:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed SIEM/SOC in einem hybriden Modell – Teil 3 Den richtigen MSSP finden
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Der folgende Teil der Artikelserie beschreibt beispielhaft ein mögliches, strukturiertes Vorgehensmodell zur Auswahl von MSSP und der Implementierung der Services „Managed SIEM“, „Hybrid SOC“ und „Security Incident Response Retainer“ in einem „Greenfield-Approach“, ein möglicher, aktuell vielfach gewählter Ansatz.
Der Service „Managed SIEM“ beinhaltet die Ende-zu-Ende-Verantwortung (SIEM-Lifecycle-Management) eines MSSP für die SIEM-Plattform und möglicherweise eingesetzter Hardware. „Hybrid SOC“ beinhaltet die Serviceelemente Detektion, Triage, Klassifikation und Weiterleitung von Security-Incidents an den Auftraggeber, der durch seine Ablauforganisation für deren Behandlung und die Durchführung weiterer Maßnahmen (Runbooks) die Verantwortung trägt. Je nach Lagebild werden dabei vorfallbezogen vorab definierte Leistungen mit Unterstützung des MSSP erbracht und ggf. Inhalte des Service „Security Incident Response Retainer“ abgerufen, beispielsweise bei der forensischen Analyse und der (gerichtsfesten) Sicherung von Evidenzen. Aufgrund der vereinfachten Darstellung des Auswahlprozesses liegt der Fokus im weiteren Verlauf des Artikels auf der Auswahl eines MSSP.
:quality(80)/p7i.vogel.de/wcms/72/c3/72c33ab9c216f69a3933f647bc9929d1/96316169.jpeg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten. (©Olivier Le Moal - adobe.stock.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
Spezifizierung von Services
Es sollte vor dem Hintergrund der zu erwartenden Kosten geprüft werden, ob alle extern bezogenen Services in der Vertragslaufzeit 24x7 erbracht werden müssen, oder ob bei einzelnen Servicekomponenten, wie z. B. Tool-Engineering, eine 8x5-Abdeckung ausreichend ist. Fast von selbst versteht sich, dass die Auswahl dieses MSSP sehr gewissenhaft und primär anhand objektiver Kriterien erfolgen muss. Nicht außer Acht gelassen werden sollte dennoch, dass subjektive Faktoren ebenfalls beachtet und gewichtet werden. Der Vertrauensvorsprung, den der MSSP bei einer Beauftragung über die Vertragslaufzeit (erfahrungsgemäß mindestens 36 Monate) erhält, muss stets begründet sein und auch für Dritte nachvollziehbar bleiben. Aufgrund des breiten Angebots möglicher Anbieter sollte die Auswahl eines MSSP stufenweise in abgenommenen Projektprodukten oder zumindest Meilensteinen erfolgen.
Verantwortung durch ein Steering-board
Die Besetzung des Steering-boards eines solchen Projekts durch mindestens einen Vertreter des Top-Managements führt den bereits beschriebenen risikoorientierten Ansatz auch im Projekt weiter fort und schafft eine Top-Management-Attention. Das Steering-board entscheidet als verantwortliche Instanz (accountable role) für den Projekterfolg auch über den Umfang der Kommunikation von Projektinhalten und -fortschritt. Der MSSP-Auswahlprozess kann sequentiell in Phasen durchgeführt werden, beispielsweise wie in der Folge im Detail beschrieben: Market survey, Longlisting, Shortlisting, Proof-of-concept (PoC) und finale Auswahl.
Spätestens mit Start des Auswahlprozesses sollte der Austausch vertraulicher Informationen mit den MSSP ausschließlich über eine sichere Kommunikationsplattform erfolgen. In jeder der folgenden Phasen muss die Gesamtverantwortung beim Auftraggeber liegen. Empfohlen wird dabei dennoch auf gemachte Empfehlungen und die Beratungskompetenz der Anbieter zurückgreifen.
Mögliche Fähigkeitslücken identifizieren
Um diese einordnen und bewerten zu können benötigt der Auftraggeber, analog zu den potentiellen Auftragnehmern, entsprechende Erfahrungen, Fähigkeiten und Kompetenzen auf Experten-Niveau. Diese qualitative Ausstattung entsprechender Personalressourcen kann in Form von Personenzertifizierungen nachgewiesen werden. Neben diesem Know-How im Security-Management und der defensiven Sicherheit muss ein tiefgehendes Verständnis für Denkmuster, Vorgehensweisen und Techniken der Angreifer zwingend vorhanden sein. Im Hinblick auf das zu verhandelnde Vertragswerk muss der Auftraggeber in der Lage sein, die vertraglich fixierten Mitwirkungs- und Bereitstellungspflichten der Provider stets umfassend zu erfüllen. Extern erbrachte SOC-as-a-Service-Angebote müssen auf eine entsprechende Kultur und ein entsprechendes Bewusstsein auf Seiten des Auftraggebers aufsetzen, „Beschaffen/Ausschreiben“ isoliert zu betrachten kann zum Trugschluss werden. Sollten also entsprechende Lücken auf Seiten des Auftraggebers bereits in dieser Phase des Projekts erkannt werden, kann dieses Risiko beispielsweise durch Bereitstellung eines entsprechenden Fortbildungsbudgets oder durch Hinzuziehen unabhängiger Berater reduziert werden.
Market survey und Longlisting
Anhand von Branchenreferenzen, Unternehmensgröße und entsprechender Unternehmens- (z. B. ISO/IEC 27001 mit entsprechendem Scope) und Personenzertifizierungen liegt das primäre Augenmerk im Market survey mit abschießendem Longlisting und einhergehender Eingrenzung auf 4-5 Kandidaten, fachlich auf einer recht „hohen Flughöhe“. Auch wenn die Aussagekraft von Zertifizierungen begrenzt sein mag, dienen sie dennoch als Gradmesser, der eine Vergleichbarkeit innerhalb einer Branche erlaubt, und die Einhaltung von international anerkannten Mindeststandards sicherstellt. Alle diese Informationen mit einhergehender Nachweispflicht können beispielsweise in Form einer aus geschlossenen Fragen bestehenden Checkliste direkt von den Anbietern angefordert werden oder im Rahmen einer Ausschreibung erfolgen. Im Projekt und insbesondere im Fall eines möglichen Sicherheitsvorfalls ist eine effektive und effiziente Kommunikation essentiell. Daher sollten geografische, sprachliche und ggf. auch kulturelle Herausforderungen bereits in dieser frühen Phase betrachtet werden.
Shortlisting
Offen und fachlich konkreter werden die Fragestellungen dann im anschließenden Shortlisting, an dessen Ende noch maximal 2 Kandidaten in der engeren Auswahl stehen sollten. Die angebotenen Servicemodelle sollten anhand ihrer Inhalte neutral betrachtet und gegenübergestellt werden. Mögliche Fragestellungen sind hier:
- Wie stellt der MSSP die Skalierung seiner Services z. B. im Falle eines globalen Cyber-Vorfalls sicher?
- Welche spezifischen Threat-Intelligence-Feeds oder Honeypot-Systeme plant der MSSP anzubinden?
- Wie lange ist die Dauer der Bearbeitung der genannten Fragen? Gibt es hier bereits signifikante Unterschiede in Bezug auf Umfang und Güte der Antworten?
- Weicht einer der Anbieter in seinen Antworten von der Fragestellung ab oder entsteht gar der Eindruck, dass ein MSSP den Fragen im Vergleich zu einem Marktbegleiter nicht oder nur schwer folgen kann?
- Entsteht z. B. aufgrund der Anzahl der Gesprächspartner auf Seiten des MSSP der Eindruck, dass auch dieser vom erwähnten Fachkräftemangel betroffen ist?
Nennt der MSSP belastbare Referenzen und stehen diese ggf. bezüglich Interviews zu gemachten Erfahrungen zur Verfügung? Bleibt die Nennung von Referenzen mit Verweis auf Seriosität oder entsprechende NDA aus, darf dies nicht als Nachteil gewertet werden, es ist vielfach üblich.
Proof-of-Concept Planung
Der nächste Zwischenschritt im Auswahlprozess für die Services „Managed SIEM“ und „Hybrid SOC“ stellt die Empfehlung dar, mit den 2 verbleibenden, potentiellen MSSP je einen konzeptionellen Proof-of-Concept (PoC) auf Basis von Interviews mit Experten des Auftraggebers durchzuführen. Konkret geht es in den PoC darum, dass jeder der Provider alle für die Erstellung eines fundierten Angebots relevanten Informationen in Erfahrung bringen und mit den Zielen des Auftraggebers korrelieren kann. Diese sollten aufgrund der Zusammenarbeit in den zurückliegenden Phasen bekannt sein, ggf. hat sich das Lagebild aber aufgrund der verstrichenen Zeit verändert. Daher ist es sinnvoll, diese zum Start der letzten Phase nochmals zu fixieren. Wurden die Aufwände in den zurückliegenden Phasen auf Seiten der Anbieter ggf. als Sales- oder Pre-Sales-Leistung erbracht, sollten die Tätigkeiten ab dieser Phase honoriert werden. Empfohlen wird, den Gesamtaufwand für die PoC zeitlich zu deckeln und die individuelle, fachliche Ausgestaltung, bis hin zur Meilensteinplanung einer Implementierung, im Detail zusammen mit den jeweiligen MSSP auszuarbeiten. Mögliche Fragen sind hier:
- Benötigt der MSSP bereits jetzt oder spätestens mit Start der Servicevertrags Zugriff (direkt oder via API) auf Service-, Schwachstellen- und Asset-Management des Auftraggebers?
- Wenn ja, welche Attribute sind relevant und ist die Aktualität und Qualität der Daten für die Serviceerbringung ausreichend?
- Wie hoch wird der Aufwand für die Bereitstellung von Ressourcen (Zeit, Meetingräume, ...) auf Seiten des Auftraggebers für die PoC sein?
Unter anderem mit Rücksicht darauf sollte vermieden werden, die PoCs zeitlich parallel mit den noch verbliebenen Kandidaten zu planen.
Incident Response Retainer
Für den „Incident Response Retainer Service” ist die Erhebung relevanter Basis-Fakten zeitlich weniger aufwendig, aber aufgrund der Effizienz der im Fall der Fälle abgerufenen Leistungen dennoch sehr wichtig. Im Gegensatz zu anderen Service-Bausteinen sind hier Mindestvertragslaufzeiten von 12 Monaten die Regel. Die initiale Erhebung aller relevanten Informationen erfolgt meist im Rahmen eines 1-2 tägigen Workshops zusammen mit Vertretern des MSSP und Security-Operations-Experten von Seiten des Auftraggebers. Konkret werden dabei organisatorische (Ansprechpartner, Einsatzorte, Incident-Response- und Eskalationsprozesse, Austausch notwendiger Credentials zum Zutritt oder zur sicheren Kommunikation) und technische Inhalte (Anwendungs- und Systemlandkarte, Security-Bebauungsplan, Überblick SIEM- und weiterer Analyse-Tools, Stages des Remote-Zugriff) thematisiert. Bei der Verhandlung von Bereitstellungszeiten onsite sollten die involvierten Parteien eine möglicherweise Pandemie-bedingte Einschränkung bei der Verfügbarkeit von Reisemitteln berücksichtigen.
:quality(80)/p7i.vogel.de/wcms/4c/12/4c12d33e20db80ce1c61ffe652d37685/96574333.jpeg "Unternehmensrisiken hängen direkt von Verwundbarkeiten, Bedrohungen und der Bewertung der zugrundeliegenden Assets ab. Alle diese Elemente müssen aktiv gemanged werden. (©ilkercelik - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
Proof-of-Concept
Rasch nach der Planung und Beauftragung sollte die Durchführung der PoC für „Managed SIEM“ und „Hybrid SOC“ angegangen werden. Der Auftraggeber sollte in dieser Phase stets für eine objektive Beurteilung der vorliegenden Fakten und eine neutrale Position sorgen. Primäres Ziel ist die technische Kompatibilität der eingesetzten Komponenten und die Verzahnung der externen und internen Prozesse bis in die Detailebene auszuarbeiten. Alle relevanten System- und Serviceverantwortlichkeiten müssen daher aktiv in den Auswahlprozess integriert werden. Diese sind aufgrund ihrer individuellen Fachkompetenz in der Lage, die Leistungsfähigkeit der MSSP objektiv zu beurteilen. Analog dem Market survey müssen auch in der engen Zusammenarbeit mit den Providern die weichen Faktoren eine Rolle spielen und objektiv bewertet werden. In welchem Grad sind der oder die Vertreter der MSSP in der Lage, auf Bedürfnisse und individuelle Anforderungen des Auftraggebers einzugehen oder orientieren sich dieser ausschließlich und starr an den Inhalten ihrer Servicemodelle? Entsprechende Beispiele sind das abgestimmte Vorgehen bei geplanten oder ungeplanten Wartungsfenstern, der Ausfall von Datenquellen, sowie das Einspielen von HotFixes oder Major- und Minor-Releases der eingesetzten Tools. Müssen diese Tätigkeiten ggf. gesondert beauftragt werden?
Der vierte und letzte Teil der Serie liefert mögliche Fragen zu Toolauswahl sowie Implementierung und geht auf mögliche Fallstricke des Serivce-GoLive ein.
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
:quality(80)/images.vogel.de/vogelonline/bdb/1833200/1833274/original.jpg "Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP. (everythingpossible - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
:quality(80)/images.vogel.de/vogelonline/bdb/1834000/1834097/original.jpg "Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen für das Outsourcing von Security-Services, müssen aber an die individuellen Ziele des Unternehmens angepasst werden. (putilov_denis - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4
Implementierung und GoLive eines Managed SIEM oder SOC
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierten Awareness-Trainings.
(ID:47382344)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")