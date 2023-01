Die Auswahl eines passenden Anbieters für ein Managed Security Operations Center (SOC) treibt viele Unternehmen um - verspricht ein SOC doch die kontinuierliche Überwachung der eigenen IT-Infrastruktur und sensibler IT-Assets, um vor allem einen Cyberangriff schnell zu identifizieren, die richtigen Gegenmaßnahmen zu treffen und den Schaden möglichst gering zu halten.

Ein gut strukturierter Auswahlprozess sollte selbstverständlich sein: Denn schon bei einem kleineren Setup liegen allein die laufenden Kosten pro Jahr mindestens im sechsstelligen Bereich, dazu kommt eine Onboarding-Dauer von vier bis sechs Monaten. Unabhängige Spezialisten für den Einkauf von Cybersicherheit wie Bosch CyberCompare unterstützen CIOs und CISOs hier effizient.

In Summe lassen sich 50 bis 60 relevante Kriterien für die Differenzierung und Auswahl des passenden Managed Security Service Partners (MSSP) ansetzen. Erfahrungsgemäß legen Unternehmen den Fokus jedoch auf wenige offensichtliche Kriterien wie den Preis, den Ansatz der SIEM-Monitoring-Lösung oder das 7x24-Modell. Je individueller Sie das SOC an Ihre Unternehmensrisiken und das spezifische IT-Setup anpassen möchten, desto mehr sollten Sie sich mit den Services und Differenzierungsmerkmalen auseinandersetzen.

MITRE Attack Framework & SOC

Schauen wir uns dazu ein SOC detaillierter an: Ein SOC besteht in erster Linie aus Mustern und Use Cases, um Anomalien, Angriffe, Schwachstellen und weitere Risikofaktoren zu erkennen, wie etwa Threat Intelligence oder Zero-Day Exploits. Darauf erfolgen dann die reaktiven und mitigierenden Maßnahmen.

Das MITRE Attack Framework ist in den letzten Jahren de facto zum Standard für die Dokumentation von Cybersecurity-Techniken und -Taktiken geworden, wie z. B. Lateral Movement oder Command & Control. Reale Angriffe werden darin katalogisiert und sind so strukturiert, dass zu jeder Angriffstechnik Mitigierungsoptionen und Erkennungshinweise ("Detection") aufgeführt sind.

Aus zwei Gesichtspunkten eignet sich das MITRE Attack Framework hervorragend für das Design Ihres Managed SOC:

Es lassen sich passende Use Cases definieren und Log-Quellen anbinden.

Sie können MSSP und eingesetzte Tools wie Endpoint Security qualitativ bewerten.

Definition der Use Cases

Ein Managed-SOC-Anbieter bringt ein Set eigener, erprobter Regeln mit, die mittels Konfigurationen an Ihr Unternehmen angepasst werden. Dazu liefern eingesetzte Tools wie SIEM und SOAR integrierte Regelwerke, z. B. eine Nutzer-Verhaltensanalyse ("User and Entity Behavior Analysis UEBA"). Dieses Set ist immer ein guter Startpunkt für das SOC, da dieses "Basispaket" einen schnellen Einstieg mit einer unmittelbar erhöhten Sicherheit verspricht.

Daneben spielen in der Regel eigene Use Cases eine wichtige Rolle, die dann aus der Bibliothek des Anbieters adaptiert oder sogar neu entwickelt werden. Die Kosten für eine Neuentwicklung halten sich im Rahmen (ca. 2 bis 15 Entwicklertage) und sind teilweise auch im Angebot enthalten.

Hier empfiehlt sich immer, mit einer - idealerweise dem ISMS entnommenen - Risikoanalyse zu starten und so die Use-Case-Entwicklung bzw. die Anpassung an kritische Unternehmensrisiken zu priorisieren. Für eine Anwaltskanzlei beispielsweise ist ihr Dokumentenmanagement das Wichtigste; somit ist es nur folgerichtig, hier Use Cases anzusetzen, die Datenfluss, Zugriffe etc. besonders überwachen.

Anbindung der Log-Quellen

Die meisten SOC-Ansätze basieren auf einer SIEM-Lösung, die die verschiedenen Log-Quellen zusammenführt. Die unterschiedlichen Optionen für das Hosting der SIEM-Lösung (On Prem, Cloud, beim Anbieter) mit all ihren Vor- und Nachteilen sind eine eigene Diskussion wert.

Die zentrale Frage in jedem SOC-Projekt lautet: Welche Log-Quellen sollen konkret angebunden werden? Hier sehen wir zwei Ansätze:

Managed SOC mit einem hohen Standardisierungsanspruch, die benötigte Log-Quellen aktiv vorgeben;

SOC, die neben dem "Basispaket" gemeinsam mit dem Kunden individuelle Use Cases ableiten und entwickeln.

Wie finde ich passende Log-Quellen für individuelle Use Cases?

Viele Hersteller und auch MSSP führen Use Case Repositories, in welchen Use Cases mit den für die Überwachung notwendigen Quellen gemappt werden. Als strukturierendes Element empfehlen sich auch hier MITRE-Taktiken und -Techniken. Ein Beispiel:

Wir raten, immer schrittweise vorzugehen und sich anfangs nur auf eine Handvoll Use Cases zu fokussieren. Sie alle erfordern in der Regel ein Baselining und müssen so konfiguriert werden, dass eine ausreichend hohe Sensitivität bestehen bleibt - aber das SOC nicht in "False Positives" ertrinkt.

Bewertung von MSSP und Tools

Die sogenannten MITRE-Bewertungen werden immer populärer, da sie abseits von generischen Wellen- und Quadranten-Charts präzise aufzeigen, wie gut Security-Tools und -Services relevante Bedrohungsszenarien gelöst haben. In den regelmäßig stattfindenden Tests spielen die Anbieter in definierten Runden Szenarien und Techniken durch, bei denen dann z. B. die Visibility oder Coverage von Testschritten dokumentiert werden. Am Ende eines Tests steht fest, wie viele "blinde Flecken" ein Anbieter hatte. Die kürzlich besonders relevanten Evaluierungen "Wizard Spider + Sandworm" für Endpoint-Security-Lösungen (EDR, EPP) und "OilRig" für die MSSP sind im Kontext einer SOC-Diskussion besonders beachtenswert.

Die Endpoint-Security-Evaluierung zeigt, dass einige Produkte wie Cybereason oder SentinelOne, Palo Alto und Cynet zwar im Bereich "Detection" die 100% oder knapp darunter schaffen, dann aber in der Disziplin "Prevention" Abzüge erhalten. Auch der MSSP-Test hat eine große Spannweite bei der Abdeckung der Testschritte.

Als neutrale Beobachter halten wir fest: Es gibt keine perfekten Ergebnisse. Alle Produkte und Services zeigen Schwächen - auch wenn sich am Ende alle als "Gewinner" bezeichnen. Wenn Ihnen ein SOC-Vertriebler also eine Erkennungsrate von 100% verspricht, konfrontieren Sie ihn gerne mit den MITRE-Ergebnissen. Und selbst im Kleingedruckten der Verträge steht meist explizit: Es wird "keine Gewährleistung" für die Erkennung aller Incidents übernommen.

Fazit

Eine Strukturierung der individuellen Use Cases und Definition der benötigten Log-Quellen mittels MITRE Attack bietet zahlreiche Vorteile. Suchen Sie nach Partnern, die Sie dabei unterstützen und z. B. fertige Repositories mitbringen.

Sollte man jetzt einfach den besten MSSP und das beste EDR-Tool der MITRE-Bewertung auswählen? Ein einzelner Test ist als ausschlaggebendes Kriterium natürlich nicht ausreichend. Die Anzahl der teilnehmenden MSSP war noch zu gering, d. h. es fehlen wichtige Anbieter. Entscheidend ist immer das Gesamtpaket:

Serviceumfang und -level

Abdeckung der für das Unternehmen wichtigen Anforderungen

Wichtige Differenzierungsmerkmale

Kommerzieller Fit

Persönlicher Eindruck.

Objektive Tests wie die MITRE-Evaluierung sind jedoch eine gute Ergänzung.

Bosch CyberCompare unterstützt Sie gerne bei der passgenauen Konzeption und Spezifikation Ihrer SOC-Anforderungen und bei der unabhängigen Suche nach passenden Anbietern und Angeboten.