Managed SIEM/SOC in einem hybriden Modell – Teil 3 Den richtigen MSSP finden

Autor / Redakteur: Markus Thiel / Peter Schmitz

Der folgende Teil der Artikelserie beschreibt beispielhaft ein mögliches, strukturiertes Vorgehensmodell zur Auswahl von MSSP und der Implementierung der Services „Managed SIEM“, „Hybrid SOC“ und „Security Incident Response Retainer“ in einem „Greenfield-Approach“, ein möglicher, aktuell vielfach gewählter Ansatz.

Firmen zum Thema

Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP.
Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP.
(© everythingpossible - stock.adobe.com)

Der Service „Managed SIEM“ beinhaltet die Ende-zu-Ende-Verantwortung (SIEM-Lifecycle-Management) eines MSSP für die SIEM-Plattform und möglicherweise eingesetzter Hardware. „Hybrid SOC“ beinhaltet die Serviceelemente Detektion, Triage, Klassifikation und Weiterleitung von Security-Incidents an den Auftraggeber, der durch seine Ablauforganisation für deren Behandlung und die Durchführung weiterer Maßnahmen (Runbooks) die Verantwortung trägt. Je nach Lagebild werden dabei vorfallbezogen vorab definierte Leistungen mit Unterstützung des MSSP erbracht und ggf. Inhalte des Service „Security Incident Response Retainer“ abgerufen, beispielsweise bei der forensischen Analyse und der (gerichtsfesten) Sicherung von Evidenzen. Aufgrund der vereinfachten Darstellung des Auswahlprozesses liegt der Fokus im weiteren Verlauf des Artikels auf der Auswahl eines MSSP.

Spezifizierung von Services

Es sollte vor dem Hintergrund der zu erwartenden Kosten geprüft werden, ob alle extern bezogenen Services in der Vertragslaufzeit 24x7 erbracht werden müssen, oder ob bei einzelnen Servicekomponenten, wie z. B. Tool-Engineering, eine 8x5-Abdeckung ausreichend ist. Fast von selbst versteht sich, dass die Auswahl dieses MSSP sehr gewissenhaft und primär anhand objektiver Kriterien erfolgen muss. Nicht außer Acht gelassen werden sollte dennoch, dass subjektive Faktoren ebenfalls beachtet und gewichtet werden. Der Vertrauensvorsprung, den der MSSP bei einer Beauftragung über die Vertragslaufzeit (erfahrungsgemäß mindestens 36 Monate) erhält, muss stets begründet sein und auch für Dritte nachvollziehbar bleiben. Aufgrund des breiten Angebots möglicher Anbieter sollte die Auswahl eines MSSP stufenweise in abgenommenen Projektprodukten oder zumindest Meilensteinen erfolgen.

Verantwortung durch ein Steering-board

Auswahlprozess Managed Security Service Provider (MSSP).
Auswahlprozess Managed Security Service Provider (MSSP).
(Bild: Thiel)

Die Besetzung des Steering-boards eines solchen Projekts durch mindestens einen Vertreter des Top-Managements führt den bereits beschriebenen risikoorientierten Ansatz auch im Projekt weiter fort und schafft eine Top-Management-Attention. Das Steering-board entscheidet als verantwortliche Instanz (accountable role) für den Projekterfolg auch über den Umfang der Kommunikation von Projektinhalten und -fortschritt. Der MSSP-Auswahlprozess kann sequentiell in Phasen durchgeführt werden, beispielsweise wie in der Folge im Detail beschrieben: Market survey, Longlisting, Shortlisting, Proof-of-concept (PoC) und finale Auswahl.

Spätestens mit Start des Auswahlprozesses sollte der Austausch vertraulicher Informationen mit den MSSP ausschließlich über eine sichere Kommunikationsplattform erfolgen. In jeder der folgenden Phasen muss die Gesamtverantwortung beim Auftraggeber liegen. Empfohlen wird dabei dennoch auf gemachte Empfehlungen und die Beratungskompetenz der Anbieter zurückgreifen.

Mögliche Fähigkeitslücken identifizieren

Um diese einordnen und bewerten zu können benötigt der Auftraggeber, analog zu den potentiellen Auftragnehmern, entsprechende Erfahrungen, Fähigkeiten und Kompetenzen auf Experten-Niveau. Diese qualitative Ausstattung entsprechender Personalressourcen kann in Form von Personenzertifizierungen nachgewiesen werden. Neben diesem Know-How im Security-Management und der defensiven Sicherheit muss ein tiefgehendes Verständnis für Denkmuster, Vorgehensweisen und Techniken der Angreifer zwingend vorhanden sein. Im Hinblick auf das zu verhandelnde Vertragswerk muss der Auftraggeber in der Lage sein, die vertraglich fixierten Mitwirkungs- und Bereitstellungspflichten der Provider stets umfassend zu erfüllen. Extern erbrachte SOC-as-a-Service-Angebote müssen auf eine entsprechende Kultur und ein entsprechendes Bewusstsein auf Seiten des Auftraggebers aufsetzen, „Beschaffen/Ausschreiben“ isoliert zu betrachten kann zum Trugschluss werden. Sollten also entsprechende Lücken auf Seiten des Auftraggebers bereits in dieser Phase des Projekts erkannt werden, kann dieses Risiko beispielsweise durch Bereitstellung eines entsprechenden Fortbildungsbudgets oder durch Hinzuziehen unabhängiger Berater reduziert werden.

Market survey und Longlisting

Anhand von Branchenreferenzen, Unternehmensgröße und entsprechender Unternehmens- (z. B. ISO/IEC 27001 mit entsprechendem Scope) und Personenzertifizierungen liegt das primäre Augenmerk im Market survey mit abschießendem Longlisting und einhergehender Eingrenzung auf 4-5 Kandidaten, fachlich auf einer recht „hohen Flughöhe“. Auch wenn die Aussagekraft von Zertifizierungen begrenzt sein mag, dienen sie dennoch als Gradmesser, der eine Vergleichbarkeit innerhalb einer Branche erlaubt, und die Einhaltung von international anerkannten Mindeststandards sicherstellt. Alle diese Informationen mit einhergehender Nachweispflicht können beispielsweise in Form einer aus geschlossenen Fragen bestehenden Checkliste direkt von den Anbietern angefordert werden oder im Rahmen einer Ausschreibung erfolgen. Im Projekt und insbesondere im Fall eines möglichen Sicherheitsvorfalls ist eine effektive und effiziente Kommunikation essentiell. Daher sollten geografische, sprachliche und ggf. auch kulturelle Herausforderungen bereits in dieser frühen Phase betrachtet werden.

Shortlisting

Offen und fachlich konkreter werden die Fragestellungen dann im anschließenden Shortlisting, an dessen Ende noch maximal 2 Kandidaten in der engeren Auswahl stehen sollten. Die angebotenen Servicemodelle sollten anhand ihrer Inhalte neutral betrachtet und gegenübergestellt werden. Mögliche Fragestellungen sind hier:

  • Wie stellt der MSSP die Skalierung seiner Services z. B. im Falle eines globalen Cyber-Vorfalls sicher?
  • Welche spezifischen Threat-Intelligence-Feeds oder Honeypot-Systeme plant der MSSP anzubinden?
  • Wie lange ist die Dauer der Bearbeitung der genannten Fragen? Gibt es hier bereits signifikante Unterschiede in Bezug auf Umfang und Güte der Antworten?
  • Weicht einer der Anbieter in seinen Antworten von der Fragestellung ab oder entsteht gar der Eindruck, dass ein MSSP den Fragen im Vergleich zu einem Marktbegleiter nicht oder nur schwer folgen kann?
  • Entsteht z. B. aufgrund der Anzahl der Gesprächspartner auf Seiten des MSSP der Eindruck, dass auch dieser vom erwähnten Fachkräftemangel betroffen ist?

Nennt der MSSP belastbare Referenzen und stehen diese ggf. bezüglich Interviews zu gemachten Erfahrungen zur Verfügung? Bleibt die Nennung von Referenzen mit Verweis auf Seriosität oder entsprechende NDA aus, darf dies nicht als Nachteil gewertet werden, es ist vielfach üblich.

Proof-of-Concept Planung

Der nächste Zwischenschritt im Auswahlprozess für die Services „Managed SIEM“ und „Hybrid SOC“ stellt die Empfehlung dar, mit den 2 verbleibenden, potentiellen MSSP je einen konzeptionellen Proof-of-Concept (PoC) auf Basis von Interviews mit Experten des Auftraggebers durchzuführen. Konkret geht es in den PoC darum, dass jeder der Provider alle für die Erstellung eines fundierten Angebots relevanten Informationen in Erfahrung bringen und mit den Zielen des Auftraggebers korrelieren kann. Diese sollten aufgrund der Zusammenarbeit in den zurückliegenden Phasen bekannt sein, ggf. hat sich das Lagebild aber aufgrund der verstrichenen Zeit verändert. Daher ist es sinnvoll, diese zum Start der letzten Phase nochmals zu fixieren. Wurden die Aufwände in den zurückliegenden Phasen auf Seiten der Anbieter ggf. als Sales- oder Pre-Sales-Leistung erbracht, sollten die Tätigkeiten ab dieser Phase honoriert werden. Empfohlen wird, den Gesamtaufwand für die PoC zeitlich zu deckeln und die individuelle, fachliche Ausgestaltung, bis hin zur Meilensteinplanung einer Implementierung, im Detail zusammen mit den jeweiligen MSSP auszuarbeiten. Mögliche Fragen sind hier:

  • Benötigt der MSSP bereits jetzt oder spätestens mit Start der Servicevertrags Zugriff (direkt oder via API) auf Service-, Schwachstellen- und Asset-Management des Auftraggebers?
  • Wenn ja, welche Attribute sind relevant und ist die Aktualität und Qualität der Daten für die Serviceerbringung ausreichend?
  • Wie hoch wird der Aufwand für die Bereitstellung von Ressourcen (Zeit, Meetingräume, ...) auf Seiten des Auftraggebers für die PoC sein?

Unter anderem mit Rücksicht darauf sollte vermieden werden, die PoCs zeitlich parallel mit den noch verbliebenen Kandidaten zu planen.

Incident Response Retainer

Für den „Incident Response Retainer Service” ist die Erhebung relevanter Basis-Fakten zeitlich weniger aufwendig, aber aufgrund der Effizienz der im Fall der Fälle abgerufenen Leistungen dennoch sehr wichtig. Im Gegensatz zu anderen Service-Bausteinen sind hier Mindestvertragslaufzeiten von 12 Monaten die Regel. Die initiale Erhebung aller relevanten Informationen erfolgt meist im Rahmen eines 1-2 tägigen Workshops zusammen mit Vertretern des MSSP und Security-Operations-Experten von Seiten des Auftraggebers. Konkret werden dabei organisatorische (Ansprechpartner, Einsatzorte, Incident-Response- und Eskalationsprozesse, Austausch notwendiger Credentials zum Zutritt oder zur sicheren Kommunikation) und technische Inhalte (Anwendungs- und Systemlandkarte, Security-Bebauungsplan, Überblick SIEM- und weiterer Analyse-Tools, Stages des Remote-Zugriff) thematisiert. Bei der Verhandlung von Bereitstellungszeiten onsite sollten die involvierten Parteien eine möglicherweise Pandemie-bedingte Einschränkung bei der Verfügbarkeit von Reisemitteln berücksichtigen.

Proof-of-Concept

Rasch nach der Planung und Beauftragung sollte die Durchführung der PoC für „Managed SIEM“ und „Hybrid SOC“ angegangen werden. Der Auftraggeber sollte in dieser Phase stets für eine objektive Beurteilung der vorliegenden Fakten und eine neutrale Position sorgen. Primäres Ziel ist die technische Kompatibilität der eingesetzten Komponenten und die Verzahnung der externen und internen Prozesse bis in die Detailebene auszuarbeiten. Alle relevanten System- und Serviceverantwortlichkeiten müssen daher aktiv in den Auswahlprozess integriert werden. Diese sind aufgrund ihrer individuellen Fachkompetenz in der Lage, die Leistungsfähigkeit der MSSP objektiv zu beurteilen. Analog dem Market survey müssen auch in der engen Zusammenarbeit mit den Providern die weichen Faktoren eine Rolle spielen und objektiv bewertet werden. In welchem Grad sind der oder die Vertreter der MSSP in der Lage, auf Bedürfnisse und individuelle Anforderungen des Auftraggebers einzugehen oder orientieren sich dieser ausschließlich und starr an den Inhalten ihrer Servicemodelle? Entsprechende Beispiele sind das abgestimmte Vorgehen bei geplanten oder ungeplanten Wartungsfenstern, der Ausfall von Datenquellen, sowie das Einspielen von HotFixes oder Major- und Minor-Releases der eingesetzten Tools. Müssen diese Tätigkeiten ggf. gesondert beauftragt werden?

Der vierte und letzte Teil der Serie liefert mögliche Fragen zu Toolauswahl sowie Implementierung und geht auf mögliche Fallstricke des Serivce-GoLive ein.

Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierten Awareness-Trainings.

(ID:47382344)