27.01.2020
Security Operations Center (SOCs)
1. Teil: „Cybersecurity braucht eine neue Kommandozentrale“
Cybersecurity braucht eine neue Kommandozentrale
Autor: Oliver Schonschek
Gorodenkoff / shutterstock.com
Security Operations Center bündeln Experten, Prozesse und Werkzeuge. Zur Unterstützung können Cloud-Services und Dienstleistungen von Security-Anbietern dazugenommen werden.
Vor allem Angebote aus einer Hand würden mittelständische Unternehmen bevorzugen. „Dies senkt den Koordinationsaufwand, der sonst ebenfalls knappe Ressourcen binden würde“, so Florschütz. „Wegen der Vielfalt an Security-Aufgaben interessieren sich mittelständische Unternehmen zunehmend für Managed Security Services. Besonders jene Anbieter, die ein Security Operations Center (SOC) in Deutschland vorweisen, können beim Mittelstand punkten.“
Der Security-Services-Markt für Großunternehmen ist besonders hart umkämpft. Das Beratungsunternehmen ISG untersuchte allein in diesem Segment 20 Anbieter. ISG zufolge erwarten die Großkunden seitens der Provider international operierende Teams, zugleich jedoch auch Security Operations Center mit deutschem Standort, die die international verteilten SOCs ergänzen.
Dies bestätigt Jan Mentel, Analyst bei Crisp Research: „Um ganzheitlich das eigene Unternehmen gegen Cyberangriffe zu schützen, haben viele Großkonzerne, in Anlehnung an die War Rooms im militärischen Bereich, die operativen Aufgaben und Disziplinen der Security in sogenannte Security Operations Center ausgelagert. Innerhalb dieser Räume werden im betrieblichen Alltag Security-Aktivitäten umgesetzt.“
Doch nicht jedes SOC ist gleich, es kommt darauf an, das richtige SOC für das eigene Unternehmen zu finden. Zum einen gibt es eine Vielzahl von SOC-Modellen wie interne SOCs, externe SOCs, SOC as a Service (SOCaaS) oder spezielle Branchen-SOCs. Zum anderen ändern sich gegenwärtig die Kriterien dafür, was ein gutes SOC auszeichnet. Generell scheinen die SOCs - intern wie extern - derzeit Schwierigkeiten zu haben, ihre Aufgaben mit der nötigen Effizienz zu erledigen.
2. Teil: „Mangelhafte Wirksamkeit“
Mangelhafte Wirksamkeit
Sichtbarkeit: 65 Prozent der Befragten sehen in der mangelnden Sichtbarkeit der IT-Sicherheitsinfrastruktur das größte Hindernis für den Erfolg ihres SOCs. Für 69 Prozent ist die mangelnde Sichtbarkeit des Netzwerkverkehrs hauptverantwortlich für die Ineffektivität des SOCs.
Bedrohungssuche: Die SOC-Teams haben Schwierigkeiten, Bedrohungen zu identifizieren, weil sie zu viele Indicators of Compromise (IOCs) verfolgen müssen, zu viel internen Datenverkehr mit den Anzeigen für einen Angriff vergleichen müssen, zu wenig interne Ressourcen und Know-how zu Verfügung stehen und zu viele Fehlalarme auftreten. Mehr als die Hälfte der Befragten (53 Prozent) bewertet die Fähigkeit ihres SOCs, Beweise zu sammeln, Nachforschungen anzustellen und die Quelle von Bedrohungen zu finden, als ineffizient.
Interoperabilität: SOCs weisen keine hohe Interoperabilität mit den Security-Intelligence-Tools ihrer Organisation auf. Problematisch ist auch die Unfähigkeit, Incident-Response-Services bereitzustellen, etwa Services zur Abschwächung von Angriffen und für forensische Ermittlungen.
Alignment: SOCs sind nicht (49 Prozent) oder nur teilweise (32 Prozent) an den Geschäftsanforderungen ausgerichtet. Zudem reicht das Budget des SOCs für das notwendige Personal, die Ressourcen und die Investitionen in Technologie nicht aus. Im Schnitt wird weniger als ein Drittel des IT-Sicherheitsbudgets für die Finanzierung des SOCs verwendet.
„Es gibt eine Reihe von Faktoren, die zur Ineffektivität des SOCs beitragen - etwa die mangelnde Transparenz der IT-Sicherheitsinfrastruktur -, aber der Faktor, der hervorsticht, ist das Ausmaß des Burn-outs der Analysten aufgrund ihrer hohen Arbeitsbelastung und des enormen Drucks, dem sie ausgesetzt sind“, betont Larry Ponemon, Gründer des Ponemon Institutes. „Es ist klar, dass dies ein kritischer Bereich ist, der angegangen werden muss, um die Wirksamkeit des SOCs zu verbessern.“
3. Teil: „SOCs im Wandel“
SOCs im Wandel
Auch Gartner hält Veränderungen bei SOCs für notwendig. Die Verlagerung der Sicherheitsinvestitionen von der Bedrohungsprävention hin zur Bedrohungserkennung erfordere auch Investitionen in Security Operations Center, da die Komplexität und Häufigkeit von Sicherheitswarnungen zunehme. Laut Gartner werden sich bis 2022 immerhin 50 Prozent aller SOCs in moderne SOCs mit integrierten Funktionen für die Reaktion auf Vorfälle, Bedrohungsinformationen und Bedrohungssuche verwandeln. 2015 waren es noch weniger als 10 Prozent. „Ein SOC, das Bedrohungsinformationen integriert, Sicherheitswarnungen konsolidiert und Reaktionen automatisiert, kann nicht überbewertet werden“, findet Peter Firstbrook, Research Vice President bei Gartner.
Der Bericht „2019 State of Security Operations Update“ des Software-Unternehmens Micro Focus zeigt, dass es weltweit eine Lücke beim bestmöglichen Schutz gegen Cyberangreifer gibt, die immer ausgefeiltere Taktiken anwenden. „Mit 4,1 Milliarden kompromittierten Datensätzen, die in mehr als 3.800 öffentlich gemeldeten Verstößen allein in den ersten sechs Monaten aufgedeckt wurden, war 2019 ein Rekordjahr an Datenschutzverletzungen“, erklärt Michael Mychalczuk, Director Product Management, Security Operations bei Micro Focus. „Unsere Auswertung der leistungsfähigsten SOCs zeigt, dass Unternehmen wie bei jeder Herausforderung mit den Grundlagen beginnen sollten. Bauen Sie eine starkes Fundament mit einem bewährten SIEM-System (Security Information and Event Management), gut ausgebildeten Mitarbeitern, standardisierten Prozessen und klarer Ausrichtung.“
Neue Technologien wie Künstliche Intelligenz (KI), maschinelles Lernen (ML), Verhaltensanalyse für Benutzer und Entitäten (UEBA) sowie Tools für die Orchestrierung und Automatisierung von Sicherheit (SOAR) werden immer beliebter. Um deren Wert zu maximieren, müssen SOCs zuerst relevante Sicherheitsanwendungsfälle identifizieren und dann die richtigen Tools auswählen, so die Empfehlung von Micro Focus. Mit Blick auf die Zukunft sollten Unternehmen mit dem Aufbau von SOCs der nächsten Generation beginnen. Das Arsenal dieser ausgereiften SOCs gehe über Kernfunktionen wie Protokoll- und Sicherheitsereignisverwaltung hinaus und umfasse auch die neuesten Technologien, um die Verteidigungslücken zu schließen und die Erkennungseffizienz zu verbessern.
4. Teil: „SOCs und die Cloud“
SOCs und die Cloud
Cloud- und lokalen Umgebungen, Analyse großer Datenmengen, Alarm-Triage, Protokollverwaltung und -speicherung und Threat Hunting.
Tech-Giganten wie Alphabet und Microsoft verändern die Cybersicherheit, meint Joseph Blankenship, Vice President und Research Director bei Forrester Research. Chronicle Backstory (Chronicle ist ein Alphabet-Unternehmen) und Microsoft Azure Sentinel sind cloudbasierte Sicherheitsanalyse-Tools, die die Herausforderungen bewältigen sollen, denen sich Security-Operations-Center-Teams gegenübersehen: Sicherheitsdaten aus Multi-Chronicle und Microsoft begegnen diesen Herausforderungen mit praktisch unbegrenztem Rechen-, Skalierungs- und Speicheraufwand in der Cloud, so der Forrester-Analyst. Diese Lösungen hätten einen einzigartigen Vorteil gegenüber herkömmlichen lokalen Tools, da sie auch ihre Cloud-Infrastrukturen besitzen und nicht darauf angewiesen sind, Clouds zum Listenpreis von potenziellen Wettbewerbern zu kaufen. Durch Bereitstellung dieser Tools über vorhandene Marktplätze können sie nahtlose Implementierungen und eine schnelle Nutzung von Diensten bieten, während der Beschaffungsprozess für Kunden so einfach wie das Anklicken eines Kontrollkästchens ist, mit dem sie diese Funktionalität hinzufügen können. Sicherheitsverantwortliche sollten dies genau beobachten und ihre derzeitigen Anbieter auffordern, ähnliche Funktionen bereitzustellen, rät Joseph Blankenship.
Intern vs. extern
Damit das SOC den steigenden Ansprüchen entspricht und wirklich zum eigenen Unternehmen passt, könnte man auf die Idee kommen, selbst ein SOC aufzubauen. Doch hier tun sich zahlreiche Probleme auf. Die Einrichtung eines eigenen SOCs ist zunächst einmal kostenintensiv und zeitaufwendig und erfordert ständige Aufmerksamkeit, um effektiv zu sein, erklären die Analysten von Gartner.
Tatsächlich entscheiden sich sehr viele Unternehmen (einschließlich einiger großer Organisationen) dafür, kein eigenes SOC zu betreiben. Stattdessen wählen sie andere Optionen für das Security-Monitoring. Sie beauftragen zum Beispiel einen Managed Security Service Provider (MSSP) mit dem Betrieb eines externen SOCs.
CISOs und Unternehmensentscheider, die über den Aufbau eines eigenen SOCs nachdenken, sollten die mit diesem Ansatz verbundenen Kosten- und Personalfolgen genau kennen, so Gartner. Es gebe viele verschiedene Möglichkeiten, ein internes Security Operations Center zu gestalten und mit Personal auszustatten.
Gartner beschreibt die Vorteile und Nachteile von internen und externen SOCs folgendermaßen:
Ein internes SOC profitiert von Mitarbeitern, die mit dem Unternehmen und seinen Herausforderungen bestens vertraut sind. Das ermöglicht häufig eine hohe Reaktivität beim Lösen von Sicherheitsproblemen. Ereignisprotokolle und alle Elemente zur Verfolgung von Alarmen und Vorfällen sind intern gespeichert. Dies verringert das potenzielle Risiko einer externen Datenübertragung. Außerdem ist die Kommunikation im Fall eines Angriffs häufig schneller, da die firmeneigenen Kommunikationsmittel verwendet werden. Und die implementierten Lösungen sind stark auf die Bedürfnisse des eigenen Unternehmens zugeschnitten.
Doch ein internes SOC hat auch Schattenseiten. So ein SOC benötigt SOC-Analysten und Sicherheitsexperten, und deren Rekrutierung ist heute eine echte Herausforderung und kann einige Zeit dauern. Und wenn man Personal hat, erfordert das Aufrechterhalten und Weiterentwickeln seiner Fähigkeiten in Bezug auf neue Technologien, Standards oder Prozesse Zeit und ein beträchtliches Budget.
Hinzu kommt: Das Managen des Unbekannten ist das komplizierteste Paradox beim Risikomanagement. Intern ist es möglicherweise schwieriger, Bedrohungen zu erkennen, die für ein Unternehmen, das sich auf die Erkennung von böswilligem Verhalten spezialisiert hat, offensichtlicher sind. Ein internes SOC braucht eine erste Konfrontation mit einer neuen Bedrohung, um zu einem späteren Zeitpunkt effektiv damit umgehen zu können. Ein weiteres Manko ist: Das Wissen in einem internen SOC basiert oft nur auf einer begrenzten Anzahl von Experten. Und: Die Implementierung eines internen SOCs erfordert eine erhebliche Anfangsinvestition. Sein Aufbau führt deshalb häufig zur Zusammenfassung mehrerer Budgets, was die Darstellung der Ergebnisse erschwert.
Angesichts dieser Herausforderungen wird ein externes SOC zur lohnenden Alternative: Zunächst einmal ist es eine hervorragende Option, eine Implementierung mit kontrollierten Kosten durchzuführen, so Gartner. Das externe SOC begrenzt auch Interessenkonflikte zwischen Abteilungen innerhalb der Organisation. Im externen SOC stehen kompetente und einsatzbereite Mitarbeiter ohne langwierige Einstellungsprozesse sofort zur Verfügung. Zudem profitiert man von den Erfahrungen solcher Analysten, die andere Umgebungen überwacht und bewährte Prozesse befolgt haben.
Organisiert und ausgereift bietet diese Art von SOC auch den Vorteil, dass sie ein hohes Serviceniveau aufweist, und das optional rund um die Uhr. Darüber hinaus ist mit den Service Level Agreements (SLA) der gesamte Service definiert. Dies erspart dem Unternehmen unangenehme Überraschungen, insbesondere bei Angriffen. Ein externer SOC-Betreiber ist zudem in der Lage, viele externe und interne Informationsquellen zu konsolidieren. Und: Der Betrieb eines externen SOCs ist viel kostengünstiger, da die meisten Geräte, Lösungen und Experten gemeinsam mit anderen genutzt werden, erklären die Gartner-Analysten.
CIOs und CISOs jedenfalls bevorzugen laut PwC externe SOCs, weil sie sich der Komplexität der Implementierung eines solchen Systems bewusst sind: viele Tools einrichten, entsprechende Experten finden, die Tools beherrschen, Vorfälle analysieren.
Doch wie beim internen SOC stehen auch hier den Vorteilen Nachteile gegenüber. Zu akzeptieren, dass die Sicherheit des Unternehmens in den Händen Dritter liegt, ist nicht selbstverständlich. Daten werden bei diesem Modell außerhalb des Unternehmens gespeichert und analysiert, was Risiken mit sich bringt, wenn keine passenden Sicherheitsmaßnahmen ergriffen wurden.
Zudem kann das Kündigen und Beenden der Dienstleistung komplex sein, insbesondere wenn sich der Dienstanbieter auf proprietäre Lösungen verlässt. Selbst mit Marktlösungen und einer klaren Dokumentation bleibt die Interoperabilität eingeschränkt, und das Wiederherstellen von Fachwissen über vorhandene Erkennungsregeln und -verfahren kann darunter leiden.
5. Teil: „Internes SOC, externe Hilfe“
Internes SOC, externe Hilfe
Kaspersky haben ein eigenes Portfolio für Security Operations Center. Daneben gibt es Schulungsprogramme von Security-Anbietern zu Malware-Analyse, digitaler Forensik, Reaktion auf Vorfälle und Erkennung von Bedrohungen. Dies unterstützt ein SOC dabei, internes Fachwissen zu erweitern, und ermöglicht eine bessere Reaktion auf komplexe Vorfälle.„Ein SOC umfasst nicht nur die Implementierung eines SIEM-Tools. Es gehören auch relevante Prozesse, Rollen und Taktikhandbücher dazu, um effektiv zu sein“, betont Veniamin Levtsov, VP Corporate Business bei Kaspersky. „Es sollte
zudem mit einer Schnittstelle für Protokolle und Ereignisquellen sowie effektiven Korrelationsregeln ausgestattet und mit umsetzbaren Threat-Intelligence-Erkenntnissen versorgt werden.” Was Levtsov auch weiß: „Ohne ein Verständnis der größten Security-Hindernisse können CISOs keinen Plan für die Entwicklung eines SOCs aufstellen.“
Wer bereits ein eigenes SOC betreibt und dieses modernisieren will, kann sich externe Hilfe holen. Anbieter wie zudem mit einer Schnittstelle für Protokolle und Ereignisquellen sowie effektiven Korrelationsregeln ausgestattet und mit umsetzbaren Threat-Intelligence-Erkenntnissen versorgt werden.” Was Levtsov auch weiß: „Ohne ein Verständnis der größten Security-Hindernisse können CISOs keinen Plan für die Entwicklung eines SOCs aufstellen.“
SOCs für Branchen
Die zunehmenden Cyberbedrohungen und die steigenden Ansprüche an SOCs hängen auch vom Geschäftszweig ab. Entsprechend gibt es bereits spezielle SOCs für einzelne Branchen. Ein Beispiel ist das Automotive-SOC der Telekom. Ein Automotive-SOC operiert ähnlich wie ein reguläres Security Operations Center, ist aber ganz auf die besondere IT-Infrastruktur von Fahrzeugen ausgelegt. Eingerichtet als zentrale Schnittstelle, kann es gezielt auf Bedrohungen reagieren und Fahrzeugflotten vor Angriffen schützen. Für ein spezielles Automotive Security Operations Center sieht die Deutsche Telekom einen klaren Bedarf: Die Hersteller hätten zwar längst begonnen, IT-Sicherheitskomponenten in ihre Fahrzeuge zu integrieren. Doch wie immer in der IT gewährleiste auch das keinen hundertprozentigen Schutz, so das Unternehmen. Zusätzlich werde ein System benötigt, das vernetzte Fahrzeuge und zugehörige IT-Systeme über Jahrzehnte hinweg rund um die Uhr betreue, Cyberangriffe analysiere und die Abwehr stets auf dem aktuellen Stand der Sicherheitstechnik halte.
Um rund 600 Prozent, so der „Automotive Cybersecurity Report 2019“ von Upstream Security, habe zwischen 2010 und 2018 die Zahl der von Herstellern gemeldeten Automotive-Hacks zugenommen, denn auch das Wissen der Hacker über die vernetzten Automobilkomponenten wachse von Jahr zu Jahr. Der Report geht davon aus, dass die Automobilindustrie allein innerhalb der nächsten fünf Jahre mit zusätzlichen Kosten durch Hacker-Angriffe von rund 24 Milliarden Dollar zu rechnen hat. Schon ein erfolgreicher Angriff könne im Extremfall Kosten von mehr als einer Milliarde Dollar verursachen.
Ein umfassender Schutz der Fahrzeug-IT sei deshalb für jeden Hersteller unerlässlich, wolle er nicht Kunden verlieren und damit Marktanteile unnötig aufs Spiel setzen, erklärt die Telekom. Deshalb sei es für Hersteller empfehlenswert, eine zentrale Stelle zu schaffen, an der alle Daten der vernetzten Fahrzeugflotte zusammenlaufen und auf Angriffe untersucht werden.
Fazit & Ausblick
Der Blick auf Unternehmen mit eigenem SOC zeigt: Bestehende SOCs benötigen weitere Lösungen zur Priorisierung der erkannten Vorfälle, um die eingesetzten SOC-Analysten zu entlasten. Zudem müssen die Response-Services ausgeweitet werden, damit sich die SOCs stärker auf die Abwehr konzentrieren können. Unterstützung dafür bieten Cloud-Services und Dienstleistungen von Security-Anbietern.
Wer dagegen ein externes SOC beauftragt hat oder beauftragen will, sollte zusätzliche Anforderungen an den Provider stellen, denn auch viele von deren SOCs haben Optimierungsbedarf. Je nach Branche kann auch ein spezialisiertes SOC das SOC der Wahl sein.
Man kann und sollte bei der Suche nach einem SOC durchaus wählerisch sein, denn es gibt viele Anbieter auf dem deutschen Markt. com! professional hat eine Übersicht mit Anbietern und Tipps zu deren Auswahl zusammengestellt.
Swissbit
Speicherkarten mit Lizenzschutz-Vorbereitung
Die Swissbit-Speicherkarten der neuen Serie PS-66(u) unterstützen die Out-of-the-box-Nutzung der CodeMeter-Technologie für Softwareschutz und Lizenzverwaltung von Wibu-Systems.
>>
Hannover Messe 2024
Digitalisierte Industrie - neuster Stand
Die Hannover Messe 2024, die vom 22. bis 26. April stattfindet, verspricht eine aktuelle Themenagenda. Gesetzt sind industrielle Produktion, Automation sowie Digitalisierung. Doch vermehrt geht es auch um Energieversorgung und Nachhaltigkeit.
>>
Butler
Roboter mit gesundem Menschenverstand
Künstliche Intelligenz kann künftig Haushaltsrobotern bei Aufgaben im Haushalt helfen und dabei, unvermeidliche Fehler selbstständig auszubügeln.
>>
Connectivity-as-a-Service
ADN und DE-CIX schließen Partnerschaft
ADN hat einen neuen Kooperationsvertrag mit DE-CIX unterzeichnet. Der Anbieter stellt die physische Infrastruktur und Connectivity-Services bereit, mit denen Partner den Datenverkehr von Unternehmenskunden sicher routen können.
>>