15/3/2021

Security Operation Center - Was ist das eigentlich?

Häufig gestellte Fragen und die entsprechenden Antworten rund um das Thema SOC.
Von
Michael Döhmen
Marketing Manager
und
Mandy Hülse
Marketing Specialist

Im Rahmen einer Umfrage haben wir Sie gefragt, worüber Sie im Zusammenhang mit einem SOC (Security Operation Center) gerne mehr erfahren würden. Hier sind die Antworten von unseren Experten:  

Was ist ein SOC und wie arbeitet es?

Ein SOC (Security Operation Center) kann als die zentrale Leitstelle für alle sicherheitsrelevanten Informationen der IT-Ressourcen verstanden werden. Es setzt sich zusammen aus einem Team von IT-Sicherheitsexperten und einem Tool, welches sämtliche Informationen digital verarbeitet – das sogenannte SIEM (Security Information and Event Management). In diesem werden alle Daten der angebundenen Systembereiche in Echtzeit erfasst und gleichzeitig von den Experten überwacht. Das ermöglicht dem SOC ein paralleles Arbeiten rund um die Uhr, wodurch Schwachstellen und mögliche Bedrohungen präventiv erkannt und beseitigt werden können. Sobald eine Anomalie (ungewöhnliches Verhalten, z.B. ausgelöst durch einen Angriff oder eine Schwachstelle) durch das SIEM entdeckt wird, wird sie durch das SOC-Team geprüft und im Ernstfall eine Alarmierung ausgelöst sowie umgehend konkrete Maßnahmen eingeleitet. Zusammenfassend ist die Hauptaufgabe eines SOC also das zentrale Sicherheitsmanagement systemrelevanter Unternehmensbereiche in Form von Überwachung, Analyse und Bewältigung möglicher Sicherheitslücken, um die gesamte IT-Infrastruktur der Unternehmung bestmöglich und präventiv zu schützen.

Welche Bereiche sind sinnvoll anzubinden? 

Technisch gesehen können fast alle Bereiche eines Unternehmens durch ein SOC überwacht werden. Welche Bereiche konkret angebunden werden sollten ist stark abhängig von der jeweiligen Branche und den individuellen Prioritäten des Unternehmens bzw. seiner existentiell wichtigen Bereiche. Grundsätzlich gilt jedoch:  

“ein SOC ist nur so gut wie die Daten, die ihm zur Verfügung stehen”  
- Koray Yildizel (Director Managed Services)

Je mehr Bereiche angebunden werden, desto besser und verlässlicher kann das SOC die IT-Sicherheit demnach überwachen und schützen.  

Unabhängig von Branche und Tätigkeitsbereich empfehlen wir Ihnen die direkte Anbindung besonders kritische Systeme und personenbezogene Daten. Dazu zählen bspw. AD, Firewall, VPN, Endpoints, DNS und DHCP. Darauf aufbauend sollten verschiedene Zugangspunkte, wie Router, Switche und E-Mail Gateways, ebenfalls überwacht werden, um Eindringlinge schnell identifizieren und aufhalten zu können.  

Wie reagiert es auf Anomalien? 

Ein Security Operation Center ist eine Kombination aus technischer Raffinesse und menschlicher Expertise. Die Reaktion auf eine Anomalie ist dabei von beiden Faktoren abhängig. Durch den Einsatz eines SIEM-System können bestimmte Anomalien bzw. Angriffsszenarien erkannt und kurzfristig gemeinsam mit dem Kunden geeignete Gegenmaßnahmen eingeleitet werden.  

Warum ist das so?  

Anomalien sind Vorfälle, die abseits der Norm oder des Bekannten geschehen. Ein Beispiel, um das zu verdeutlichen: Bernd Bärendienst meldet sich seit 10 Monaten montags bis freitags um 08.00 Uhr an seinem Client ein und um 17.00 Uhr wieder aus. Bernd Bärendienst hat nun ein kritisches Projekt und arbeitet plötzlich am Wochenende. Dieser Fall weicht deutlich von der Norm ab und wäre in einem SOC zumindest registrierungswürdig.  

Diese Anomalie ist wahrscheinlich harmlos, aber das System muss dies erst melden. Dazu wird die Konfiguration fortlaufend angepasst, um unter anderem False-Positives zu reduzieren.  

Wie wird man benachrichtigt? 

Benachrichtigt wird größtenteils automatisiert aus dem System heraus. Auch hier ist die Konfiguration entscheidend wann und in welchem Umfang Informationen ausgegeben werden. In der Regel geschieht dies zu Beginn immer noch recht häufig und wird mit zunehmender Laufzeit zielgerichteter und optimierter.  

Die zunehmende Optimierung im Bereich Response wird also dazu führen, dass nicht mehr jede Meldung Rücksprache mit dem Kunden bedarf, sondern die Kommunikation deutlich zielgerichteter stattfinden wird. So reduziert sich der Aufwand auf allen Seiten enorm. Kommuniziert wird an alle definierten Stakeholder auf unterschiedlichen Kommunikationsmedien je nach Kritikalität. Diese können zu jedem Zeitpunkt angepasst werden.    

Wie ist die Response Time? 

Grundsätzlich ist die Response Time von SOC zu SOC individuell aufgrund verschiedener Faktoren. Einerseits hängt es von dem Skill-Level des Teams und andererseits vor allem von dem Grad der Automatisierung der genutzten Tools ab. Je geringer der Automatisierungsgrad, desto mehr Meldungen müssen durch das Team entsprechend manuell überprüft und behandelt werden, auch harmlose Meldungen, wie die Arbeitszeit von Bernd Bärendienst, wodurch viel Zeit beansprucht wird. Zudem bedeuten unterschiedliche Incidents gegebenenfalls auch unterschiedlich viel Aufwand, was ebenfalls einen Einfluss auf die durchschnittliche Response Time ausüben kann. Um die Response-Time möglichst gering zu halten ist es unerlässlich konkrete Maßnahmen, wie bspw. Orchestration und Automation, zu berücksichtigen und weitestgehend zu implementieren.  

Wie ist die Qualität der Analyse? 

Mit der Nutzung eines SOC beschreitet jedes Unternehmen seinen individuell maßgeschneiderten Königsweg im Bereich der IT-Security. Der Königsweg kann aber nur dann königlich und sorgenfrei beschritten werden, wenn die Basics stimmen. D.h. es müssen auch alle wichtigen und relevanten Log-Quellen angebunden werden und es Bedarf Zeit, um das SOC in einen optimalen Erkennungs- und Bearbeitungsmodus zu versetzen.  

Unser SOC bringt bereits eine umfassende Standard-Konfiguration mit, diese kann aber natürlich nicht die optimale Lösung für alle Unternehmen sein. Dafür sind die IT-Infrastrukturen zu heterogen und es gibt zu viele Besonderheiten.  

Werden diese Faktoren aber beachtet, so hat man mit unserem SOC eine der wohl besten IT-Security Absicherung, die es am Markt gibt.  

Ein SOC klingt interessant für Sie?

Alle Informationen rund um unserem Service finden Sie hier:
Jetzt hier informieren

Lesen sie Weitere Artikel passend zum thema