So steigert ein Security Operations Center Ihre IT-Sicherheit Das SOC als wichtige Verteidigungslinie gegen Cyberangriffe

Von Finn Siebert

Cyberangriffe sind zu einer realen Bedrohung für viele Organisationen geworden. Laut dem Digitalverband Bitkom sieht sich jedes zehnte Unternehmen in seiner Existenz bedroht. Der im Oktober 2021 veröffentlichte Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt weiter steigende Angriffszahlen. Als Konsequenz aus der Bedrohungslage sollten Verantwortliche dem Thema Informationssicherheit einen höheren Stellenwert beimessen und Security-Maßnahmen fest in der Unternehmensstrategie verankern.

Anbieter zum Thema

Ein zentraler Aspekt eines Security Operations Center (SOC) ist das schnelle Erkennen von Cyberangriffen – idealerweise noch bevor es den Angreifern gelingt, brisante Daten zu entwenden oder zu verschlüsseln.
Ein zentraler Aspekt eines Security Operations Center (SOC) ist das schnelle Erkennen von Cyberangriffen – idealerweise noch bevor es den Angreifern gelingt, brisante Daten zu entwenden oder zu verschlüsseln.
(Bild: Egor - stock.adobe.com)

Vor dem Hintergrund immer wieder auftretender Angriffe auf Infrastrukturen sollte es für Organisationen jetzt darum gehen, eigene Prozesse für die Informationssicherheit aufzusetzen sowie Security-Mitarbeiter einzustellen oder auszubilden. Ein Security Operations Center (SOC) kann hierbei eine wichtige Verteidigungslinie gegen Cyberangriffe darstellen. Ein zentraler Aspekt dieser Organisationseinheit ist das schnelle Erkennen von Cyberangriffen – idealerweise noch bevor es den Angreifern gelingt, brisante Daten zu entwenden oder zu verschlüsseln. Darüber hinaus analysieren die Mitarbeiter die Auswirkungen solcher Vorfälle, um unter anderem eine Priorisierung des Vorfalls vorzunehmen. Im Anschluss leiten die Experten Sofortmaßnahmen für die Eindämmung ein und können Prozesse starten, um Systeme wiederherzustellen.

Darüber hinaus überwachen die SOC-Mitarbeiter im laufenden Tagesgeschäft zuvor definierte IT-Policies und Kennzahlen. So können sie schnell auch auf interne Angriffe reagieren, wenn zum Beispiel Zugriffsrechte nicht korrekt vergeben wurden. Eine ebenfalls wichtige Aufgabe ist die Erkennung und Priorisierung von Schwachstellen. Dadurch kann eine angepasste Strategie für das Patchmanagement entwickelt, aber auch die Anzahl der Angriffsvektoren gezielt verringert werden. Sind bei einem Unternehmen neue Standorte zu integrieren, bewerten die Experten die bestehenden Maßnahmen neu und passen unter Umständen die Security-Maßnahmen an.

Schließlich übernehmen die Mitarbeiter auch das Monitoring von Netzwerkaktivitäten, da sie Attacken sehr schnell durch veränderten Netzwerk-Traffic erkennen können. Es genügt unter Umständen schon eine einzige fehlerhafte Konfiguration eines Netzwerkgerätes, damit Angreifer über diese Lücke Daten abgreifen Darüber hinaus kann das Log-Management des SOC auch vom IT-Betrieb für die Betriebsunterstützung verwendet werden. So können Admins mit den SOC-Tools zum Beispiel sehr komfortabel nach Fehlermeldungen in den Logs ihrer Geräte suchen. Natürlich ist dafür ein angemessenes Rollen- und Rechtekonzept notwendig.

Best-Practice-Ansätze für den SOC-Aufbau

Dies sind nur einige Beispiele für die vielfältigen Aufgaben, die Mitarbeiter eines SOCs übernehmen können. Wie aber gelingt der Aufbau und gibt es Alternativen zum Betrieb eines eigenen SOCs? Dazu einige Empfehlungen aus der Praxis.

Zunächst geht es an die Grundlagen. Dazu gehört es, dass Organisationen einen langfristigen Plan definieren und verfolgen. Hierbei ist im Detail zu klären, welche Aufgaben von dem eigenen SOC übernommen werden sollen. Die langfristige Planung ist deshalb wichtig, weil Security-Experten selten am Arbeitsmarkt sofort verfügbar sind. Es sollte also schrittweise in ein eigenes SOC investiert werden, um die Komplexität des Themas beherrschen zu können.

Weiterhin stellt sich die Frage, wer das SOC verantworten soll. Häufig ist es der CIO, der das SOC als Teil der gesamten IT-Infrastruktur übernimmt. Verfügt eine Organisation über eine größere Security-Abteilung, dann kann der CISO (Chief Information Security Officer) diese Verantwortung übernehmen und als leitender Manager auch direkt an den CEO berichten. Die Variante mit einem CISO ist auf jeden Fall zu empfehlen, um interne Konflikte mit der IT zu vermeiden, denn sonst müsste unter Umständen der CIO seinen eigenen IT-Betrieb sicherheitstechnisch überwachen.

Ein Mission-Statement hilft dabei, intern klar zu kommunizieren, welche Aufgaben das SOC im eigenen Unternehmen haben wird. Dies ist wichtig zur Abgrenzung, da Mitarbeiter häufig der Meinung sind, ein Security-Analyst allein kann nun sämtliche sicherheitsrelevanten Aufgaben übernehmen. In der Praxis sollte zunächst eine Fokussierung auf Kernthemen stattfinden, wie der Einsatz einer zentralen Anwendung für Security-Incident und Event-Management (SIEM) oder ein übergreifendes Vulnerability-Scanning, um systematisch nach Schwachstellen in der eigenen Infrastruktur zu suchen. Davon ausgehend erfolgt die Budgetierung und weitere Planung, um schrittweise das SOC bzw. die benötigten IT-Security-Services auszubauen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Planung der Kapazitäten

Ein weiterer Punkt ist die Planung der benötigten Personalstärke. Wer beispielsweise einen 24/7-Security-Support bereitstellen möchte, sollte mit sieben Vollzeitstellen kalkulieren. Zwar könnte der laufende Betrieb auch mit weniger Personal gelingen, dann ist aber das Risiko größer, dass bei Urlaub oder Krankheit der Service eingeschränkt werden muss. Hierbei ist es auch möglich, einen Mix aus internen Experten und externen Dienstleistern einzusetzen. Wurde ein Grundstock an Experten eingestellt und ist ein positives Arbeitsumfeld vorhanden, spricht sich das schnell herum – dies zieht weitere Fachleute an.

Passende Werkzeuge auswählen

Die SOC-Mitarbeiter benötigen natürlich auch geeignete Werkzeuge zur Unterstützung. Dafür sollte eine SIEM-Software ausgewählt werden, die vom Funktionsumfang her zur eigenen Organisation passt. Hierbei helfen die zu Beginn festgelegten Ziele eines SOCs sowie das Mission-Statement, um basierend darauf den Funktionsumfang, das Betriebsmodell und die benötigten Schnittstellen der SIEM-Anwendung auszuwählen. Materna arbeitet in vielen Kundenprojekten mit der Anwendung Elastic, um darüber benötigte IT-Security-Services sowie Aufgaben wie das Log-Management und weitere SIEM-Services abzuwickeln.

Wo sind die Security-Experten

Während sich Software vergleichsweise einfach kaufen lässt, gilt dies nicht für das benötigte Personal. Selbst wenn Unternehmen das notwendige Budget für ein SOC bereitgestellt haben, sind die Experten am Arbeitsmarkt zu schwer zu finden. Es bleiben dann nur die Aus- oder Weiterbildung eigener Fachkräfte oder die enge Kooperation mit Hochschulen. In Deutschland gibt es einige Universitäten, die eine security-spezifische Ausbildung bis hin zum Master anbieten. Häufig wählen Informatikstudenten während ihres regulären Studiums zunächst eine Vertiefung zum Thema IT-Sicherheit im Bachelor, ergänzt um einen Master in IT-Sicherheit. Solche Studiengänge bieten unter anderem die Universitäten Bochum und Potsdam sowie die TH Darmstadt oder die FH Wedel an. Darüber hinaus sind Herstellerschulungen eine wichtige Komponente in der Ausbildung für die Praxis, da diese den Umgang mit den Security-Tools vermitteln.

Wieviel Ausbildungszeit für den avisierten Job benötigt wird, hängt auch von der gewählten Rolle ab. Im Level-2-Support kann man nach einem halben Jahr Praxisausbildung schon produktiv unterstützen, wenn die oben genannten Ausbildungen durchlaufen wurden. Ein Security-Architekt braucht deutlich mehr Erfahrung, da diese Position beispielsweise den Aufbau und Betrieb einer Security-Infrastruktur inklusive einer SIEM-Lösung umfasst, aber auch das Design von Services. Insgesamt wird also eine mehrjährige Berufserfahrung benötigt, um als Security-Architekt zu starten.

Software für das SOC

Damit ein SOC bei seiner Kernaufgabe wirkungsvoll arbeitet, sind spezialisierte Software-Tools notwendig. Dazu zählt die bereits erwähnte SIEM-Lösung, die den Security-Experten die benötigten Funktionen liefert, um auf Bedrohungen zu reagieren und diese zu bekämpfen. Ein etablierter Software-Hersteller in diesem Segment ist Elastic. Materna ist akkreditierter Professional Partner von Elastic und nutzt die Lösung Elastic Cloud Enterprise (ECE) on Premise in seinem eigenen SOC.

Zentrale Komponenten von ECE sind die Open-Source-Lösungen Elasticsearch, Logstash und Kibana, die auch als ELK-Stack bezeichnet werden. Elasticsearch ist eine Suchmaschine und Analytics-Engine, die die Analyse großer Datenmengen in nahezu Echtzeit ermöglicht. Logstash ist eine serverseitige Datenverarbeitungs-Pipeline, die Daten aus unterschiedlichen Quellen erfasst und transformiert und diese an angebundene Analysetools sendet, wie eben Elasticsearch. Die Funktionen zur Datenaufbereitung sind eine der Stärken von Logstash, da Unternehmen hiermit Daten beispielsweise filtern, normalisieren, anreichern oder pseudonymisieren können. Daten können aus praktisch allen Quellen stammen, wie Logs von Firewalls, Intrusion Detection Systems (IDS) und Proxyservern, aber auch von Webservern, Datenbanken und von Windows-Geräten sowie aus IoT-Umgebungen oder von anderer Sensorik im Firmennetz.

Die dritte Komponente Kibana visualisiert Daten mithilfe von Diagrammen und Tabellen. Anwender können damit aussagefähige Dashboards für eine visuelle Analyse definieren, inklusive Landkarten, Heatmaps und zahlreiche weitere Visualisierungen.

Ergänzt wird der ELK-Stack von sogenannten Beats und dem Elastic Agent. Diese Agenten sind Software-Tools, die Netzwerkdaten von Windows- oder Linux-Systemen sammeln, analysieren und versenden. Damit lassen sich beispielsweise Metriken zur Auslastung von Systemen und Netzwerken innerhalb der gesamten IT-Infrastruktur erstellen, überwachen und auswerten.

Damit sind zentrale Aspekte wie Software, Planung und Organisation beschrieben. Wie aber gelingt ein Start in den Ausbau von eigenen IT-Security Services?

Mit kleinen Projekten beginnen

Wer schnell mit einer Security-Initiative starten möchte, kann sich an den folgenden Schritten orientieren. So ist es zu Beginn wichtig, eine umfassende Risikoanalyse über alle Abteilungen und Prozesse hinweg vorzunehmen. Idealerweise ist innerhalb der Organisation schon ein allgemeines Risikomanagement implementiert, welches schon die IT-Sicherheitsrisiken umfasst. Im kleineren Mittelstand kann dies auch auf abstrakter und hoher Prozessebene erfolgen, um mit seinem Vorhaben schneller voranzukommen. In den als kritisch identifizierten Unternehmensbereichen kann der CISO dann die IT-Security vorantreiben und spezialisierte Mitarbeiter einstellen. Mit einem konkreten Risiko, dass zum Beispiel derzeit viele Angriffe mit Ransomware in vergleichbaren Unternehmen oder innerhalb der Branche stattfinden, ist eine Investition in Mitarbeiter sowie in eine zentrale SIEM-Lösung gut zu begründen.

Die Vorgehensweise „Think Big, Start Small“ ist zwar eine Binsenweisheit, trifft aber auch beim Thema IT-Security zu. Wer in kleinen Schritt anfängt und zunächst kleinere Security-Services einführt, kann das eigene Personal aufbauen und lernt den Umgang mit einer SIEM-Anwendung schrittweise. Wichtig ist es, rasch erste Services produktiv zu haben, um intern die Kosten rechtfertigen zu können. In der Praxis ist es möglich, nach sechs Monaten schon erste Ergebnisse vorzuzeigen. Dann sind erste Prozesse für die IT-Überwachung aktiv, mit Personal ausgestattet und ein erstes Schutzniveau wurde erreicht.

Wer eine SIEM-Plattform als Basis für ein SOC aufbauen möchte, benötigt Datenquellen. Im ersten Schritt sollten vorhandene Log-Quellen integriert werden, die schon selbst aussagefähige Logs liefern. Dies sind zum Beispiel Sandboxen, Intrusion-Detection-Systeme und Endpoint-Protection-Lösungen. Eventuell muss hier zunächst auch in gute Sensorik investiert werden. Anschließend können weitere Quellen wie Firewalls, Authentication-Logs und Netzwerk-Devices schrittweise ergänzt werden. Darüber hinaus sollte ein Vulnerability-Management in das SIEM integriert werden. So lässt sich für alle detektierten Angriffsversuche automatisiert die Erfolgswahrscheinlichkeit berechnen.

Ausgerüstet mit den hier vorgestellten Technologien und Best-Practice-Erfahrungen sollte es jeder Organisation gelingen, das Thema IT-Sicherheit auf- oder auszubauen. Springt dann die BSI-Ampel wieder einmal auf Rot, haben die Mitarbeiter im SOC die benötigten Werkzeuge und Prozesse an der Hand, um der Bedrohung zu begegnen.

Über den Autor: Finn Siebert ist Cyber Security Architect SOC bei Materna Information & Communications SE.

(ID:48332615)