19/8/2021

IR und SOC gegen das Spukhaus

SOC und IR - das gehört einfach zusammen. Da haben selbst Gespenster keine Chance! Aber lesen Sie selbst...
Von
Philipp Lessig
Content Creator bei suresecure GmbH
und
José Garcia Vazquez
Security Operations Center Manager bei suresecure GmbH

Unsere Geschichte beginnt...

...als der junge Duke of Securington eine kleine Villa am Stadtrand des beschaulichen Städtchens Little Incident erwirbt. Seit Generationen erzählen sich die Anwohner Geschichten über den nahen Friedhof – auf dem es angeblich spukt. Der Duke of Securington aber glaubt nicht an solche Märchen – und zieht dort mit seiner jungen Familie ein. Doch eines Nachts schreckt er aus dem Schlaf – er hört ein Poltern und Heulen. Schnell springt er auf – kleidet sich so gut, wie es einem Gentleman in Windeseile eben möglich ist: In Pyjama und Zylinder. Leise trippelt er über den knarzenden Holzboden, das Poltern wird stetig lauter. Was mag es wohl sein? „Aus dem Keller – da muss es herkommen“. Langsam dreht er den Knauf der alten Kellertür und öffnet sie zögerlich. Als er einen Blick in den Keller wirft, erstarrt sein Gesicht zu einem Stillleben: Da sitzt tatsächlich ein kleiner Geist in seinem Gewölbe und wirft mit Kisten und Möbelstücken um sich. Schnell fällt des Dukes Blick auf die hin und her wiegende Schwachstelle: durch das Kellerfenster muss er reingehuscht sein. Schnell lässt der Duke die Tür ins Schloss fallen und schiebt das alte Bücherregal davor – da fällt sein Blick auf ein altes Buch: Der Spuk von Little Incident – Ein Ratgeber für Geistergeplagte. Als er eine dicke Staubschicht vom Buch pustet, öffnet er den Deckel: „Kapitel 1: Sofortmaßnahmen“ steht dort. „Wichtig: Nie das Kellerfenster öffnen.“ Und unten prangt eine kleine Notiz: „Unbedingt anrufen: 555-44678 – Van Helsing – Geisterjäger und Co.“

Moderne Geisterjäger

In der Serie X-Factor: Das unfassbare würde Jonathan Frakes nun in die Kamera blicken und fragen: „Glauben Sie, diese Geschichte ist frei erfunden?“. Und tatsächlich passiert so etwas ständig – vor allem in der IT. Das, was dem Duke of Securington oben passiert, passiert beinahe täglich Unternehmen weltweit. Nicht im Keller – sondern die komplette IT von Unternehmen wird das Ziel von Cyberattacken. Wir von der suresecure sind diejenigen, die genau diese Szenarien verhindern. Was uns dabei so erfolgreich macht? Die Erfahrung.

Gewöhnlicherweise gibt es unterschiedliche Teams für Incident Response (IR) und für das Security Operations Center (SOC). Wir vereinen diese Ressourcen und das hat mehrere Vorteile:

  • Unsere Specialists lernen aus allen Incidents und bringen ihre Expertise in das SOC ein. Dadurch sind wir immer up-to-date. Aktuelle Angriffsszenarien können umgehend berücksichtigt werden. Dadurch lassen sich Anwendungsszenarien (use-cases) erstellen, von denen alle unsere Partner umgehend profitieren.  
  • Kurze Informationsketten. Teams müssen nicht erst von extern engagiert oder informiert werden.  
  • Ansprechpartner sind bekannt.
  • Standardisierte Vorgehensweisen vereinfachen Abläufe.  

Diese Früherkennung und Verfahrensweise kann häufig den Unterschied machen zwischen einer Voll- und Teilverschlüsselung – und damit zwischen sehr hohen Schadenssummen. Diese bestehen meistens nicht nur aus monetärem Schaden, auch der Imageschaden bei Bekanntwerden eines Angriffs ist häufig immens. Und die Erkennung eines Incidents durch das SOC und die anschließende Bearbeitung durch dieses Experten-Team ist somit mehr als Gold wert.  

Hoher Schaden ohne SOC

Mit einem angeschlossenen SOC müssen bei einem Incident nicht erst zu diesem Zeitpunkt high-level Abstimmungsgespräche mit einem IR-Manager stattfinden. Die IT-Infrastruktur ist bereits bekannt, Ansprechpartner und Meldeketten sind bereits abgeklärt. Dies verkürzt die Zeit, in der dann der Security-Incident bekämpft werden kann deutlich. Durch ein SOC sinkt die Wahrscheinlichkeit eines dramatischen Angriffs deutlich. Sollte es doch zu einem erfolgreichen Angriff kommen, wird die Wahrscheinlichkeit eines großen Schadens deutlich reduziert.

Ein weiterer Vorteil unserer Erfahrung ist der psychologische Aspekt. Für unsere Partner sind Incidents häufig eine sehr stressige und schweißtreibende Angelegenheit. Durch die stetig wachsende Erfahrung und den täglichen Umgang mit Vorfällen dieser Art können unsere IR-Manager auch häufig mentale Unterstützung geben. Auch das ist Teil unserer Expertise.  

"Ein Incident Response Management ist kein Sprint, sondern ein Marathon. Mach' Pausen! Trink was! Sei dir bewusst, dass du nichts falsch gemacht hast! Für mentale Hilfe sind die Partner meist ebenfalls sehr dankbar!" - José Garcia Vazquez, Manager Security Operations Center

So ging es übrigens aus unserem Duke of Securington. Ein Jahr später ging die Alarmleuchte in der Zentrale der Geisterjäger an. Das Geister-Sicherheitssystem hat Alarm geschlagen! Wieder ist es das Kellerfenster gewesen. Sofort macht sich Van Helsing auf den Weg. Im strömenden Regen klopft er gegen die Pforte der Villa. Von der anderen Seite hört er leise Schritte. Ein lautes Klacken mehrerer Schlösser ist zu hören. Als sich die Eichentür mit einem tiefen Quietschen in Bewegung setzt dringt Licht nach außen. Und in den Strahlen erscheint der Duke of Securington in der Tür – auf dem Arm eine graue Katze – mit nassglattem Fell. „Es hat geregnet – da habe ich diese streunende Katze hereingelassen. Es ist alles in Ordnung. Danke, dass Sie so wachsam sind und direkt hergekommen sind. Dank Ihnen sind wir sicher. Und etwas Gutes hat es ja für Sie: Ich habe Tee auf dem Ofen. Ich lade Sie gerne dazu ein.“

In Ihrer IT spukt es?

Hier finden Sie alle Infos über unser SOC - unsere IT-Geisterjäger halten sich für Sie bereit!
Jetzt Kontakt aufnehmen

Lesen sie Weitere Artikel passend zum thema