Security Operation Center (SOC) FAQ
Was Unternehmen über Security Operation Center wissen müssen
Welche Vorteile bietet ein SOC?
Für den Einsatz eines Security Operation Center sprechen viele Vorteile:
Eigene Security-Engpässe können ausgeglichen werden: Fehlendes Security-Personal und fehlende Spezialwerkzeuge für Security-Monitoring und SIEM (Security Information and Event Management) können als Service (SOC as a Service) bezogen werden.
Cyber-Attacken können schneller erkannt werden, denn die Anzeichen für einen Angriff lassen sich über alle überwachten Systeme hinweg suchen und auswerten, mit Unterstützung durch spezielle Monitoring-Tools und Security-Experten. Werden Cyber-Attacken erst spät erkannt, steigt der mögliche Schaden, denn die Angreifer haben mehr Zeit, ihre Spuren zu verwischen, die Zugänge und Daten zu missbrauchen und Folgeangriffe zu starten. Gelingt es, die Zeitspanne zwischen Angriff und Entdeckung zu verkürzen, lassen sich die Schäden eindämmen und die Angreifer womöglich aufspüren.
Die Security-Maßnahmen können dynamisch auf die aktuelle Bedrohungslage angepasst werden: Ein SOC sucht gezielt nach möglichen Bedrohungen. Erkannte Angriffe werden bewertet, priorisiert und durch passende Abwehrmaßnahmen beantwortet. Die Security wird dynamisch auf die aktuelle Bedrohungssituation angepasst, sie ist nicht starr, sondern wird aktiv gesteuert.
Die Security kann fortlaufend optimiert werden: Ob die ergriffenen Security-Maßnahmen greifen oder nicht, kann im Security-Monitoring nachverfolgt werden. Erforderliche Anpassungen können zentral im SOC initiiert und kontrolliert werden.
Das Security-Monitoring im SOC hilft bei der Budgetierung: Im SOC kann der Security-Bedarf zentral bestimmt werden, Security-Maßnahmen lassen sich priorisieren und auswerten. Das Security-Budget kann dort eingesetzt werden, wo die Gefahren am ehesten zu erwarten sind, abhängig von der IT-Infrastruktur und den Security-Prognosen des Security Operation Centers.
Security-Entscheidungen erhalten eine detaillierte Grundlage: Die regelmäßigen Security-Berichte aus dem SOC helfen den verantwortlichen Stellen bei der Planung und Strategie für die Security. Über das SOC werden Security-Prognosen möglich, die dabei helfen, mit der Security nicht immer nur reagieren zu können, sondern auch Vorbereitungen auf wahrscheinliche Bedrohungen einzuleiten.
SOCs können bei Compliance-Nachweisen hilfreich sein: Die Security-Berichte aus dem SOC können dabei helfen, die ergriffenen Security-Maßnahmen zu dokumentieren. Dies ist aus Compliance-Sicht zwingend erforderlich, zum Beispiel im DatenschutzDatenschutz. Neben den Maßnahmen lassen sich auch die Security Service Level nachweisen, wenn dies vertraglich erforderlich ist. Alles zu Datenschutz auf CIO.de
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Wie wird gegenwärtig der Einsatz eines Security Operation Center bewertet?
So vorteilhaft ein Security Operation Center auch klingt, noch ist der Status bei den SOCs nicht so, wie man es sich wünschen würde. Mitte 2016 hatte Intel Security eine Umfrage über SOCs bei 400 Sicherheitsexperten in unterschiedlichen Ländern, Industrien und Unternehmensgrößen durchgeführt. Die wichtigsten Ergebnisse waren:
SOCs sind überlastet bei Alarmmeldungen: Durchschnittlich können 25 Prozent aller Sicherheitswarnungen nicht ausreichend untersucht werden.
SOCs haben Selektionsprobleme: 93 Prozent aller Befragten gaben an, aufgrund der Überlastung nicht alle Bedrohungen sichten zu können.
SOCs sind zum Teil noch reaktiv: Der Großteil der Befragten gab an, eine proaktive Sicherheitsarchitektur anzustreben, doch 26 Prozent agieren immer noch reaktiv auf akute Bedrohungen und Vorfälle.
Eine Studie von HPE Security Intelligence and Operations Consulting (SIOC) zeigt ebenfalls Defizite. Untersucht wurden rund 140 SOCs aus aller Welt. Für jedes SOC wurden als Faktoren die Mitarbeiter, Prozesse, Technologien und Geschäftsfähigkeit bewertet. 82 Prozent der überprüften SOCs erfüllten die Kriterien nicht und hinken den Bedrohungen hinterher.
Diese Studien bedeuten nicht, dass sich der Einsatz eines SOC nicht lohnen würde, aber es besteht einiges an Verbesserungsbedarf.
Wie wird das SOC der Zukunft aussehen?
HPE Security Intelligence and Operations Consulting (SIOC) hat in der zuvor genannten Studie mehrere Empfehlungen ausgesprochen, was in Zukunft in einem Security Operation Center anders werden sollte:
Mehr Fokus auf Risikoidentifikation, Erkennung von Sicherheitsvorfällen und die Reaktion und nicht nur auf die Suche nach unbekannten Bedrohungen.
Aufgaben automatisieren, wo es möglich ist - etwa bei der Reaktion auf Angriffe oder der Sammlung und Korrelation von Daten -, um das Problem des Fachkräftemangels in den Griff zu bekommen.
Es gibt aber weiterhin viele Prozesse im SOC, die menschliches Eingreifen benötigen, Unternehmen müssen eine entsprechende Personalplanung betreiben.
Unternehmen, die keine Security-Mitarbeiter einstellen können, sollten eine hybride Personalplanung oder operative Strategie in Betracht ziehen, die sowohl interne Ressourcen als auch Outsourcing an einen SOC-Dienstleister umfasst.
Gerade der Hinweis, dass auch in Zukunft Security-Experten für SOCs benötigt werden, ist wichtig, denn es wäre verfehlt, alleine auf die Automatisierung der Security zu vertrauen und deshalb nicht in die Aus- und Weiterbildung von Security-Experten zu investieren.
"Es ist unrealistisch, dass ein Unternehmen einer Softwarelösung erlaubt, Applikationen selbständig zu stoppen oder gar Systeme vom Netz zu nehmen. Das könnte verheerende Auswirkungen haben", so Patrick Schraut, Director Consulting & GRC DACH bei NTT Security. Automatisierte Verfahren hätten in vielen IT-Bereichen ihre Berechtigung und brächten auch erhebliche Vorteile, "mitnichten aber bei der Incident Response, dort sind höchstens teilautomatisierte Lösungen denkbar", so Schraut. Anders sei der Fall allerdings bei der Incident Detection, also der reinen Erkennung von Vorfällen, gelagert.
Vollautomatische SOCs wird es also wohl nicht geben, doch es gibt bereits Lösungen mit Künstlicher Intelligenz, die die Security-Analysten unterstützen können, zum Beispiel Endgame Artemis. Hier sind weitere Fortschritte zu erwarten, die das SOC der Zukunft positiv beeinflussen werden.