Definition: Wie ist ein SOC aufgebaut?

Ein Security Operations Center (SOC) ist eine Kommandozentrale für Cyber Security Experten, die für die Überwachung, Analyse und den Schutz einer Organisation vor Cyberangriffen zuständig ist. Im SOC werden der Internetverkehr, die interne Netzwerkinfrastruktur, Desktops, Server, Endgeräte, Datenbanken, Anwendungen, IoT-Geräte und andere Systeme kontinuierlich auf Sicherheitsvorfälle überwacht. Die Mitarbeiter des SOC können mit anderen Teams oder Abteilungen zusammenarbeiten, sind aber in der Regel eigenständig mit Mitarbeitern, die über ausgezeichnete Cyber Security Kenntnisse verfügen. Die meisten SOCs arbeiten rund um die Uhr, wobei die Mitarbeiter im Schichtbetrieb arbeiten, um die Netzwerkaktivitäten kontinuierlich zu überwachen und Bedrohungen einzudämmen. Ein SOC kann intern aufgebaut, alternativ ganz oder teilweise an externe Anbieter ausgelagert werden.

Welche Aufgaben erfüllt ein SOC?

Das SOC überwacht Sicherheitsdaten, die in der gesamten IT-Infrastruktur der Organisation generiert werden, von den Host-Systemen und Anwendungen bis hin zu Netzwerk- und Sicherheitsgeräten wie Firewalls und Antivirenlösungen.

Durch die Kombination einer Reihe fortschrittlicher Tools und der Fähigkeiten erfahrener Cybersicherheitsexperten erfüllt das Security Operations Center die folgenden wichtigen Funktionen:

  • Überwachung von Sicherheitsereignissen, Erfassung, Untersuchung und Auslösung von Alarmen
  • Verwaltung der Reaktion auf Sicherheitsvorfälle, einschließlich Malware-Analyse und forensische Untersuchungen
  • Threat Intelligence Management (Aufnahme, Produktion, Kuration und Verbreitung)
  • Risikobasiertes Management der Schwachstellen (insbesondere die Priorisierung von Patches)
  • Threat-Hunting
  • Verwaltung und Wartung von Sicherheitsgeräten
  • Entwicklung von Daten und Metriken für die Einhaltungsbericht/-verwaltung
Moderne SOC-Komponenten

Vorteile eines Security Operations Center

Der Hauptvorteil eines SOC ist die Verbesserung der Erkennung von Sicherheitsvorfällen durch kontinuierliche Überwachung und Analyse von Netzwerkaktivitäten und Erkenntnissen des aus dem Bereich Cyber Intelligence. Durch die Analyse von Aktivitäten in den Netzwerken der Organisation rund um die Uhr können SOC-Teams Sicherheitsvorfälle frühzeitig erkennen und darauf reagieren. Dies ist von entscheidender Bedeutung, da Zeit eines der kritischsten Elemente einer wirksamen Reaktion auf Cyber Security Vorfälle ist.

Die SOC-Überwachung rund um die Uhr gibt Organisationen einen bedeutenden Vorteil im Kampf gegen Vorfälle und Eingriffe, unabhängig von Quelle, Tageszeit oder Art des Angriffs. Die Lücke zwischen der Zeit, die der Angreifer benötigt einzudringen und der Zeit bis zur Erkennung des Angriffs wird verringert. Das hilft Organisationen, den Überblick über die Bedrohungen in ihrer Umgebung zu behalten und ihr Risiko zu begrenzen.

Zu den wichtigsten Vorteilen eines SOC gehören:

  • Ununterbrochene Überwachung und Analyse auf verdächtige Aktivitäten
  • Verbesserte Reaktionszeit auf Vorfälle und Managementpraktiken der Vorfälle
  • Verringerter Abstand zwischen dem Zeitpunkt der Kompromittierung/Eindringens und dem Zeitpunkt der Erfassung dessen
  • Software- und Hardware-Ressourcen werden für einen ganzheitlicheren Sicherheitsansatz zentralisiert
  • Effektive Kommunikation und Zusammenarbeit, um gegnerische Taktiken und Techniken zu erkennen und einzuordnen, z.B. durch Nutzung des MITRE ATT&CK frameworks
  • Reduktion der mit Sicherheitsvorfällen verbundenen Kosten
  • Mehr Transparenz und Kontrolle über Sicherheitsoperationen
  • Etablierte Chain of Custody für Daten, die in der Cybersecurity Forensik verwendet werden

Welche Fähigkeiten hat ein Security Operations Center?

Das SOC umfasst eine Reihe von Tools in einem vielfältigen Technologie-Stack, um Cyber Security Analysten bei der kontinuierlichen Überwachung der Sicherheitsaktivitäten in der IT-Infrastruktur der Organisation zu unterstützen. Die im Security Operations Center stationierten Mitglieder des Sicherheitsteams verwenden diese Tools, um Vorfälle und Ereignisse zu identifizieren, zu kategorisieren, zu analysieren und letztlich zu entscheiden, wie auf diese Ereignisse zu reagieren ist.

Wesentliche Tools im Technologie-Stack des SOC sind:  

Eine Lösung für Security Information and Event Management
Security Information and Event Management (SIEM) Tools bilden die Grundlage des SOC, da es in der Lage ist, Regeln mit massiven Mengen unterschiedlicher Daten zu korrelieren, um Bedrohungen zu finden. Die Integration von Threat Intelligence erhöht den Wert der SIEM-Lösung, indem sie den Kontext der Warnungen liefert und ihnen Prioritäten zuweist.

Verhaltensmäßige Überwachung (UEBA)
Die User and Entity Behavioral Analytics (UEBA), die in der Regel auf der SIEM-Plattform hinzugefügt wird, hilft Sicherheitsteams bei der Erstellung von Baselines durch Anwendung von Verhaltensmodellierung und Machine-Learning, um Sicherheitsrisiken aufzudecken.

Erfassung von Assets
Die Asset-Erfassung oder ein Asset-Verzeichnis hilft Ihnen, besser zu verstehen, welche Systeme und Tools in Ihrer Umgebung laufen. So können Sie feststellen, welche kritischen Systeme im Unternehmen vorhanden sind und wie Sie Sicherheitskontrollen priorisieren können.

Schwachstellenbewertung
Die Erkennung der Lücken, die ein Angreifer nutzen kann, um in Ihre Systeme einzudringen, ist für den Schutz Ihrer Umgebung von entscheidender Bedeutung. Sicherheitsteams müssen die Systeme nach Schwachstellen durchsuchen, um diese Lücken zu erfassen, und entsprechend handeln. Einige Zertifizierungen und Vorschriften verlangen auch regelmäßige Schwachstellenbewertungen, um die Einhaltung der Vorschriften nachzuweisen.

Erkennung von Eindringlingen
Intrusion detection systems (IDS) sind grundlegende Werkzeuge für SOCs, um Angriffe im Anfangsstadium zu erkennen. Sie funktionieren typischerweise durch die Identifizierung bekannter Angriffsmuster unter Verwendung von Intrusion-Signaturen.

Herausforderungen eines Security Operations Center

Das SOC hat eine zunehmend komplexe Rolle, da es alle Aspekte der digitalen Sicherheit der Organisation verwaltet. Für viele Organisationen kann das Herstellen und die Aufrechterhaltung eines fähigen SOC eine Herausforderung darstellen.

Zu den allgemeinen Herausforderungen gehören:

Umfang
Die häufigste Herausforderung von Organisationen ist der Umfang der Sicherheitswarnungen, von denen viele sowohl fortschrittliche Systeme als auch Personalressourcen erfordern, um Bedrohungen richtig zu kategorisieren, zu priorisieren und darauf zu reagieren. Bei einer großen Anzahl von Warnmeldungen können einige Bedrohungen falsch kategorisiert oder ganz übersehen werden. Dies unterstreicht den Bedarf an fortschrittlichen Monitoring Tools und Automatisierungsfunktionen sowie den Bedarf eines Teams qualifizierter Cyber Security Experten.

Komplexität
Die Art des Unternehmens, die Flexibilität des Arbeitsplatzes, der vermehrte Einsatz von Cloud-Technologie sowie andere Probleme haben die Komplexität der Verteidigung des Unternehmens und der Reaktion auf Bedrohungen erhöht. Heute reichen relativ einfache Lösungen wie Firewalls als Einzelmaßnahme nicht mehr aus, um das Unternehmen vor digitalen Gegnern zu schützen. Ausreichende Sicherheit erfordert eine Lösung, die Technologie, Menschen und Prozesse kombiniert, was eine Herausforderung bei Planung, Aufbau und Betrieb darstellen kann.

Kosten
Der Aufbau eines SOC erfordert erhebliche Zeit und Ressourcen. Die Instandhaltung kann sogar noch anspruchsvoller sein, da sich die Bedrohungslandschaft ständig verändert und häufige Aktualisierungen und Upgrades sowie eine stetige Weiterbildung des Cyber Security Personals erfordert. Außerdem verfügen nur wenige Organisationen über das erfordliche Talent intern, um die aktuelle Bedrohungslandschaft ausreichend zu verstehen. Viele Organisationen arbeiten mit Drittanbietern von Sicherheitsdiensten (wie z.B. MSSPs) zusammen, um zuverlässige Ergebnisse ohne bedeutende interne Technologie- oder Personalinvestitionen zu gewährleisten.

Mangel an Fachkräften
Der Aufbau einer firmeninternen Sicherheitslösung wird durch die begrenzte Verfügbarkeit qualifizierter Cyber Security Experten erschwert. Cyber Security Experten sind weltweit sehr gefragt, weshalb es schwierig ist, diese zu rekrutieren und zu halten. Das bedeutet, dass die Mitarbeiterfluktuation innerhalb einer Cyber Security Organisation die Sicherheitsabläufe potenziell beeinträchtigen kann.

Wie kann Ihr Unternehmen von einem Security Operations Center profitieren?

Es gibt verschiedene Möglichkeiten für eine Organisation, SOC-Fähigkeiten zu erwerben. Die gängigsten Einsatzmodelle sind:

Internes SOC

Der Aufbau eines dedizierten internen Security Operations Center wird für ausgereifte Cyber Security Unternehmen empfohlen. Organisationen mit der Tendenz, interne SOCs zu entwickeln verfügen über ein Budget, welches ermöglicht eine Investition zu tätigen, die einen 24×7 Rund-um-die-Uhr-Einsatzes beinhaltet und sich mit vielen sich verändernden Variablen in und um ihre Infrastruktur befasst. Einer der wesentlichen Vorteile des Aufbaus eines internen SOC ist die maximale Sichtbarkeit und Reaktionsfähigkeit im gesamten Netzwerk. Ein engagiertes internes Team wird in der Lage sein, die Umgebung und ihre Anwendungen zu überwachen und ein vollständiges Bild aus der Perspektive der Bedrohungslandschaft zu liefern. Zu den Nachteilen zählen der Kampf um die Rekrutierung und Bindung von Talenten sowie hohe Investitionskosten im Vorfeld. Dieses Modell erfordert in der Regel einen erheblichen Zeitaufwand für den Aufbau und die Aufrechterhaltung eines angemessenen Niveaus.

Managed SOC, MSSP, und MDR

Die Auswahl eines verwalteten SOC empfiehlt sich für Organisationen, die Unterstützung einer externen Firma bei der Ausführung von hoch qualifizierten Überwachungs- und Erfassungsaufgaben in Anspruch nehmen möchten. Einige Organisationen können aus IT- und Cyber Security Perspektive ausgereift sein. Jedoch können Budgetbeschränkungen und begrenztes Fachwissen die Fähigkeit zum Aufbau eines voll funktionsfähigen, internen 24×7-SOC beeinträchtigen. Umgekehrt kann es Organisationen geben, die sich noch in einer unausgereiften Phase des Schutzes der Organisation befinden und daher bessere Fachkenntnisse benötigen, um die Überwachungs-, Erkennungs- und Reaktionseinsätze (MDR) schnell durchführen zu können.

Zu den Vorteilen dieses Modells gehören: Sie ist die schnellste, einfachste, die am meisten anpassbare und kostengünstigste zu implementieren. Da es eine Vielzahl von Kunden und Branchen gibt, die typisch von MSSPs (Managed Security Services Providers) unterstützt werden, kann das Fachwissen und der Reichtum an zusätzlichen Informationen von unschätzbarem Wert sein.

Der größte Unterschied zwischen einem traditionellen SOC und einem mit MDR-Diensten ausgestatteten besteht darin, dass diese Anbieter Bedrohungen nicht nur erkennen und analysieren, sondern auch auf diese reagieren. Wenn eine Bedrohung erfasst wird, werden sie die Kritikalität überprüfen, während sie reagieren und Sie über den Vorfall informieren.

Hybrid – Kleines, intern betriebenes SOC

Ein Hybridmodell bringt das Beste aus beiden Welten zum Vorschein; hauseigenes Personal, ergänzt durch Experten von Drittanbietern, bietet einen sicheren Ansatz zur Erkennung und Reaktion. Die meisten Organisationen auf dieser Ebene sind groß genug, um ein eigenes kleines Team aufzubauen. Sie können jedoch kein voll funktionsfähiges internes 24×7 SOC aufbauen. Diese Lösung ist aufgrund ihrer schnellen Aufdeckungs- und Reaktionszeit effizient. Außerdem gibt es einen geringeren Rückstand aufgrund der zusätzlichen Analysten (intern und extern), die Erkenntnisse mit hoher Priorität bearbeiten. Darüber hinaus bietet dieses Modell die beste Lernkombination für eine Organisation und ein Cybersicherheitsteam. Es kann auch einen Wissenstransfer von den Experten eines MSSP ermöglichen.

Zu den erheblichen Nachteilen gehört die Tatsache, dass einige Daten über eine dritte Partei verarbeitet werden und dass die langfristige Aufrechterhaltung dieses Modells kostspielig sein kann.

Aufbau von Fähigkeiten des Security Operations Center

Die Planung, der Aufbau und der Betrieb eines Security Operations Center erfordert Zeit und Ressourcen. Es ist eine wesentliche Aufgabe für die Effektivität der Cybersicherheit im Unternehmen. Abhängig von der Größe der Organisation und der Verfügbarkeit von Expertenressourcen lohnt es sich jedoch, die Unterstützung durch externe Berater in Betracht zu ziehen. Sie müssen sich überlegen, wie das SOC geplant, aufgebaut und betrieben werden soll.  Im weiteren Verlauf wird der erste Schritt darin bestehen, einen Business Case zu erstellen, der es Ihnen ermöglicht, die Unterstützung der Geschäftsführung für das Projekt und die erforderliche Finanzierung zu erhalten.

Denken Sie daran, dass sich ein effektiver SOC-Geschäftsfall auf das Ergebnis der Investition konzentriert und nicht auf die spezifischen technischen Fähigkeiten oder Instrumente, die ein SOC hinzufügt. Die Führungsspitze schätzt Geschäftsbeispiele, die greifbare, metrische Verbesserungen oder Vorteile bieten.

 

Checkliste: Fragen, die beim Aufbau eines SOC zu berücksichtigen sind

Planung Aufbau Betrieb
Rechtfertigung Level Ressourcen Beschaffung Fähigkeiten Arbeitsabläufe Metrik
Brauche ich ein SOC? Welche Fähigkeiten sollte das SOC haben? Wie viel sollte ich für das SOC ausgeben? Sollte ich das SOC selbst aufbauen oder auslagern? Welche Fähigkeiten brauche ich jetzt und welche kann ich später hinzufügen? Welche SOC-Funktionen können automatisiert werden? Welche SOC-Metriken sollte ich verfolgen?
Was sind die greifbaren metrischen Vorteile eines SOC? Wer leitet das SOC und wie sieht die Organisationsstruktur aus? Wie viel Personal wird für die Führung des SOC benötigt? Welche SOC-Dienstleistungen nutzen meine Kollegen? Wie füge ich Fähigkeiten zur Reaktion auf Vorfälle hinzu? Mit wem arbeitet das SOC intern/extern zusammen? Wie sollte ich das SOC verwalten?
Den Business Case des SOC der Geschäftsführung aufzeigen Welches Service-Level benötige ich von meinem SOC? Was sind die Rollen und Verantwortlichkeiten der Mitarbeiter im SOC? Könnte/sollte ich in der Lage sein, die SOC-Beschaffungsentscheidungen im Laufe der Zeit zu ändern? Wie kann ich die Fähigkeiten zur Erfassung von Bedrohungen verbessern? Wie kann ich im Laufe der Zeit SOC-Fähigkeiten hinzufügen oder verbessern? Welche Berichte über die SOC-Leistung sollte ich für die Führungsebene erstellen?

Brauche ich ein SOC?

Planung

Ebene: Welche Fähigkeiten sollte das SOC haben??

Ressourcen: Wie viel sollte/kann ich für das SOC ausgeben?

Aufbau

Beschaffung: Sollte man das SOC selbst aufbauen oder auslagern?

Fähigkeiten: Welche Fähigkeiten brauche ich jetzt und welche kann ich später hinzufügen?

Betrieb

Arbeitsabläufe: Welche SOC-Funktionen können automatisiert werden?

Metrik: Welche SOC-Metriken sollte ich verfolgen?

Was sind die greifbaren metrischen Vorteile eines SOC?

Planung

Ebene: Wer leitet das SOC und wie sieht die Organisationsstruktur aus?

Ressourcen: Wie viel Personal wird für die Führung des SOC benötigt?

Aufbau

Beschaffung: Welche SOC-Dienstleistungen nutzen meine Kollegen?

Fähigkeiten: Wie füge ich Fähigkeiten zur Reaktion auf Vorfälle hinzu?

Betrieb

Arbeitsabläufe: Mit wem arbeitet das SOC intern/extern zusammen?

Metrik: Wie sollte ich das SOC verwalten?

Den Business Case des SOC der Geschäftsführung aufzeigen

Planung

Ebene: Welches Service-Level benötige ich von meinem SOC?

Ressourcen: Was sind die Rollen und Verantwortlichkeiten der Mitarbeiter im SOC?

Aufbau

Beschaffung: Könnte/sollte ich in der Lage sein, die SOC-Beschaffungsentscheidungen im Laufe der Zeit zu ändern?

Fähigkeiten: Wie kann ich die Fähigkeiten zur Erfassung von Bedrohungen verbessern?

Betrieb

Arbeitsabläufe: Wie kann ich im Laufe der Zeit SOC-Fähigkeiten hinzufügen oder verbessern?

Metrik: Welche Berichte über die SOC-Leistung sollte ich für die Führungsebene erstellen?