Tipps für den Aufbau eines Security Operations Center (SOC)
Mehr Intelligenz statt höhere Mauern
Vulnerability Management spürt Schatten-IT auf
Ziel des Vulnerability Management ist es, diejenigen Schwachstellen in der IT-Infrastruktur aufzudecken und zu schließen, die für das Unternehmen geschäftskritisch sind. Bei einer Überprüfung finden sich oft überraschende Schlupflöcher, mit denen die Verantwortlichen nicht gerechnet haben: Schlecht gepatchte Systeme, falsch installierte, konfigurierte oder schlecht programmierte Software; oder auch Systeme, die eigentlich nicht installiert sein dürften. Aufgabe eines SOC muss es sein, kritische Schwachstellen entweder ganz zu eliminieren oder zumindest zu entschärfen.
Im Verbund mit dem Vulnerabiliy Management spielt SIEM schließlich seine Vorteile aus: Die identifizierten Schwachstellen lassen sich im Hinblick auf ihre Kritikalität für das Business so beobachten und überwachen, dass das SOC ein Risikobild in Echtzeit zeichnen kann. Auf dieser Basis ist das SOC jederzeit handlungsfähig - und kann für das Business außerdem regelmäßig Reports über den Bedrohungszustand liefern.
Zusätzlich zu SIEM und dem Vulnerability Management kann ein SOC weitere Services erbringen: Diese beginnen bei klassischen CERT-Diensten, um auf vorhandene Bedrohungen möglichst schnell und effizient zu reagieren, und gehen über Forensik und Penetration-Tests bis hin zu Research-Services, welche die Bedrohungslage außerhalb des Unternehmens genau erfassen, und Awareness-Schulungen für die Mitarbeiter im Unternehmen.
SOC ist alles andere als Plug & Play
Dies alles zeigt: Ein SOC kann sich weder Tools bedienen, die einfach per Plug and Play einsatzfähig sind, noch lässt sich eine solche Organisation in einem Adhoc-Projekt aufsetzen. Unternehmen, die ein professionelles SOC betreiben wollen, müssen - je nach Voraussetzungen - mindestens ein Jahr Aufbauarbeit betreiben, bis Know-how, Prozesse und Tools den Anforderungen genau entsprechen. Und auch danach handelt es sich aufgrund der hohen Komplexität des Themas um einen fortlaufenden Optimierungsprozess, man befindet sich daher immer mehr oder weniger auf der "Road to SOC".
Der Autor: Markus Müssig ist Security Consultant bei HP Enterprise Security Services