:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4 Implementierung und GoLive eines Managed SIEM oder SOC
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Ist im Unternehmen die Entscheidung für das Outsourcing von IT-Security-Services gefallen, wurde die Umsetzung organisatorisch strukturiert geplant und wurde die Auswahl des MSSP in einem mehrstufigen Verfahren getroffen, ist der Zeitpunkt der Umsetzung gekommen. Der vierte Teil der Serie liefert mögliche Fragestellungen, zu Toolauswahl sowie Implementierung und geht auf mögliche Fallstricke des Service-GoLive ein.
Die Tool-Frage und die grundlegende Architektur der Implementierung ist bei einem ausgelagerten Service (eigentlich) eher sekundär, sollte beim Service „Managed SIEM“ aber im Hinblick auf die Kompatibilität trotzdem näher betrachtet werden. Eventuell existieren entsprechende Fragenkataloge und verwertbare Festlegungen bereits auf Seiten des Auftraggebers, ebenso Erfahrungen aus z. B. zurückliegenden Projekten. Folgende, mögliche Fragen verschaffen einen Überblick:
- Liefern die eingesetzten Systeme und Services auf Seiten des Auftraggebers die relevanten Informationen zur Abbildung der spezifizierten Usecases?
- Welche Komponenten für die Managed-SIEM-Plattform muss der Auftraggeber bereitstellen, wo genau liegt der Verantwortungsübergang?
- Ist der Einsatz von Logkollektoren auf Endpoints vorgesehen und zulässig? Wenn ja, sind die Spezifikationen der Logkollektoren kompatibel zu den eingesetzten Betriebssystemversionen und Richtlinien, z. B. Stichwort „Non-root-Betrieb“?
- Erhält der Auftraggeber dauerhaft Zugriff auf die SIEM-Plattform und/oder die zugrunde liegenden Systeme?
- Werden die durch die SIEM-Plattform erhobenen Daten ausschließlich vom SOC verarbeitet oder liegen Anforderungen aus nachgelagerten Verteidigungslinien (z. B. Compliance, Revision) vor? Wichtig ist dies auch vor dem Hintergrund der Log-Retention und dem Sizing der Systeme.
- Welche Methode wird beim Update verwendet? Setzt diese gar eine Servicedowntime voraus?
- Welche Schnittstellen bzw. zusätzliche Tools werden im Detail während der Vertragslaufzeit für das Handling der Security-Incidents genutzt und/oder bereitgestellt?
- Wie sehen die seitens des MSSP vorgesehenen Regelungen bezüglich der Gewährleistung für das oder die eingesetzte(n) Produkt(e) aus?
:quality(80)/p7i.vogel.de/wcms/72/c3/72c33ab9c216f69a3933f647bc9929d1/96316169.jpeg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten. (©Olivier Le Moal - adobe.stock.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
Auch wenn die die eigentliche Leistungserbringung bis hin zum SIEM-Lifecycle-Management extern erbracht werden soll ist es sinnvoll, entsprechendes Tool-spezifisches Know-How auf Seiten des Auftraggebers aufzubauen bzw. auszuweiten. Welche Lernpfade sehen entsprechende Tool-spezifische Schulungsprogramme vor? Auch hier können Lernerfolge durch entsprechende Personenzertifizierungen nachgewiesen werden. Die überwiegende Zahl der SIEM-Tools am Markt werden volumenabhängig (Datenvolumen, Events per Second und/oder kombiniert) lizenziert. Existieren bereits Installationen eines seitens des MSSP favorisierten Tools auf Seiten des Auftraggebers, die noch Potential beim Ausreizen der Lizenz bzw. einen Discount ermöglichen? Während der Vorfallsbehandlung ist es gängige Praxis, die Loglevel nach oben anzupassen. Die Kalkulation der benötigten Lizenzen auf Basis der Datenmenge sollte daher eine dahingehende Toleranz berücksichtigen. In wessen Infrastruktur bzw. Verantwortung liegen die erhobenen Daten? Ein mögliches Kriterium gegen die Berücksichtigung im weiteren Auswahlverfahren, stellt die Weiterleitung, Speicherung oder Verarbeitung der Daten in/im Nicht-EU-Ausland dar.
Definition von KPIs als Basis für die kontinuierliche Verbesserung
Um die Servicequalität messbar zu gestalten und getätigte Investitionen fortlaufend begründen zu können, sind speziell für „Managed SIEM“ und „Hybrid SOC“ die vertragliche Definition relevanten KPIs essentiell wichtig, hier mögliche Beispiele:
- Summe aller behandelten Incidents pro Incidentkategorie
- Mean time to detect je Incident-Kategorie
- Anzahl der Incidents pro Zeiteinheit
- Aufgewendete Zeit pro Incident (Gesamtsumme und Differenzierung z. B. Auslösung, Disposition, Auflösung)
- Impact-Analyse: Kosten und mögliche Downtime pro Incident
- Anzahl der False-Positives pro Zeiteinheit
Fragen an den MSSP in diesem Zusammenhang: Wie und auf welcher Basis erfolgt die Erhebung relevanter Daten für die Berechnung? Sind die Anwendungs- und Berechnungsmodelle der MSSP untereinander vergleichbar? Die KPIs gilt es während der Servicelaufzeit turnusgemäß in Servicemeetings zu thematisieren und bei Auffälligkeiten entsprechende Maßnahmen abzuleiten. Ein weiterer Schwerpunkt der Servicemeetings ist die tiefergehende Analyse bei der Bearbeitung konkreter Incidents aus der Retroperspektive:
- Wie war der genaue zeitliche Verlauf von der Detektion bis zum Recovery?
- Wer war involviert?
- Was lief gut, was schlecht?
- Welche Informationen hätten rascher bereitgestellt werden müssen?
- Welche Indikatoren sollten künftig mit in die Bewertung/Kategorisierung einfließen?
- Welche zusätzlichen Tools oder Ressourcen werden benötigt, um zukünftige Vorfälle rascher zu erkennen, besser zu analysieren und deren Impact zu mindern?
:quality(80)/p7i.vogel.de/wcms/4c/12/4c12d33e20db80ce1c61ffe652d37685/96574333.jpeg "Unternehmensrisiken hängen direkt von Verwundbarkeiten, Bedrohungen und der Bewertung der zugrundeliegenden Assets ab. Alle diese Elemente müssen aktiv gemanged werden. (©ilkercelik - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
Orientierung am Deming-Cycle
In diesen Meetings ist auch die Anwendung der aktuell jeweils implementierten Usecases auf mögliche Veränderungen in der Organisation des Auftraggebers zu prüfen. Auf dessen Seite muss ein ausgeprägtes Bewusstsein dafür vorhanden sein, dass möglicherweise bereits kleinste Veränderungen in den Rahmenbedingungen (z. B. verändertes Risikoprofil bei der Anpassung der Ziele der Organisation oder IT-Strategie), der eingesetzten Technologien (z. B. Hardware, Software, Cloud) oder bei externen Faktoren (z. B. überarbeitete Version regulatorischen Auflagen) eine direkte Auswirkung auf die extern erbrachten Information-Security-Services haben. Dies ist daher fortlaufen zu prüfen und zusammen mit dem MSSP zu bewerten. Um zeitaufwendige, manuelle Tätigkeiten bei der Vorbereitung dieser Servicemeetings zu umgehen, sollten entsprechende Informationen automatisiert zur Verfügung bzw. abgeglichen werden, beispielsweise via KPI-, SLA-Dashboard, Report oder Überblick über die aktuellen Service-Requests, den Lizenzstatus oder der Abgleich der Asset-Informationen. Dieses Vorgehen stellt auch sicher, dass belegbare Fakten objektiv in Echtzeit thematisiert werden können und nicht in Form von Freitextfeldern in Präsentationen. Die Verantwortlichkeit für die inhaltliche Planung der Servicemeetings, deren Agenda, Intervall, Dauer, die der eingesetzten Werkzeuge und Kommunikationsplattformen sowie der personellen Besetzung sollte ebenfalls in den PoCs abgestimmt werden und fester Vertragsbestandteil sein. Die automatisiert bereitgestellten Daten sind auch die Basis für die Sicherstellung des kontinuierlichen Verbesserungsprozesses und erlauben es darüber hinaus, diese für die Erstellung von Reports zu nutzen. Sicher existieren dahingehend Anforderungen seitens der Geschäftsleitung, der zweiten oder dritten Verteidigungslinie.
Finale Auswahl durch das Steering-board
Die Liste an Empfehlungen und weiterer Fragen lässt sich beliebig erweitern. Wichtig ist, dass der MSSP, wie bereits thematisiert, alle für Ihn relevanten Informationen erhält und der Auftraggeber seinerseits alle für die finale Entscheidung relevanten Inhalte in Erfahrung bringt und objektiv weiterverarbeitet. Das Steering-board muss bei finalen Lieferantenauswahl befähigt werden, objektiv nach Faktenlage zu entscheiden.
:quality(80)/p7i.vogel.de/wcms/5e/ab/5eab53800c2a62f63db3443cd06da4ef/96693567.jpeg "Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP. (©everythingpossible - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
Implementierung und GoLive
Nach der finalen Entscheidung für einen MSSP steht die Umsetzung auf Basis der in den zurückliegenden Phasen geplanten Aktivitäten an. Mögliche Issues sollten daher im Rahmen der Projekttoleranzen aufgelöst werden können. Im Idealfall sind zu diesem Zeitpunkt im Projekt auch die parallel zur MSSP-Auswahl umgesetzten Tätigkeiten (Professionalisierung von Aufbauorganisation und Workflow-Management, Auswahl/Screening & Onboarding neuer Mitarbeiter) rund um das Erlangen relevanter Fähigkeiten und Kompetenzen auf Experten-Niveau abgeschlossen. Dadurch entsteht die Option, ein oder mehrere Tabletop-Exercises zusammen mit dem MSSP vor dem GoLive durchzuführen. Ziel ist es, dabei mindestens einen konkreten Fall pro Kategorie eines Security-Incidents zu simulieren. Dies impliziert, dass auch schwerwiegende Vorfälle bis hin zu forensischen Analysen mit einhergehender gerichtsfester Sicherung von Evidenzen (Chain of Custody) und Meldungen an Behörden unter Laborbedingungen trainiert werden. Die Erarbeitung realistischer Szenarien und die Verantwortung für die Maßnahme obliegt dem Auftraggeber. Sämtliche Tätigkeiten und Erfahrungen sollten in die Weiterentwicklung der Checklisten und Runbooks einfließen, die auch im Fall der Fälle zum Einsatz kommen. Die Wahrscheinlichkeit ist hoch, dass in dieser späten Projektphase und der Zeit nach dem Projekt Lücken beim Reifegrad entsprechender Prozesse und/oder Fähigkeiten zu Tage treten. Das Projekt kann daher nur die Basis für Folgetätigkeiten schaffen. Daher sollte während des Projekts die Verantwortung für die Weiterentwicklung der im Projekt erarbeiteten Management- und Spezialisten-Produkte konkret festgehalten und zugeordnet werden. Unmittelbar nach dem GoLive der Services ist die Wahrscheinlichkeit sehr hoch, dass es trotz dem vermeintlichen Ausschluss aller möglichen Unwägbarkeiten zu „Anlaufschwierigkeiten“ kommt. Das kann technische (z. B. Ausfall der Schnittstelle Assetmanagement-SIEM) oder organisatorische (falsche Zuordnung im Rechte-/Rollenmodell) Gründe haben. Daher sollte daher eine Transition-Phase eingeplant werden, deren Dauer sich am Projektscope orientiert und bereits in der Projektplanung zeitlich gedeckelt wird. Erst nach Abschluss der Transition-Phase sollte ein „Low Watermark“ bezüglich der oben beschriebenen Maßnahmen zur quantifizierbaren, kontinuierlichen Verbesserung Anwendung finden.
Fazit
Eine Auslagerung entbindet den Auftraggeber nicht von der Pflicht für die Betriebsverantwortung. Dennoch kann durch das Zurückgreifen auf extern erbrachte Services das Sicherheitsniveau relativ rasch erhöht werden. Wichtig ist dabei, die Implementierung von den individuellen Zielen der Organisation abhängig zu machen, eine Top-Management-Attention für das Thema zu wecken und trotz ggf. nur partieller Auslagerung adäquate Ressourcen in angemessener Form zur Verfügung zu stellen. Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen. Jedes vernetzte Element kann Ziel eines Angriffs werden, das Zitat „It is not a matter if but when” wurde bereits x-fach in der Öffentlichkeit verwendet. Organisationen sollten sich daher entsprechend wappnen und Simulationen kontinuierlich durchführen und qualitätssichern. Eins muss dennoch klar sein: Der Zustand wird nie perfekt sein, aber kontinuierlich besser (in Anlehnung an ISO/IEC 27001, clause 10.2).
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
:quality(80)/images.vogel.de/vogelonline/bdb/1834000/1834097/original.jpg "Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen für das Outsourcing von Security-Services, müssen aber an die individuellen Ziele des Unternehmens angepasst werden. (putilov_denis - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4
Implementierung und GoLive eines Managed SIEM oder SOC
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierten Awareness-Trainings.
(ID:47382346)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951000/1951000/original.jpg "Ein Register wie „Cloud Gate“ soll für den revisionssicheren Betrieb sowie für Transparenz diverser Use-Cases sorgen und so das Onboarding von Cloud-Diensten einfacher gestalten. (gemeinfrei: Kanenori )")