Security Operations Center: Was ist das?
Das Security Operations Center ist die Zentrale der IT-Sicherheit in einem Unternehmen oder einer Organisation. Sie ist im Idealfall 24/7 besetzt und dient dem reibungslosen Ablauf aller Systeme und der Früherkennung von Cyber-Bedrohungen. Zur Gestaltung und Steuerung eines Security Operations Center gibt es verschiedene Ansätze.
Was ist ein Security Operations Center?
Ein Security Operations Center (häufig SOC abgekürzt) ist eine Einheit innerhalb eines Unternehmens oder ausgelagert an einen Dienstleister, die rund um die Uhr für die Unversehrtheit der IT verantwortlich ist. Monitoring (Überwachung), Assessment (Bewertung) und Defense (Abwehr) gehören zu den Kernbereichen jedes SOC. Die Sicherung der IT-Netzwerke geschieht dabei auf drei Ebenen:
- Support durch SOC-Team
- Hardware-Schutz
- Software-Schutz
Sinn und Zweck ist eine lückenlose Überwachung mit sofortiger Handlungskompetenz – und zwar 24 Stunden täglich, an 365 Tagen im Jahr. Die Mitarbeiter eines Security Operations Center setzen sich häufig aus Fachpersonal zusammen: Fachinformatiker, IT-Sicherheitsanalysten, IT-Sicherheitsingenieuren und IT-Forensiker.
Aufbau eines Security Operations Center
Wie sich ein SOC im Einzelnen zusammensetzt, hängt sehr stark von mehreren, individuellen Faktoren ab: den Sicherheitsbedürfnissen, dem Risikoprofil, der Größe der IT-Infrastruktur und letztlich dem verfügbaren Budget. Grundsätzlich sollten alle relevanten Teilbereiche der Informationstechnik, die administriert und geschützt werden müssen, hier zusammenlaufen. Man kann es sich vorstellen wie das Gehirn als Schaltzentrum unseres zentralen Nervensystems.
Ein individueller Aufbau betrifft aber nicht nur die integrierten Teilbereiche, sondern auch das notwendige Personal und die technische Ausstattung. Diese Bereiche rund um die IT-Sicherheit werden üblicherweise in ein SOC eingegliedert:
- Server/Rechenzentrum des IT-Netzwerks
- Internetversorgung
- Speicherung der Log-Daten
Aufgaben eines Security Operations Center
Wie bereits erwähnt, können die Aufgaben des SOC in drei große Kernbereiche und einige weitere Nebentasks aufgespalten werden:
Monitoring (proaktiv)
- Überwachung und Sicherheitsmanagement der laufenden Prozesse (Anti-Malware, Firewall, Server, Router Logs) mithilfe spezieller Tools
- Fortlaufende Analyse möglicher Bedrohungen
- Fortlaufende Konfiguration der verwendeten Technik (Firewall, Schnittstellen zu Cloud-Computing etc.)
Assessment
- Regelmäßige Sicherheitsbewertungen (Assessements)
- Identifizierung, Untersuchung und Dokumentation von Auffälligkeiten oder unerwarteten Ereignissen (Warnmeldungen)
- Penetrationstests (Simulation von Angriffen)
Defense (reaktiv)
- Meldung und Patching auftretender Schwachstellen im Anwendungsbereich
- Alarmierung bei Sicherheitsverletzungen durch Malware oder Cyber-Attacken (z. B. DDoS)
- Echtzeit-Eindämmung des Sicherheitsproblems
- Sofortige Beseitigung von Schadprogrammen bzw. Gegenmaßnahmen bei akuten Angriffen
- Nachträgliche Analyse des Schadens und der Reaktion
- Optimierungszyklus
Weitere Aufgaben
- Berichtwesen über vergangene und voraussichtliche Sicherheitsrisiken
- Kommunikation mit anderen verantwortlichen Stellen
- Entwicklung von und Integration in Business Continuity-Maßnahmen
Warum wird ein SOC immer wichtiger?
„Cyber-Risiken sind zu einem permanenten und wesentlichen Unternehmensrisiko geworden,” so kommentiert Katrin Rohmann, Deloitte Government & Public Services Leader die Sicherheitslage im jüngsten Security Report des Wirtschaftsprüfungsunternehmens. Die Bedrohungslage für die IT-Sicherheit in Deutschland hat sich in den vergangenen Jahren deutlich zugespitzt. Gleichzeitig steigt die Abhängigkeit von IT-basierten Umgebungen für zentrale Prozesse.
Cyber-Angriffe und Reaktionen
Laut Umfrageergebnissen des Deloitte Security Reports 2019 berichten 28 % der Unternehmen, täglich von IT-Angriffen betroffen zu sein. Mehr als die Hälfte wird mehrmals im Monat attackiert. Noch klarer wird das Bild einer wachsenden Bedrohung, wenn man große Unternehmen ab 1.000 Mitarbeiter betrachtet: Jedes 4. meldet in dieser Kategorie tägliche Cyber-Attacken. Nur 1 % der Befragten stellte bisher keine Angriffe auf die IT-Sicherheit fest. Der Umkehrschluss, dass es in diesen Unternehmen bislang zu keinen Attacken kam, ist jedoch falsch. Fehlt das nötige System, um alle Angriffsversuche – auch gescheiterte – zu erkennen, können keine definitiven Aussagen getroffen werden. In diesem Fall werden nur erfolgreiche Attacken registriert, die außerdem einen sichtbaren Schaden verursacht haben. Malware, die im Hintergrund agiert und Daten „zapft”, kann ohne (ausreichende) Sicherheits-Tools lange unentdeckt agieren.
Weitere Studienergebnisse von Deloitte verraten, welche Kernaufgaben eines SOC bereits umgesetzt werden:
- 95 % überwachen laufend ihre Netzwerke
- 87 % überprüfen die Zugriffsberechtigungen der Mitarbeiter regelmäßig
- 77 % führen regelmäßige Schwachstellenanalysen ihrer Netzwerke und Anwendungen durch
- 72 % identifizieren die wichtigsten IT-Assets, die von Cyber-Attacken betroffen sein könnten
- 11 % simulieren Cyber-Attacken, um bestehende Sicherheitsstrategien zu optimieren
Ob diese Aufgaben innerhalb eines SOC eingegliedert wurden, verrät die Studie jedoch nicht.
Entwicklung eines internen Security Operations Center
Es gibt nicht den einen richtigen Weg, ein SOC aufzubauen. Wichtig ist in erster Linie, dass sich alle Überlegungen am Bedarf und den Möglichkeiten des Unternehmens ausrichten. Weiterhin müssen genau diese beiden Variablen in Balance sein. Wenn die grundlegenden Ressourcen auf Personal- oder Technikebene fehlen, muss dort zunächst nachgerüstet werden. Die Option eines externen SOC sollte ebenfalls diskutiert werden.
Erste strategische Entscheidungen
- Entscheiden Sie sich für die Entwicklung eines eigenen SOC, helfen Ihnen folgende Leitfragen:
- Wie ausgereift ist die IT-Sicherheit bereits? Wo gibt es Schwächen?
- Welche zusätzliche Sicherheit soll durch das SOC entstehen und wie?
- Welche Ressourcen sind für den Betrieb des SOC notwendig und verfügbar?
- Welche Aufgaben soll das SOC zum Startpunkt abdecken?
- Welche weiteren Tasks soll das SOC nach einem Jahr ausführen?
Personal im SOC
Vollzeitbeschäftigung im SOC ist die ideale Besetzung, aber auch die teuerste. Weiterhin ist eine Rund-um-die-Uhr-Besetzung zu Beginn meistens nicht möglich. Eine Alternative ist eine Notruf-Besetzung im Bereitschaftsmodus. Eine weitere Möglichkeit ist eine Hybrid-Lösung: Zu den üblichen Arbeitszeiten übernimmt das in-house SOC alle Aufgaben, während ein externer Dienstleister die Randzeiten, Nachtschichten, Feiertage und Wochenenden abdeckt. So kann eine 24/7-Lösung bereits von Beginn an etabliert werden. Eine eigene Rundum-Lösung kann so nach und nach eingerichtet werden – falls nötig.
Outsourcing: Vorteile eines externen SOC
Für Unternehmen kann die schnellere und dauerhaft günstigere Lösung ein Security Operations Center vom IT-Dienstleister sein. Gleichzeitig kann das Outsourcing eine Anfangslösung sein, bis das eigene SOC die Aufgaben in der Zukunft teilweise oder komplett übernehmen kann. Diese Vorteile sprechen für ein ausgelagertes SOC:
- Schnelle Einrichtung und Umsetzung
- Professionelle Fachkräfte
- Erfahrung und Know-how
- Flexible Optionen in Bezug auf Services, Personalbedarf und IT-Sicherheitslösungen
- Rund-um-die-Uhr Besetzung
- Keine Personal- oder Raumengpässe
- Transparente Kosten für Budgetplanung
Eine externe Lösung setzt Vertrauen und ein klares Service Level Agreement voraus. So müssen sich Kunden zum Beispiel darauf verlassen können, dass Warnungen zeitnah geprüft und – wenn notwendig – Meldung an das betroffene Unternehmen gemacht werden. Diese Response-Zeit sollte unter anderem definiert und für SOC-Kunden nachprüfbar sein.
Ein erster Schritt sollte daher immer sein, die Anforderungen und das Budget zu definieren, um möglichst passgenaue Angebote einzuholen.
Hybride und Sharing-Lösungen
Wie eine Fallstudie von EDUCAUSE veranschaulicht, verwenden mehrere Bildungseinrichtungen in den USA bereits hybride Lösungen für ihr Security Operations Center. Gleichzeitig setzen Universitäten mit einem starken Standbein im Bereich der IT auf Unterstützung von Studierenden. Diese Ressource können sich auch Unternehmen in Universitätsstädten zunutze machen, um einerseits Kosten einzusparen und andererseits eine Besetzung im Schichtsystem zu ermöglichen.
Eine weitere Herangehensweise, die in der Case Study vorgestellt wird, ist ein geteiltes SOC. Um ein Security Operations Center möglichst effizient bezüglich Wissens, Personals und Kosten zu gestalten, teilen sich fünf Bildungseinrichtungen ein zentrales SOC.
Quellen:
- Security Operations Center (SOC) Case Study, EDUCAUSE, Juni 2019
- Cyber Security Report 2019 - Teil 1: Fake News und Schlüsseltechnologien – wachsende Herausforderungen, Deloitte, September 2019
- Cyber Security Report 2019 - Teil 2: Die Gefährdung steigt – hält die Sicherheit Schritt?, Deloitte, November 2019
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
How to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0
EU-US-PrivacyShield adé! Was das für Nutzer von Content Delivery Networks (CDN) bedeutet, erklärt Michael Hempe, Re…
1 Retweets 2
Mehr lesen