SOC mit MDR für KMU? Der Beitrag der Security Operation Center für die Cybersicherheit
Anbieter zum Thema
Keine Cybersicherheitstechnologie schützt zu hundert Prozent. Schwache Passwörter, ineffizientes Patching und Phishing-Kampagnen schaffen ständig Lücken in der IT-Abwehr, die irgendwann ausgenutzt werden. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Spezialisten gegenüberstehen. Den entscheidenden Beitrag gerade zur Abwehr fortgeschrittene Angriffe liefern die Experten in einem Security Operation Center (SOC). Und diese Hilfe ist auch für mittelständische Unternehmen in Reichweite.

Angriffe werden immer anspruchsvoller. Die Hacker entwickeln immer neue, komplexe und kreative Methoden. Mit Advanced Persistent Threats greifen sie nicht nur große Unternehmen, sondern auch den Mittelstand an: Entweder direkt, um auf sein Wissen zuzugreifen, oder indirekt als Sprungbrett zum Angriff auf weitere größere Betriebe, mit denen man digital verknüpft ist.
Dauerhafte Sicherheit hängt daher für viele Betriebe von Experten ab, die proaktiv nach Gefahren suchen, Lücken frühzeitig schließen und im Ernstfall rechtzeitig eingreifen. Viele IT-Teams können das nicht selbst leisten. Oft fehlt ihnen das notwendige Budget, um ein Team von IT-Sicherheitsexperten mit den entsprechenden Fähigkeiten aufzubauen. Große Organisationen, die das Geld haben, leiden unter dem dramatischen Mangel an IT-Security-Fachkräften auf dem Markt. Deshalb können selbst sie nur sehr schwer ein kompetentes Team aufstellen und langfristig halten. Externe Ressourcen sind für die allermeisten Betriebe unverzichtbar. Experten-Teams eines Security Operation Centers mit Managed-Detection-and-Response- (MDR) Dienste ergänzen dabei interne Sicherheitsteams und bieten den notwendigen Schutz gegen die Attacken der Zukunft.
Die Arbeit der Experten in einem SOC basiert zum einem auf den Daten, die eine Endpoint-Detection-and-Response- (EDR) Lösung im Unternehmen sammelt, zum zweiten auf den Informationen aus der Telemetrie von Millionen anderer Endpunkte, die mit Maschine-Learning-Methoden interpretiert werden, sowie zum dritten aus weiteren Quellen. Diese Daten unterstützen die Cyber-Abwehr taktisch und operativ: Indexwerte zeigen, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
Experten liefern auf Grundlage dieser Informationen einen entscheidenden menschlichen Mehrwert gegenüber der IT-Sicherheitssoftware. Sie haben permanent die IT-Sicherheit eines Kunden im Blick. Sie beseitigen bereits erfolgreich installierte Malware, erkennen auffälliges Verhalten einer Fileless-Attacke und verhindern Schäden. Zudem beraten sie ihre Kunden, um die Abwehr kontinuierlich zu verbessern.
Mannschaftssport Cyber-Sicherheit
Um Unternehmen langfristig in Echtzeit zu schützen und zu betreuen, stehen verschiedene Teams bereit. Erste Ansprechpartner sind die Security Account Manager. Sie sind die Brücke zwischen Kunden und Expertenteam. Ihre Aufgabe besteht aus weit mehr als nur Kontakt und Reporting. Sie bewerten alle Informationen basierend auf der Kenntnis der Unternehmensnetze und veranlassen spezielle Recherchen, das Erstellen von Risikoprofilen oder die Definition von Abwehrmaßnahmen durch andere Sicherheitsanalysten. Häufig gehen sie proaktiv zum Kunden und weisen auf Risiken hin. Auf Kundenwunsch veranlassen sie Analysen zu aktuellen Gefahren oder Angriffen. Ratschläge zu Konfigurationen und zum Härten von Systemen geben sie an die Kunden weiter.
Darüber hinaus greift der Security Account Manager auf verschiedene andere Teams technischer Spezialisten zurück: Eine Gruppe interpretiert aktuelle Sicherheitsalerts. Andere entwickeln individuell für jedes Unternehmen Risikoprofile. Sie haben branchenspezifische Technologien und deren spezifische Gefahren im Blick. Zudem berücksichtigen sie aktuelle Angriffe auf Mitbewerber. Sie entwerfen zudem kundenspezifische Kataloge mit Sofortmaßnahmen für den Ernstfall. Eine weiteres Team hält sämtliche Abwehr- und Infrastruktursysteme im SOC ständig verfügbar.
Langstreckenrennen
Je länger die Expertenteams den Kunden kennen, umso besser können sie dessen IT schützen. Kontinuierlich Sicherheit zu schaffen, ist ein langfristiger Prozess. Entscheidender Startpunkt ist dabei die Anamnese im Onboarding, in deren Rahmen die betreuenden Analysten die individuelle Sicherheitslage des Kunden und den Normalbetrieb des Kunden so detailliert wie möglich erfassen. Darauf aufbauend definieren die Spezialisten dann normale IT-Abläufe im jeweiligen Unternehmen.
Ein kontinuierlich wirkender IT-Sicherheitsdienst beruht auf folgenden vier Elementen:
Prevention: Grundlegende Abwehrtechnologien wie Next Generation Antivirus filtern bekannte Malware und verdächtige Aktivitäten im Vorfeld heraus. Die Sicherheitsanalysten können sich so auf unbekannte Gefahren und individuell entworfene Advanced Persistent Threats konzentrieren. Sie sollen die Dinge erkennen, die die Tools nicht sehen oder abwehren können. Zudem kontrollieren die Experten, ob sich die Mitarbeiter an die Sicherheitsrichtlinien halten.
Detection: Technologien zum Schutz von Endpunkten oder EDR helfen bei der Abwehr von Bedrohungen. Die Teams in den SOCs halten darüber hinaus Ausschau nach neuen Angriffen, die den Kunden, seine Technologie und die Branche besonders betreffen. Mit Cyber Threat Hunting suchen die Experten nach Bedrohungen, Risiken und einem erfolgreichen Eindringen. Um dieses frühzeitig zu erkennen, überprüfen sie vor allem Vorgänge, die von normalen Abläufen abweichen. Zum Beispiel durch einen Blick auf die Aktivitäten des Powershell-Tools zum Abfragen von Systemprozessen: Eine ungefilterte Suche nach allen Prozesse ist verdächtig. Denn der berechtigte Administrator, der sich mit dem System auskennt, filtert in der Regel gezielt nach bestimmten Prozessen.
Response: Ein wichtiger Mehrwert ist die schnelle Reaktionszeit im Ernstfall. Die Hilfe durch MDR und SOC kommt sofort – anders als bei Managed-Security-Service-Anbietern. Letztere kontaktieren lediglich die Unternehmen bei Problemen. Die Abwehr ist dann alleinige Sache des Kunden. SOC-Experten dagegen führen schon bevor sie eine Gefahr melden die Maßnahmen durch, welche Kunde und Dienstleister vorab gemeinsam abgestimmt und vereinbart haben: Sie blockieren zum Beispiel IP-Adressen, setzen Passwörter zurück oder isolieren beziehungsweise entfernen Systeme aus dem Netz bei beginnenden Ransomware-Attacken. Was der externe Dienstleister im Ernstfall ohne Rücksprache mit dem Kunden durchführen darf, berührt niemals die Grundlagen der zu schützenden Infrastruktur.
Reporting: Manche Kunden wollen von ihrer IT zwar nur hören, dass alles in Ordnung ist oder ein Angriff abgewehrt wurde. Aber ein SOC als Black Box reicht nicht aus, vor allem vor dem Hintergrund der Dokumentationspflichten durch die DSGVO. Viele Kunden verlangen eine Dokumentation von Angriff und Abwehr. Und sie können sich selbst einschalten: Wenn sie sich in die Systeme des externen Sicherheitszentrums einloggen, können sie den Experten virtuell über die Schultern blicken oder eigenhändig Analysen durchführen. Sie sehen dann dieselben Informationen, die der Experte hat. Zurückliegende Aktivitäten lassen sich nachvollziehen.
Das Denken dem Menschen überlassen
Solange es Angreifer aus Fleisch und Blut gibt, spielt der menschliche Experte eine entscheidende Rolle in der Abwehr, vor allem, wenn es sich um fortschrittliche und gefährliche Angriffe handelt. Künstliche Intelligenz und maschinelles Lernen helfen, laufende Angriffe zu erkennen. Das Urteilsvermögen des Menschen geht aber darüber hinaus. Menschen können nicht nur Verhaltensanomalien erkennen, sie denken wie Angreifer. Dank ihrer Erfahrung und Intuition wissen sie, wonach sie Ausschau halten müssen. Dann spielen sie in Echtzeit durch, was ein menschlicher Angreifer als Nächstes macht und wie man das verhindern kann. Trainierte und erfahrene Analysten nutzen die Informationen der Telemetrie und sind immer auf dem neuesten Stand. Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt – und nicht wie ein Sicherheitstechniker. Und darauf kommt es an: Denn die wirklich gefährlichen Angriffe sind oft nicht Sache eines Bots oder einer Malware, sondern gezielte Attacken von Menschen gegen Menschen.
Über den Autor: Daniel Clayton ist VP of Global Services bei Bitdefender.
(ID:47464563)