:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4 Implementierung und GoLive eines Managed SIEM oder SOC
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Ist im Unternehmen die Entscheidung für das Outsourcing von IT-Security-Services gefallen, wurde die Umsetzung organisatorisch strukturiert geplant und wurde die Auswahl des MSSP in einem mehrstufigen Verfahren getroffen, ist der Zeitpunkt der Umsetzung gekommen. Der vierte Teil der Serie liefert mögliche Fragestellungen, zu Toolauswahl sowie Implementierung und geht auf mögliche Fallstricke des Service-GoLive ein.
Die Tool-Frage und die grundlegende Architektur der Implementierung ist bei einem ausgelagerten Service (eigentlich) eher sekundär, sollte beim Service „Managed SIEM“ aber im Hinblick auf die Kompatibilität trotzdem näher betrachtet werden. Eventuell existieren entsprechende Fragenkataloge und verwertbare Festlegungen bereits auf Seiten des Auftraggebers, ebenso Erfahrungen aus z. B. zurückliegenden Projekten. Folgende, mögliche Fragen verschaffen einen Überblick:
- Liefern die eingesetzten Systeme und Services auf Seiten des Auftraggebers die relevanten Informationen zur Abbildung der spezifizierten Usecases?
- Welche Komponenten für die Managed-SIEM-Plattform muss der Auftraggeber bereitstellen, wo genau liegt der Verantwortungsübergang?
- Ist der Einsatz von Logkollektoren auf Endpoints vorgesehen und zulässig? Wenn ja, sind die Spezifikationen der Logkollektoren kompatibel zu den eingesetzten Betriebssystemversionen und Richtlinien, z. B. Stichwort „Non-root-Betrieb“?
- Erhält der Auftraggeber dauerhaft Zugriff auf die SIEM-Plattform und/oder die zugrunde liegenden Systeme?
- Werden die durch die SIEM-Plattform erhobenen Daten ausschließlich vom SOC verarbeitet oder liegen Anforderungen aus nachgelagerten Verteidigungslinien (z. B. Compliance, Revision) vor? Wichtig ist dies auch vor dem Hintergrund der Log-Retention und dem Sizing der Systeme.
- Welche Methode wird beim Update verwendet? Setzt diese gar eine Servicedowntime voraus?
- Welche Schnittstellen bzw. zusätzliche Tools werden im Detail während der Vertragslaufzeit für das Handling der Security-Incidents genutzt und/oder bereitgestellt?
- Wie sehen die seitens des MSSP vorgesehenen Regelungen bezüglich der Gewährleistung für das oder die eingesetzte(n) Produkt(e) aus?
:quality(80)/p7i.vogel.de/wcms/72/c3/72c33ab9c216f69a3933f647bc9929d1/96316169.jpeg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten. (©Olivier Le Moal - adobe.stock.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
Auch wenn die die eigentliche Leistungserbringung bis hin zum SIEM-Lifecycle-Management extern erbracht werden soll ist es sinnvoll, entsprechendes Tool-spezifisches Know-How auf Seiten des Auftraggebers aufzubauen bzw. auszuweiten. Welche Lernpfade sehen entsprechende Tool-spezifische Schulungsprogramme vor? Auch hier können Lernerfolge durch entsprechende Personenzertifizierungen nachgewiesen werden. Die überwiegende Zahl der SIEM-Tools am Markt werden volumenabhängig (Datenvolumen, Events per Second und/oder kombiniert) lizenziert. Existieren bereits Installationen eines seitens des MSSP favorisierten Tools auf Seiten des Auftraggebers, die noch Potential beim Ausreizen der Lizenz bzw. einen Discount ermöglichen? Während der Vorfallsbehandlung ist es gängige Praxis, die Loglevel nach oben anzupassen. Die Kalkulation der benötigten Lizenzen auf Basis der Datenmenge sollte daher eine dahingehende Toleranz berücksichtigen. In wessen Infrastruktur bzw. Verantwortung liegen die erhobenen Daten? Ein mögliches Kriterium gegen die Berücksichtigung im weiteren Auswahlverfahren, stellt die Weiterleitung, Speicherung oder Verarbeitung der Daten in/im Nicht-EU-Ausland dar.
Definition von KPIs als Basis für die kontinuierliche Verbesserung
Um die Servicequalität messbar zu gestalten und getätigte Investitionen fortlaufend begründen zu können, sind speziell für „Managed SIEM“ und „Hybrid SOC“ die vertragliche Definition relevanten KPIs essentiell wichtig, hier mögliche Beispiele:
- Summe aller behandelten Incidents pro Incidentkategorie
- Mean time to detect je Incident-Kategorie
- Anzahl der Incidents pro Zeiteinheit
- Aufgewendete Zeit pro Incident (Gesamtsumme und Differenzierung z. B. Auslösung, Disposition, Auflösung)
- Impact-Analyse: Kosten und mögliche Downtime pro Incident
- Anzahl der False-Positives pro Zeiteinheit
Fragen an den MSSP in diesem Zusammenhang: Wie und auf welcher Basis erfolgt die Erhebung relevanter Daten für die Berechnung? Sind die Anwendungs- und Berechnungsmodelle der MSSP untereinander vergleichbar? Die KPIs gilt es während der Servicelaufzeit turnusgemäß in Servicemeetings zu thematisieren und bei Auffälligkeiten entsprechende Maßnahmen abzuleiten. Ein weiterer Schwerpunkt der Servicemeetings ist die tiefergehende Analyse bei der Bearbeitung konkreter Incidents aus der Retroperspektive:
- Wie war der genaue zeitliche Verlauf von der Detektion bis zum Recovery?
- Wer war involviert?
- Was lief gut, was schlecht?
- Welche Informationen hätten rascher bereitgestellt werden müssen?
- Welche Indikatoren sollten künftig mit in die Bewertung/Kategorisierung einfließen?
- Welche zusätzlichen Tools oder Ressourcen werden benötigt, um zukünftige Vorfälle rascher zu erkennen, besser zu analysieren und deren Impact zu mindern?
:quality(80)/p7i.vogel.de/wcms/4c/12/4c12d33e20db80ce1c61ffe652d37685/96574333.jpeg "Unternehmensrisiken hängen direkt von Verwundbarkeiten, Bedrohungen und der Bewertung der zugrundeliegenden Assets ab. Alle diese Elemente müssen aktiv gemanged werden. (©ilkercelik - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
Orientierung am Deming-Cycle
In diesen Meetings ist auch die Anwendung der aktuell jeweils implementierten Usecases auf mögliche Veränderungen in der Organisation des Auftraggebers zu prüfen. Auf dessen Seite muss ein ausgeprägtes Bewusstsein dafür vorhanden sein, dass möglicherweise bereits kleinste Veränderungen in den Rahmenbedingungen (z. B. verändertes Risikoprofil bei der Anpassung der Ziele der Organisation oder IT-Strategie), der eingesetzten Technologien (z. B. Hardware, Software, Cloud) oder bei externen Faktoren (z. B. überarbeitete Version regulatorischen Auflagen) eine direkte Auswirkung auf die extern erbrachten Information-Security-Services haben. Dies ist daher fortlaufen zu prüfen und zusammen mit dem MSSP zu bewerten. Um zeitaufwendige, manuelle Tätigkeiten bei der Vorbereitung dieser Servicemeetings zu umgehen, sollten entsprechende Informationen automatisiert zur Verfügung bzw. abgeglichen werden, beispielsweise via KPI-, SLA-Dashboard, Report oder Überblick über die aktuellen Service-Requests, den Lizenzstatus oder der Abgleich der Asset-Informationen. Dieses Vorgehen stellt auch sicher, dass belegbare Fakten objektiv in Echtzeit thematisiert werden können und nicht in Form von Freitextfeldern in Präsentationen. Die Verantwortlichkeit für die inhaltliche Planung der Servicemeetings, deren Agenda, Intervall, Dauer, die der eingesetzten Werkzeuge und Kommunikationsplattformen sowie der personellen Besetzung sollte ebenfalls in den PoCs abgestimmt werden und fester Vertragsbestandteil sein. Die automatisiert bereitgestellten Daten sind auch die Basis für die Sicherstellung des kontinuierlichen Verbesserungsprozesses und erlauben es darüber hinaus, diese für die Erstellung von Reports zu nutzen. Sicher existieren dahingehend Anforderungen seitens der Geschäftsleitung, der zweiten oder dritten Verteidigungslinie.
Finale Auswahl durch das Steering-board
Die Liste an Empfehlungen und weiterer Fragen lässt sich beliebig erweitern. Wichtig ist, dass der MSSP, wie bereits thematisiert, alle für Ihn relevanten Informationen erhält und der Auftraggeber seinerseits alle für die finale Entscheidung relevanten Inhalte in Erfahrung bringt und objektiv weiterverarbeitet. Das Steering-board muss bei finalen Lieferantenauswahl befähigt werden, objektiv nach Faktenlage zu entscheiden.
:quality(80)/p7i.vogel.de/wcms/5e/ab/5eab53800c2a62f63db3443cd06da4ef/96693567.jpeg "Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP. (©everythingpossible - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
Implementierung und GoLive
Nach der finalen Entscheidung für einen MSSP steht die Umsetzung auf Basis der in den zurückliegenden Phasen geplanten Aktivitäten an. Mögliche Issues sollten daher im Rahmen der Projekttoleranzen aufgelöst werden können. Im Idealfall sind zu diesem Zeitpunkt im Projekt auch die parallel zur MSSP-Auswahl umgesetzten Tätigkeiten (Professionalisierung von Aufbauorganisation und Workflow-Management, Auswahl/Screening & Onboarding neuer Mitarbeiter) rund um das Erlangen relevanter Fähigkeiten und Kompetenzen auf Experten-Niveau abgeschlossen. Dadurch entsteht die Option, ein oder mehrere Tabletop-Exercises zusammen mit dem MSSP vor dem GoLive durchzuführen. Ziel ist es, dabei mindestens einen konkreten Fall pro Kategorie eines Security-Incidents zu simulieren. Dies impliziert, dass auch schwerwiegende Vorfälle bis hin zu forensischen Analysen mit einhergehender gerichtsfester Sicherung von Evidenzen (Chain of Custody) und Meldungen an Behörden unter Laborbedingungen trainiert werden. Die Erarbeitung realistischer Szenarien und die Verantwortung für die Maßnahme obliegt dem Auftraggeber. Sämtliche Tätigkeiten und Erfahrungen sollten in die Weiterentwicklung der Checklisten und Runbooks einfließen, die auch im Fall der Fälle zum Einsatz kommen. Die Wahrscheinlichkeit ist hoch, dass in dieser späten Projektphase und der Zeit nach dem Projekt Lücken beim Reifegrad entsprechender Prozesse und/oder Fähigkeiten zu Tage treten. Das Projekt kann daher nur die Basis für Folgetätigkeiten schaffen. Daher sollte während des Projekts die Verantwortung für die Weiterentwicklung der im Projekt erarbeiteten Management- und Spezialisten-Produkte konkret festgehalten und zugeordnet werden. Unmittelbar nach dem GoLive der Services ist die Wahrscheinlichkeit sehr hoch, dass es trotz dem vermeintlichen Ausschluss aller möglichen Unwägbarkeiten zu „Anlaufschwierigkeiten“ kommt. Das kann technische (z. B. Ausfall der Schnittstelle Assetmanagement-SIEM) oder organisatorische (falsche Zuordnung im Rechte-/Rollenmodell) Gründe haben. Daher sollte daher eine Transition-Phase eingeplant werden, deren Dauer sich am Projektscope orientiert und bereits in der Projektplanung zeitlich gedeckelt wird. Erst nach Abschluss der Transition-Phase sollte ein „Low Watermark“ bezüglich der oben beschriebenen Maßnahmen zur quantifizierbaren, kontinuierlichen Verbesserung Anwendung finden.
Fazit
Eine Auslagerung entbindet den Auftraggeber nicht von der Pflicht für die Betriebsverantwortung. Dennoch kann durch das Zurückgreifen auf extern erbrachte Services das Sicherheitsniveau relativ rasch erhöht werden. Wichtig ist dabei, die Implementierung von den individuellen Zielen der Organisation abhängig zu machen, eine Top-Management-Attention für das Thema zu wecken und trotz ggf. nur partieller Auslagerung adäquate Ressourcen in angemessener Form zur Verfügung zu stellen. Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen. Jedes vernetzte Element kann Ziel eines Angriffs werden, das Zitat „It is not a matter if but when” wurde bereits x-fach in der Öffentlichkeit verwendet. Organisationen sollten sich daher entsprechend wappnen und Simulationen kontinuierlich durchführen und qualitätssichern. Eins muss dennoch klar sein: Der Zustand wird nie perfekt sein, aber kontinuierlich besser (in Anlehnung an ISO/IEC 27001, clause 10.2).
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
:quality(80)/images.vogel.de/vogelonline/bdb/1834000/1834097/original.jpg "Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen für das Outsourcing von Security-Services, müssen aber an die individuellen Ziele des Unternehmens angepasst werden. (putilov_denis - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4
Implementierung und GoLive eines Managed SIEM oder SOC
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierten Awareness-Trainings.
(ID:47382346)
:quality(80)/p7i.vogel.de/wcms/49/cd/49cde6777317f5745a28346224078c2f/0104972538.jpeg "Der Aufbau eines SOC ist mit nicht zu unterschätzenden Aufwänden verbunden. Der Top-Management-Support ist dabei essenziell. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/bb/a4bb23e42a3ed59e3f10ba90b91d754b/0105244683.jpeg "SAP ERP Systeme bilden oft das betriebswirtschaftliche Rückgrat einer Organisation. Es ist mehr als fahrlässig, diese als Blind-spots sich selbst zu überlassen. (Bild: adam121 - stock.adobe.com)")