplätzen und im Raum verteilt, die eingehenden Log-Meldungen aller Geräte, des gesamten Netzwerkverkehrs und aller Sicherheitssysteme. Am besten unterstützt durch ein SIEM und einer Endpoint Detection sowie Response Systemen, um im Kontext der Gesamtlage verdächtige Aktivitäten und mögliche Hinweise auf APTs (Advanced Persistant Threats) zu erkennen.

Sollte eine Anomalie in den Meldungen zu erkennen sein, geht der Analyst dieser nach und sammelt gezielt weitere Informationen dazu, um nun eine Eskalation zu starten.

Im Zuge der Eskalation wird nun eine Untersuchung (engl. Investigation) gestartet, um die Art der Bedrohung durch die Anomalie und ihren Ausbreitungsgrad innerhalb des Unternehmensnetzwerkes zu bestimmen. Infolgedessen werden Maßnahmen zur Eindämmung und schlussendlich zur Beseitigung des Incidents getroffen und koordiniert.
Gleichfalls wird nach der Grundursache der Anomalie gesucht, um die Sicherheitsmaßnahmen anzupassen und zu optimieren im Zuge eines Red Teamings bietet sich die Ablaufprüfung vorzugsweise an.

Die „SOC - Arten“

Man unterscheidet zwischen einem firmeninternen SOC, welches als eigenständige Abteilung im Unternehmen agiert und einem ausgelagerten SOC, was bedeutet, dass die Abteilung von einem externen Dienstleister verwaltet wird, welcher ausschließlich auf Cybersicherheit spezialisiert ist. Der wesentliche Vorteil eines externen SOC ist, dass der Dienstleister die Arbeit sofort aufnehmen kann und die Mitarbeiter bereits auf die verschiedensten Bereiche spezialisiert sind.

Das Team eines SOCs beschäftigt sich auch mit der Untersuchung möglicher Anomalien im Zusammenhang mit dem Unternehmen, um schwerwiegende Folgen zu vermeiden.

Anhand der Erkenntnisse können, wie bei einem ISMS, Risikoanalysen durchgeführt werden, um zu priorisieren, welche Themen Vorrang haben und welche durch eine Risikoakzeptanz abgedeckt werden.

Für künftige Verbesserungen und aus Gründen der Nachvollziehbarkeit ist es unabdingbar, die Aktivitäten eines SOCs aufzuzeichnen und ein Ticketingsystem einzuführen. Die Qualität und Performance des SOCs sollte regelmäßig überprüft werden, um künftige Verbesserungen zu ermöglichen.

Während das SOC als Zentrale für alle IT-sicherheitsbezogenen Themen agiert, dient ein Network Operations Center (NOC) ausschließlich der zentralen Betriebsunterstützung eines Netzwerks. Hierbei kann man auch von einem zentralen Punkt für die Fehlersuche und Problembehebung innerhalb eines Netzwerkes sprechen.

Reduziere den
Sicherheitsfaktor Mensch!
Wir bieten Dir spezielle Schulungen zum Training Deiner Mitarbeiter!
Mehr zur IT-Sicherheitsschulung

CERT (Computer Emergency Response Team)

Sollte es auf ein besonderes Sicherheitsvorkommnis hinauslaufen, wird innerhalb des SOC’s ein CERT (CIRT – andere Schreibweise) Team gebildet, um die operative Fähigkeit wiederherzustellen.

Das CERT ist Bestandteil eines SOCs, um Prozesse zu optimieren und somit effektiver einschreiten zu können. Es werden bspw. Handlungsempfehlungen formuliert, um das Team zu entlasten. Der Datenschutz und der Vertrieb sollten unter anderem auch Mitarbeiter stellen, um die Prozesse mitzuverfolgen.

Je nach Größe des Unternehmens und unter Berücksichtigung der Man-Power kann das CERT als eigenständige Abteilung fungieren.

Während das SOC im Wesentlichen ausgelegt ist, je nach Schwere des Vorfalls, Bedrohungen zu erkennen und erste Gegenmaßnahmen einzuleiten, kommt das CERT hingegen erst ins Spiel, wenn es um detaillierte Analysen und Behebungen von Sicherheitsvorfällen geht, welche aus präzisen Handlungsempfehlungen bestehen. SOC und CERT ergänzen sich und bilden eine leistungsfähige Einheit für die IT-Sicherheit.

CERT-Verbund

Beim CERT-Verbund handelt es sich um einen Zusammenschluss von deutschen CERTs. Dieser ist hauptsächlich für den allgemeinen Informationsaustausch zwischen den dazugehörigen Teams zuständig. Die einzelnen Teams handeln jedoch eigenständig und eigenverantwortlich für ihr jeweils zugewiesenes Gebiet.

Soc as a Service

Die Anforderungen des Unternehmens an die Netzwerksicherheit und die damit verbundene Unterstützung von SOCaaS hängen von der Relevanz von IT-Systemen und -Daten für den Betrieb und die Arbeitsfähigkeit der Mitarbeiter ab.

SOC as a Service kann die IT-Sicherheit und Informationssicherheit Ihres Unternehmens ergänzen: Im Gegensatz zu herkömmlichen Schutzmaßnahmen, handelt es sich nicht um eine rein automatisierte technische Lösung, sondern kombiniert effektiv die Vorteile von Technologie und Personal.

SOCaaS konzentriert sich auf die Angriffsfläche, die in den meisten Fällen nicht durch Firewalls und Viren geschützt werden: Wenn ein Netzwerkangriff durch geschickt getarnten Datenverkehr oder unbekannten Schadcode ausgeführt wird, kann die Malware die Firewall passieren und wird vom Virenschutz nicht erkannt.

Deswegen bieten diverse Provider als ausgelagerter SOC Spezialist die Variante des SOC Managed Services, auch SOC as a Service genannt, an.

Was beinhaltet das SOC as a Service:

Detect:

SoC as a Service überwacht Ihre LOGS und untersucht Events in Ihrem Netzwerk auf Auffälligkeiten und verdächtiges Verhalten

Protect:

Durch das Zusammenspiel verschiedener Technologien und Komponenten wie eine Firewall, Virenschutz und andere Mechanismen bildet das SOC eine Schutzeinheit.

Response:

Basierend auf dem Informationsgehalt des SOCS können dann geeignete und abgestimmte Maßnahmen vorgenommen werden. Ziel ist die Behebung der Schwachstelle in den betroffenen Systemen und Netzwerken.

Vorteil des SOCs as a Service ist, dass schnell erkannt, durch Fachexperten analysiert und abgewehrt werden. Durch die Dynamik innerhalb eines SOCs können die aktuellen Bedrohungslagen immer wieder im System angepasst werden. Dadurch ist das System jederzeit auf dem neusten Stand und das Netzwerk wird optimal geschützt. Durch die proaktive Arbeit eines SOCs können Bedrohungen vor Eintritt schon wirksam unterbunden werden.

 
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.