Data Insider

Was ist ein Security Operations Center (SOC)?

Ein Security Operations Center (SOC), auch Information Security Operations Center (ISOC) genannt, ist ein zentraler Ort, an dem ein Informationssicherheitsteam Cybersicherheits-Incidents überwacht, erkennt, analysiert und behebt, und zwar in der Regel 365 Tage im Jahr rund um die Uhr.

Das Security-Team, das sich aus Sicherheitsanalysten und -ingenieuren zusammensetzt, überwacht sämtliche Aktivitäten auf Servern, Websites, in Datenbanken, Netzwerken, Anwendungen, Endgeräten und anderen Systemen, und zwar einzig zu dem Zweck, mögliche Sicherheitsbedrohungen aufzuspüren und so schnell wie möglich abzuwenden. Darüber hinaus überwachen die Mitarbeiter relevante externe Quellen (z. B. Bedrohungslisten), die Einfluss auf die Sicherheitslage des Unternehmens haben könnten.

Der Aufgabenbereich eines SOC beschränkt sich nicht auf die Erkennung von Bedrohungen, sondern erstreckt sich auch auf deren Analyse, die Untersuchung der Quelle, die Berichterstellung über aufgedeckte Schwachstellen und das Verhindern ähnlicher Vorfälle in der Zukunft. Mit anderen Worten: Das Team behandelt Probleme in Echtzeit und sucht gleichzeitig kontinuierlich nach Möglichkeiten, den Sicherheitsstatus des Unternehmens zu optimieren.

Es gibt zudem GSOCs (Global Security Operations Centers) die Sicherheitsbüros koordinieren, die sich überall auf der ganzen Welt befinden. Wenn Ihr Unternehmen über Niederlassungen auf dem gesamten Erdball verfügt, kann es sinnvoll sein, ein GSOC einzurichten (anstelle von SOCs an den einzelnen Standorten), um die wiederholte Ausführung von Aufgaben und Funktionen zu vermeiden, die Gemeinkosten zu senken und dem Security-Team einen umfassenden Überblick über die Vorgänge im gesamten Unternehmen zu geben.

Nachfolgend erörtern wir die grundlegenden Funktionen eines SOC bzw. GSOC sowie wichtige Aspekte bei der Einrichtung eines SOC.

Was ist ein SOC: Inhalt

Analystenbericht | Splunk auf Platz 1 im Gartner Magic Quadrant für SIEM

SOC – Überblick

Welche Bedeutung hat ein SOC?

Cyberangriffe richten in Unternehmen immer größeren Schaden an. 2018 waren Milliarden Menschen von Datenschutzverletzungen und Cyberangriffen betroffen und das Vertrauen der Verbraucher in die Fähigkeit der Unternehmen, ihre Privatsphäre und personenbezogenen Daten zu schützen, nahm ab. Fast 70 Prozent der Verbraucher sind der Ansicht, Unternehmen seien anfällig für Hacker- und Cyberangriffe und sagen zudem, dass die Wahrscheinlichkeit geringer ist, dass sie Geschäftsbeziehungen mit Unternehmen aufnehmen oder fortsetzen, bei denen es bereits zu Datenschutzverletzungen gekommen ist.

Einfach ausgedrückt bieten SOCs die Gewissheit, dass Bedrohungen in Echtzeit erkannt und abgewendet werden. Im Großen und Ganzen können SOCs:

  • Schneller reagieren: Das SOC bietet einen zentralen, vollständigen Echtzeit-Überblick über den Sicherheitsstatus der gesamten Infrastruktur, selbst bei mehreren Standorten und Tausenden von Endpunkten. Probleme können erkannt, verhindert und gelöst werden, bevor sie allzu großen Schaden für das Unternehmen anrichten.
  • Das Vertrauen von Verbrauchern und Kunden stärken: Die Verbraucher stehen den meisten Unternehmen bereits skeptisch gegenüber und sorgen sich um den Schutz Ihrer Daten. Durch die Einrichtung eines SOC zum Schutz von Verbraucher- und Kundendaten kann Ihr Unternehmen Vertrauen gewinnen. Wenn es dann gelingt, Datenschutzverletzungen zu verhindern, wird dieses Vertrauen aufrechterhalten und gestärkt.
  • Kosten minimieren: Bei vielen Unternehmen herrscht die Ansicht vor, die Einrichtung eines SOC sei unerschwinglich. Dabei kommt eine Sicherheitsverletzung – mit Datenverlusten, beschädigten Daten und Kundenabwanderung – ein Unternehmen viel teurer zu stehen. Darüber hinaus sorgen die SOC-Mitarbeiter dafür, dass in Ihrem Unternehmen die richtigen Tools eingesetzt und deren Potenzial voll ausgeschöpft wird. Geldverschwendung für unwirksame Tools gehört damit der Vergangenheit an.

Diese Vorteile sind von unschätzbarem Wert, denn sie halten Ihr Unternehmen buchstäblich am Laufen. Aber ist ein SOC wirklich unbedingt erforderlich? Wenn Ihr Unternehmen behördlichen oder branchenspezifischen Vorschriften unterliegt, eine Sicherheitsverletzung hinnehmen musste oder sensible Daten wie Kundeninformationen speichert, lautet die Antwort eindeutig „ja“.

Welche Aufgaben hat ein SOC?

Das SOC übernimmt eine Führungsrolle bei der Incident Response in Echtzeit, fördert laufende Sicherheitsverbesserungen und schützt das Unternehmen vor Cyberbedrohungen. Durch den Einsatz einer komplexen Kombination von geeigneten Tools und Mitarbeitern für das Monitoring und die Verwaltung des gesamten Netzwerks kann ein gut funktionierendes SOC folgende Aufgaben übernehmen:

  • Proaktive Rund-um-die-Uhr-Überwachung von Netzwerken, Hardware und Software zur Erkennung von Bedrohungen und Sicherheitsverletzungen sowie Incident Response
  • Bereitstellen von Expertenwissen zu allen in Ihrem Unternehmen eingesetzten Tools, einschließlich Tools von Drittanbietern, damit Sicherheitsprobleme rasch behoben werden können
  • Installation, Aktualisierung und Troubleshooting von Software
  • Monitoring und Verwaltung von Firewall- und Intrusion-Prevention-Systemen
  • Scannen und Problembehebung bei Antivirus-, Malware- und Ransomware-Lösungen
  • Verwaltung des E-Mail-, Voice- und Video-Traffics
  • Patch-Verwaltung und Whitelist-Erstellung
  • Tiefgehende Analysen von Security-Log-Daten aus unterschiedlichen Quellen
  • Analyse, Untersuchung und Dokumentation von Security-Trends
  • Untersuchung von Sicherheitsverstößen zur Ermittlung der Kernursache von Angriffen und Verhinderung von zukünftigen Verstößen
  • Durchsetzen von Sicherheitsrichtlinien und -verfahren
  • Sicherung, Speicherung und Wiederherstellung

Das SOC nutzt eine Reihe von Tools, die Daten aus dem gesamten Netzwerk und von verschiedenen Geräten erfassen, auf Anomalien überwachen und die Mitarbeiter bei potenziellen Bedrohungen warnen. Der Aufgabenbereich des SOC geht jedoch über das bloße Reagieren auf akut auftretende Probleme hinaus.

Welche Funktion hat ein SOC, wenn es gerade keine Bedrohungen aufspürt? Das SOC hat die Aufgabe, Schwachstellen innerhalb und außerhalb der Organisation durch eine laufende Software- und Hardware-Schwachstellenanalyse sowie durch aktives Sammeln von Bedrohungsinformationen zu bekannten Risiken aufzudecken. Selbst wenn es gerade keine aktiven Bedrohungen gibt (was angesichts der Tatsache, dass es etwa alle 39 Sekunden zu einem Hackerangriff kommt, eher selten der Fall ist), suchen die Mitarbeiter des SOC proaktiv nach Möglichkeiten, den Sicherheitsstatus zu verbessern. Die Schwachstellenbewertung umfasst auch den aktiven Versuch, ins eigene System einzudringen (Penetrationstest). Darüber hinaus ist die Sicherheitsanalyse eine Kernaufgabe der SOC-Mitarbeiter. Dabei geht es um den optimalen Einsatz geeigneter Security-Tools im Unternehmen. Es wird ermittelt, was funktioniert und was nicht.

Wer arbeitet in einem SOC?

Im SOC sind hochqualifizierte Sicherheitsanalysten und -ingenieure sowie Führungskräfte beschäftigt, die für einen reibungslosen Ablauf sorgen. Dabei handelt es sich um Fachkräfte, die speziell für das Monitoring und Management von Sicherheitsbedrohungen ausgebildet wurden. Sie sind nicht nur geschult im Umgang mit einer Vielzahl von Security-Tools, sondern kennen auch die spezifischen Abläufe, die im Falle einer Verletzung der Infrastruktur zu befolgen sind.

Die meisten SOCs bevorzugen für die Abwicklung von Sicherheitsproblemen eine hierarchische Struktur, bei der Analysten und Ingenieure auf der Grundlage ihrer Qualifikation und Erfahrung eingestuft werden. Ein typisches Team könnte beispielsweise folgendermaßen strukturiert sein:

  • Level 1: Gewissermaßen die erste Verteidigungslinie bei der Incident Response. Diese Security-Fachleute achten auf Warnmeldungen, legen für die einzelnen Warnmeldungen die Dringlichkeit fest und bestimmen, wann zu Level 2 eskaliert werden soll. Die Mitarbeiter von Level 1 können auch Sicherheitstools verwalten und regelmäßige Berichte ausführen.
  • Level 2: Die Mitarbeiter auf diesem Level verfügen in der Regel über mehr Fachwissen, sodass sie einem Problem schnell auf den Grund gehen und beurteilen können, welcher Teil der Infrastruktur angegriffen wird. Sie folgen festgelegten Verfahren zur Problembehebung, beseitigen negative Auswirkungen und kennzeichnen Probleme, die einer weitergehenden Untersuchung bedürfen.
  • Level 3: Bei den Mitarbeitern dieses Levels handelt es sich um hochqualifizierte Sicherheitsanalysten, die aktiv nach Schwachstellen im Netzwerk suchen. Sie nutzen Tools zur Erkennung komplexer Bedrohungen, um Schwächen zu diagnostizieren und Empfehlungen zur Verbesserung des allgemeinen Sicherheitsstandards im Unternehmen auszusprechen. In dieser Gruppe sind eventuell auch Spezialisten wie forensische Ermittler, Compliance-Auditoren und Cyber-Security-Analysten anzutreffen.
  • Level 4: Dieses Level setzt sich aus hochrangigen Führungskräften mit langjähriger Erfahrung zusammen. Dieses Team überwacht sämtliche Aktivitäten des SOC und ist für die Einstellung und Schulung des Personals sowie für die Bewertung der individuellen und der Gesamt-Performance zuständig. Level 4 Mitarbeiter schreiten bei Krisen ein und fungieren insbesondere als Bindeglied zwischen dem SOC-Team und dem Rest des Unternehmens. Darüber hinaus sind sie verantwortlich für die Einhaltung von Unternehmens-, Branchen- und Regierungsrichtlinien und Vorschriften.

Was ist der Unterschied zwischen einem SOC und einem NOC?

Während das SOC sich 365 Tage im Jahr rund um die Uhr auf das Monitoring und die Analyse des Sicherheitsstatus eines Unternehmens sowie auf die Erkennung etwaiger Bedrohungen konzentriert, sorgt ein NOC oder Network Operations Center vor allem dafür, dass die Performance und Geschwindigkeit des Netzwerks den Anforderungen entsprechen und Ausfallzeiten minimiert werden.

SOC-Ingenieure und -Analysten halten nach Cyberbedrohungen und Angriffsversuchen Ausschau, um reagieren zu können, bevor die Daten oder Systeme eines Unternehmens kompromittiert werden. NOC-Mitarbeiter suchen hingegen nach Problemen, die die Netzwerkgeschwindigkeit drosseln oder Ausfallzeiten verursachen könnten. Beide haben das Ziel, mit proaktivem Echtzeit-Monitoring Probleme zu verhindern, bevor Kunden oder Mitarbeiter davon beeinträchtigt werden. Außerdem suchen beide nach Möglichkeiten, kontinuierlich Verbesserungen vorzunehmen, damit ähnliche Probleme nicht wieder auftreten.

SOCs und NOCs sollten Hand in Hand arbeiten, um größere Incidents oder Krisensituationen in den Griff zu bekommen. In einigen Fällen sind die SOC-Funktionen auch innerhalb des NOC angesiedelt. NOCs können durchaus einige Sicherheitsbedrohungen erkennen und darauf reagieren, insbesondere bezüglich der Netzwerk-Performance, wenn die Mitarbeiter entsprechend ausgebildet sind und nach diesen Bedrohungen suchen. Umgekehrt wäre ein typisches SOC nicht in der Lage, Probleme mit der Netzwerk-Performance zu erkennen und zu behandeln, ohne in unterschiedliche Tools und Qualifikationen zu investieren.

Erste Schritte

Welche Best Practices gibt es für den Aufbau eines SOC?

Zu den Best Practices für den Betrieb eines SOC gehören: die Entwicklung einer Strategie, die Schaffung unternehmensweiter Transparenz, die Investition in die richtigen Tools, die Einstellung und Schulung der richtigen Mitarbeiter, die Maximierung der Effizienz und die Gestaltung Ihres SOC entsprechend Ihrer spezifischen Anforderungen und Risiken.

Entwickeln Sie eine Strategie: Ein SOC ist eine bedeutende Investition, denn von Ihrer Sicherheitsplanung hängt vieles ab. Stellen Sie sich beim Entwickeln einer Strategie, die Ihre Sicherheitsanforderungen erfüllt, folgende Fragen:

  • Was muss gesichert werden? Ein einzelnes lokales Netzwerk oder ein globales? Cloud oder Hybrid? Wie viele Endpunkte? Müssen Sie streng vertrauliche Daten oder Kundeninformationen schützen? Welche Daten sind am wertvollsten und daher mit besonders hoher Wahrscheinlichkeit das Ziel von Angriffen?
  • Soll das SOC in Ihr NOC integriert werden oder sollen zwei getrennte Abteilungen entstehen? Zur Erinnerung: Die Funktionen unterscheiden sich erheblich und eine Integration beider Abteilungen erfordert andere Tools und Mitarbeiterqualifikationen.
  • Müssen Ihre SOC-Mitarbeiter 365 Tage im Jahr rund um die Uhr verfügbar sein? Das hat Auswirkungen auf Personalfragen, Kosten und Logistik.
  • Sollen alle Aufgaben des SOC unternehmensintern ausgeführt werden oder möchten Sie einige oder alle Funktionen zu einem Drittanbieter auslagern? Eine sorgfältige Kosten-Nutzen-Analyse hilft bei der Abwägung.

Schaffen Sie Transparenz über Ihr gesamtes Unternehmen hinweg: Ihr SOC muss Zugang zu allen Elementen haben, die die Sicherheit beeinträchtigen könnten, auch wenn sie zunächst klein und unbedeutend erscheinen. Außer der größeren Infrastruktur fallen darunter auch Geräteendpunkte, von Dritten gesteuerte Systeme und verschlüsselte Daten.

Investieren Sie in geeignete Tools und Services: Konzentrieren Sie sich beim Aufbau Ihres SOC zunächst auf die Tools. Ohne geeignete automatisierte Tools, die das „Rauschen“ reduzieren und die wichtigsten Bedrohungen in den Vordergrund treten lassen, werden Sie Mühe haben, die Flut der Sicherheits-Events zu bewältigen. Insbesondere sollten Sie in folgende Tools investieren:

  • SIEM (Security Information and Event Management): Dieses einzelne Sicherheitsmanagementsystem bietet einen vollständigen Überblick über die Aktivitäten innerhalb Ihres Netzwerks, indem es Maschinendaten aus einer Vielzahl von Quellen im Netzwerk sammelt, parst und kategorisiert und diese Daten anschließend analysiert, sodass Sie in Echtzeit reagieren können.
  • Systeme für die Endpunktsicherheit: Jedes Gerät, das eine Verbindung zu Ihrem Netzwerk herstellt, ist anfällig für Angriffe. Ein Tool für die Endpunktsicherheit schützt Ihr Netzwerk, wenn besagte Geräte darauf zugreifen.
  • Firewall: Eine Firewall überwacht den eingehenden und ausgehenden Netzwerkverkehr und blockiert basierend auf von Ihnen erstellten Sicherheitsregeln automatisch Zugriffe.
  • Automatisierte Anwendungssicherheit: Automatisiert den Testprozess sämtlicher Softwareanwendungen und liefert dem Security-Team Echtzeit-Feedback zu Schwachstellen.
  • Asset-Erkennungssystem: Verfolgt die aktiven und inaktiven Tools, Geräte und Anwendungen, die in Ihrem Netzwerk verwendet werden, und ermöglicht das Bewerten von Risiken und das Beheben von Schwachstellen.
  • Daten-Monitoring-Tool: Ermöglicht das Nachverfolgen und Auswerten von Daten, um deren Sicherheit und Integrität zu gewährleisten.
  • GRC-System (Governance, Risk and Compliance): Unterstützt Sie bei der erforderlichen Einhaltung unterschiedlicher Regeln und Vorschriften.
  • Schwachstellen-Scanner und Penetrationstests: Ermöglicht Ihren Sicherheitsanalysten die Suche nach Schwachstellen und das Erkennen verborgener Schwächen Ihres Netzwerks.
  • Log-Management-System: Ermöglicht das Protokollieren der zahlreichen Meldungen aus allen Software- und Hardware-Elementen sowie Endgeräten, die in Ihrem Netzwerk ausgeführt werden.

Stellen Sie qualifizierte Fachkräfte ein und schulen Sie diese: Die Einstellung qualifizierter Mitarbeiter und deren kontinuierliche Weiterbildung ist ein zentraler Erfolgsbaustein. Der Markt für Sicherheitsfachkräfte ist hart umkämpft. Sobald es Ihnen gelungen ist, qualifizierte Mitarbeiter einzustellen, sollten Sie kontinuierlich in deren Weiterbildung investieren. Damit sorgen Sie für mehr Sicherheit, eine höhere Motivation und stärken die Mitarbeiterbindung. Ihr Team muss sich in folgenden Bereichen auskennen: Anwendungs- und Netzwerksicherheit, Firewalls, Informationssicherung, Linux, UNIX, SIEM sowie Sicherheits-Engineering und -Architektur. Für die Sicherheitsanalysten der höchsten Hierarchieebene sind folgende Qualifikationen wünschenswert:

  • Ethisches Hacking: Sie brauchen einen Mitarbeiter, der versucht, Ihr System zu hacken, um Schwachstellen aufzudecken.
  • Cyber-Forensik: Analysten führen Untersuchungen durch und wenden bestimmte Analysetechniken an, um Beweismaterial zutage zu fördern und zu sichern. Sollte ein Fall vor Gericht gehen, muss der Sicherheitsanalyst in der Lage sein, eine dokumentierte Beweiskette vorzulegen, anhand derer sich nachvollziehen lässt, welche Ereignisse aus welchem Grund eingetreten sind.
  • Reverse Engineering: Dies ist der Prozess, bei dem Software dekompiliert bzw. dekonstruiert bzw. neu aufgebaut wird, um zu verstehen, wie sie funktioniert und, was noch wichtiger ist, wo sie anfällig für Angriffe ist, damit das Team vorbeugende Maßnahmen ergreifen kann.
  • Expertise bezüglich Intrusion-Prevention-Systemen: Das Monitoring des Netzwerkverkehrs bezüglich Bedrohungen wäre ohne geeignete Tools nicht möglich. Ihr SOC-Personal muss sich gut mit deren richtiger Anwendung auskennen.

Prüfen Sie alle Ihre Optionen: Nachfolgend die gängigsten SOC-Typen.

  • Interne SOCs, in der Regel mit Vollzeitmitarbeitern, die alle vor Ort tätig sind. Das interne SOC befindet sich in einem physischen Raum im Unternehmen, in dem die Mitarbeiter ihrer Tätigkeit nachgehen.
  • Virtuelle SOCs befinden sich nicht vor Ort und werden mit Teilzeitkräften oder selbstständigen Auftragnehmern besetzt, die aufeinander abgestimmt zusammenarbeiten, um Probleme nach Bedarf zu lösen. Das SOC und das Unternehmen legen Parameter und Richtlinien für die Beziehung fest. Die vom SOC angebotene Unterstützung kann je nach Unternehmensanforderungen variieren.
  • Ausgelagerte SOCs, bei denen einige oder alle Funktionen von einem externen MSSP (Managed Security Service Provider) verwaltet werden, der auf Sicherheitsanalyse und -reaktion spezialisiert ist. Manchmal bieten diese Unternehmen bestimmte Services zur Unterstützung eines internen SOC an, manchmal übernehmen sie auch alle Aufgaben.

Wie kann SIEM Ihr SOC verbessern?

Mit einem SIEM kann das SOC die Sicherheit Ihres Unternehmens wirksamer schützen. Selbst die besten Sicherheitsanalysten mit dem fortschrittlichsten Setup können den endlosen Datenstrom nicht Zeile für Zeile überprüfen, um schädliche Aktivitäten zu erkennen. An dieser Stelle kommt SIEM ins Spiel und kann zum sprichwörtlichen „Game Changer“ werden.

Wie bereits erwähnt, sammelt und organisiert ein SIEM alle Daten aus unterschiedlichen Quellen innerhalb Ihres Netzwerks und bietet Ihren SOC-Mitarbeitern Erkenntnisse, aufgrund derer sie interne und externe Angriffe rasch erkennen und abwehren können. Das Bedrohungsmanagement wird vereinfacht, Risiken minimiert und das SOC profitiert von unternehmensweiter Transparenz und Security Intelligence.

Ein SIEM spielt eine wichtige Rolle bei SOC-Aufgaben wie Monitoring, Incident Response, Log-Management, der Erstellung von Compliance-Berichten und der Durchsetzung von Richtlinien. Allein durch die Log-Management-Funktionen wird es zu einem absolut notwendigen Tool für jedes SOC. Ein SIEM kann riesige Batches von Sicherheitsdaten aus Tausenden von Quellen innerhalb weniger Sekunden parsen, um ungewöhnliches Verhalten oder schädliche Aktivitäten aufzuspüren und automatisch zu stoppen. Ein Großteil dieser Aktivitäten bleibt ohne SIEM unentdeckt.

Das SIEM unterstützt das SOC beim Zusammenführen der Logs und Erstellen von Regeln, die eine Automatisierung ermöglichen und Fehlalarme drastisch reduzieren können. Sicherheitsanalysten können sich so auf die echten Bedrohungen konzentrieren. Darüber hinaus bietet das SIEM zuverlässige Reporting-Funktionen, die sowohl bei forensischen Untersuchungen als auch für die Erfüllung von Compliance-Anforderungen hilfreich sind.

Fazit

Investieren Sie in IT-Sicherheit

Ein hoher Sicherheitsstandard ist für jedes Unternehmen ein Muss. Unabhängig davon, ob Sie SIEM- und Sicherheitsfunktionen in Ihr NOC integrieren, die meisten oder alle SOC-Funktionen an Drittanbieter auslagern oder ein internes SOC einrichten, ist es wichtig, die Sicherheitsfragen anzugehen, die ein SOC beantworten soll.

Beginnen Sie mit der Frage „Welche Sicherheitsanforderungen gibt es in unserem Unternehmen?“ gefolgt von „Wie können wir diese Anforderungen am wirksamsten und effizientesten erfüllen?“