:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cyber Incident Handling Kernfähigkeiten eines Security Operations Center (SOC)
Wer bereits die Gelegenheit hatte, ein SOC in Augenschein zu nehmen, dem bleiben meist eine Reihe von Details gut im Gedächtnis: physische Sicherheitsmaßnahmen am Eingang, bunte Dashboards und Diagramme auf einem großen zentralen Monitor und hochkonzentrierte Analysten vor ihren Bildschirmen. Doch was genau ist notwendig, damit ein SOC seinen Auftrag erfüllen kann?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Bei einem Security Operations Center (SOC) handelt es sich um eine Verteidigungseinheit, bestehend aus IT-Sicherheitsspezialisten, deren Aufgabe die Erkennung und Abwehr von Cyberbedrohungen ist. Der Erfolg eines SOC fußt auf drei grundlegenden Säulen: Technologien, Prozesse sowie gut geschulte und motivierte Mitarbeiter. Zunehmend wichtiger wird außerdem die Kooperation verschiedener SOCs im Hinblick auf Angriffserkennung und -verteidigung, beispielsweise mit anderen Unternehmen der gleichen Branche.
Der Feind, die sog. Threat Actors, haben den Mehrwert von Kooperationen längst erkannt. Der Austausch und Handel von Informationen, Schwachstellen und Angriffstools floriert prächtig. Genau das ist es allerdings auch, was den konstanten Informationsaustausch für ein SOC so interessant macht. Seien es neu entdeckte Sicherheitslücken, für Malware bekannte Domains oder auch typische Vorgehensweisen der Angreifer. All diese Informationen (Threat Intelligence) unterstützen ein SOC dabei, einen Angriff zu erkennen, bevor echter Schaden entsteht. Je öfter diese Muster auftreten, desto einfacher werden sie identifiziert und abgewehrt. Im Idealfall ist der damit verbundene Incident noch nicht im eigenen Unternehmen aufgetreten, sondern in einem, mit dem ein solcher Informationsaustausch praktiziert wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1176100/1176119/original.jpg "Mit STIX und TAXII können Unternehmen Bedrohungsinformationen automatisiert austauschen und dadurch voneinander profitieren. Die gemeinsame Nutzung einer IoC-Datenbank ist ebenfalls denkbar.")
:quality(80)/images.vogel.de/vogelonline/bdb/1176100/1176118/original.jpg "Eine Malware wird von der IoC-Datenbank gemeldet und zusätzlich mit Online-Anbietern geprüft. Clients werden durch einen API-Aufruf an der Firewall isoliert. Das Endpoint Security Management befreit die Clients nachhaltig von der Malware.")
:quality(80)/images.vogel.de/vogelonline/bdb/1176100/1176117/original.jpg "Leistungskennzahlen oder auch KPIs erlauben die zahlenmäßige Erfassung der Arbeit im SOC. Auf dieser Basis können z.B. Verbesserungsmaßnahmen eingeleitet werden, um die Effektivität zu steigern.")
Über das treffend benannte Transportprotokoll TAXII (Trusted Automated eXchange of Indicator Information) erreichen genau solche Informationen das SOC und werden in eine Datenbank eingespeist. Mit Hilfe einer Threat Intelligence Plattform wie z.B. CRITs (Collaborative Research Into Threats) können die empfangenen Meldungen bearbeitet und mit eigenen Informationen zusätzlich angereichert werden. Standardisierte Formate wie z.B. STIX (Structured Threat Information eXpression) vereinfachen den Im- und Export dieser Informationen hin zu den aktiven Security-Komponenten des Netzwerks. Die meisten Firewalls, Endpoint Security Systeme und SIEMs (Security Information and Event Management) unterstützen STIX und können so von den SOC-Mitarbeitern direkt mit den relevanten Informationen gefüttert werden.
Relevantes erkennen, Angriffe verhindern
Das SIEM dient gleichzeitig als Sammelstelle für sämtliche Log-Informationen, die im Netzwerk des Unternehmens von Netzwerkgeräten, Servern und Applikationen erzeugt werden. Die Informationen werden an diesem zentralen Ort in so genannten Detection Use Cases korreliert, um verdächtige Muster in der Fülle dieser Ereignisse und sogar über einen längeren Zeitraum zu erkennen. Damit werden bereits bekannte Angriffsmuster direkt dort erkannt, wo sie auftauchen, und sofort mit einem Alarm oder einer automatischen Aktion versehen.
Allerdings gilt auch (und insbesondere) bei Informationen externer Anbieter, die über TAXII bereitgestellt werden: Nicht jede Meldung ist automatisch ein Angriff. False Positives machen SOC-Mitarbeitern das Leben schwer und blockieren Ressourcen, die für die Bearbeitung echter Angriffe benötigt werden. Es braucht Erfahrung und ein geregeltes Vorgehen, um wirklich jeder Meldung die benötigte Aufmerksamkeit entgegenzubringen.
Um dieses Vorgehen und den Betrieb im Allgemeinen zu optimieren und zu standardisieren, müssen Prozesse an die Technologien angeknüpft werden. Runbooks innerhalb des Security-Incident-Response-Prozesses sind ein konkreter Teil davon. Über diese Anleitungen wird genau festgelegt, welche Reaktion einem Vorfall zu folgen hat, was im Detail analysiert, wer angesprochen und informiert werden muss. Runbooks dienen zum einen dem SOC-Mitarbeiter als Handlungsanleitung, um den vermeintlichen Incident auf dessen Validität zu analysieren, um den Schaden durch den Security Incident einzudämmen (sog. Containment) und um die Auswirkungen des Incidents zu beseitigen (sog. Remediation). Zum anderen können Runbooks in Incident-Response-Werkzeuge implementiert werden, um dem Mitarbeiter einen Großteil der manuellen Aufgaben abzunehmen. Das Incident-Response-Werkzeug dient damit als Schaltzentrale für die Bearbeitung des Incidents und ermöglicht die Ansteuerung verschiedenster Security-Tools über definierte Schnittstellen.
Mitarbeiter sind mehr als nur Ressourcen
Prozesse, Runbooks und auch Incident Response Tools sind Hilfestellungen für die Mitarbeiter im SOC. Für die Einschätzung der Validität und Kritikalität eines Incidents und dessen Abarbeitung bedarf es trotzdem großer Erfahrung. Es gilt also, die Fluktuation unter den Mitarbeitern besonders gering zu halten. Dies kann erreicht werden, indem beispielsweise eine sinnvolle Schichtplanung eine ausgewogene Work-Life-Balance erlaubt oder der Arbeitsplatz nicht den SOCs aus Hollywood-Streifen gleicht und sich im dunklen, dritten Untergeschoss eines tristen Betonklotzes befindet. Um abwechslungsreiche Tätigkeiten für die Mitarbeiter sicherzustellen, sind sogar Rollentausche innerhalb des SOC-Teams denkbar. Die Rollen der 1st und 2nd Level-Analysten sowie die des Schichtleiters könnten unter den Mitarbeitern flexibel zugeteilt werden. Um dies zu ermöglichen, sind eingängige Prozesse und Prozessbeschreibungen sowie eine funktionierende Tool-Landschaft unabdingbar.
Doch wie kann festgestellt werden, ob das SOC gut funktioniert? Eine Vielzahl so genannter KPIs (Key Performance Indicators) – oder auch Kennzahlen – erlaubt eine Beurteilung der Effizienz und Effektivität von Technologien, Prozessen und Mitarbeitern. Wichtig ist hierbei die Betrachtung der Kennzahlen im richtigen Kontext. Eine alleinige Messung der bearbeiteten Incidents ist wenig aussagekräftig. Vielmehr muss beispielsweise diese Betrachtung im Verhältnis zur Gesamtzahl und der Schwere der jeweiligen Incidents und auch der Anzahl der Mitarbeiter im SOC durchgeführt werden. Die wichtigste Kennzahl für die Effektivität des SOCs ist jedoch die so genannte MTTD (Mean Time to Detect): Wie lange dauert es, bis ein Angriff erkannt wird? Daran schließt sich direkt eine weitere sehr wichtige Kennzahl an – MTTR (Mean Time to Resolution): Wann wurde der Incident behoben? Kennzahlen dieser Art lassen sich für jede der drei Säulen – Technologien, Prozesse und Mitarbeiter – finden.
Diese und weitere Kennzahlen helfen bei der Optimierung der Technologien und Prozesse und erlauben außerdem die Erstellung individueller Weiterbildungskonzepte für die einzelnen Mitarbeiter im SOC-Team. So ist es möglich, den Reifegrad des SOC zu erhöhen und damit die Effektivität und Effizienz nachhaltig zu steigern.
* Johannes Potschies ist Managing Consultant und Trainer bei iT-CUBE.
(ID:44525281)
:quality(80)/p7i.vogel.de/wcms/3e/8e/3e8ea2b592b108f7a9e4a18d57deb857/0105841438.jpeg "Angreifern kommt es nicht auf die Firmengröße an! Auch KMU sollten sich intensiv mit Themen wie XDR und MDR auseinandersetzen. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/c1/39c1177075fa5c50fc4f8e189b35a8aa/0112493993.jpeg "Unternehmen sollten das Thema Informationssicherheit strategisch verankern und bei der Resilienzbildung auf proaktive und reaktive Maßnahmen zu setzen, auch im Zusammenspiel mit externen Experten. (Bild: Gorodenkoff - stock.adobe.com)")