:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Operations Center (SOC) Organisiert gegen Cyberkriminalität
Das Security Operations Center (SOC) bildet die perfekte Kombination aus innovativen Werkzeugen, effizienten Prozessen und hervorragend ausgebildeten Mitarbeitern, um gegen heutige digitale Bedrohungen gewappnet zu sein. Meist verortet man ein SOC allerdings nur bei großen Konzernen, dabei lohnt sich auch für den Mittelstand die Investition in ein SOC.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Das Security Operations Center (SOC) bildet die perfekte Kombination aus innovativen Werkzeugen, effizienten Prozessen und hervorragend ausgebildeten Mitarbeitern, um gegen heutige digitale Bedrohungen gewappnet zu sein.
Wer bereits die Gelegenheit hatte, ein Security Operations Center (SOC) in Augenschein zu nehmen, dem bleiben meist eine Reihe von Details gut im Gedächtnis: physische Sicherheitsmaßnahmen am Eingang, bunte Dashboards und Diagramme auf einem großen zentralen Monitor und hochkonzentrierte Analysten an ihren Arbeitsplätzen. Doch was genau ist notwendig, damit ein SOC seinen Auftrag effizient und effektiv erfüllen kann? Der Erfolg eines SOCs fußt auf drei grundlegenden Säulen: Technologien, Prozesse sowie gut geschulte und motivierte Mitarbeiter.
:quality(80)/images.vogel.de/vogelonline/bdb/1210400/1210431/original.jpg "Ein SOC as a Service kann Unternehmen dabei helfen, die eigenen Security-Engpässe zu überwinden, sei es im Bereich Personal, oder bei den nötigen Security-Werkzeugen für professionelles Monitoring, Analytics und Reporting. (tonsnoei - Fotolia)")
SOC as a Service
Security Operations Center (SOC) als Dienstleistung
Einer für alle, alle für einen!
Zunehmend wichtiger wird außerdem die Kooperation verschiedener SOCs im Hinblick auf Angriffserkennung und -verteidigung, beispielsweise mit anderen Unternehmen der gleichen Branche. Die Feinde, sog. Threat Actors, haben den Mehrwert von Kooperationen längst erkannt. Der Austausch und Handel von Informationen, Schwachstellen und Angriffstools floriert prächtig.
Genau das ist es allerdings auch, was den konstanten Informationsaustausch für ein SOC so interessant macht. Seien es neu entdeckte Sicherheitslücken, für Malware bekannte Domains oder auch typische Vorgehensweisen der Angreifer: All diese Informationen (Threat Intelligence) unterstützen ein SOC dabei, einen Angriff schon im Ansatz zu erkennen, bevor Schaden entsteht. Je öfter Muster auftreten, desto einfacher werden sie identifiziert und abgewehrt. Im Idealfall ist der damit verbundene Incident noch nicht im eigenen Unternehmen aufgetreten, sondern in einem, mit dem ein solcher Informationsaustausch praktiziert wird.
Über das Transportprotokoll TAXII (Trusted Automated eXchange of Indicator Information) erreichen solche Informationen das SOC und werden in eine Datenbank eingespeist. Mit Hilfe einer Threat Intelligence Plattform wie CRITs (Collaborative Research Into Threats) können die empfangenen Meldungen bearbeitet und mit eigenen Informationen ergänzt werden. Standardisierte Formate wie STIX (Structured Threat Information eXpression) vereinfachen den Im- und Export hin zu den aktiven Security-Komponenten des Netzwerks. Die meisten Firewalls, Endpoint Security Systeme und SIEMs (Security Information and Event Management) unterstützen STIX und können so von den SOC-Mitarbeitern direkt mit den relevanten Informationen gefüttert werden.
SIEM – Das Gehirn des Nervensystems
Das SIEM dient als Sammelstelle für sämtliche Log-Informationen, die im Netz des Unternehmens von Netzwerkgeräten, Servern und Applikationen erzeugt werden. Die Informationen werden an diesem zentralen Ort in so genannten Detection Use Cases korreliert, um verdächtige Muster in der Fülle dieser Ereignisse und auch über einen längeren Zeitraum zu erkennen.
Damit werden bereits bekannte Angriffsmuster direkt dort erkannt, wo sie auftauchen, und sofort mit einem Alarm oder einer automatischen Aktion versehen. Allerdings gilt auch (und insbesondere) bei Informationen externer Anbieter, die über TAXII bereitgestellt werden: Nicht jede Meldung ist automatisch ein Angriff. False Positives können nie ganz vermieden werden. Es braucht Erfahrung und ein geregeltes Vorgehen, um wirklich jeder Meldung die benötigte Aufmerksamkeit entgegenzubringen.
Um dieses Vorgehen und den Betrieb im Allgemeinen zu optimieren und zu standardisieren, müssen Prozesse an die Technologien angeknüpft werden. Runbooks innerhalb des Security-Incident-Response-Prozesses sind ein konkreter Teil davon. Über diese Anleitungen wird genau festgelegt, welche Reaktion einem Vorfall zu folgen hat, was im Detail analysiert werden soll, wer angesprochen und informiert werden muss. Runbooks dienen SOC-Mitarbeitern als Handlungsanleitung, um den Incident auf dessen Validität zu analysieren, den Schaden einzudämmen (sog. Containment) und die Auswirkungen des Incidents zu beseitigen (sog. Remediation).
…damit ich dich besser sehen kann!
Für die Analyse, das Containment und die Remediation ist es unerlässlich, so viele Informationen wie möglich über die betroffenen Systeme zu haben. Dabei werden die Analysten des SOCs durch die CMDB (Configuration Management Database) unterstützt. Diese enthält die Informationen darüber, welche Anwendungen auf den Systemen laufen, wer der Owner des Systems ist, welche Kritikalität das System hat und wo dieses System überhaupt steht. Ohne diese Informationen muss sich der Analyst mühsam einen Überblick über das Ausmaß eines Security Incidents verschaffen.
Automation is key! – Eingängige Prozesse erarbeiten
Runbooks können im Übrigen auch in Incident-Response-Werkzeuge implementiert werden, um dem Mitarbeiter einen Großteil der manuellen Aufgaben abzunehmen. Das Incident-Response-Werkzeug dient damit als Schaltzentrale für die Bearbeitung des Incidents und ermöglicht die Ansteuerung verschiedenster Security-Tools über definierte Schnittstellen.
Prozesse, Runbooks und auch Incident Response Tools sind Hilfestellungen für die Mitarbeiter im SOC. Für die Einschätzung der Validität und Kritikalität eines Incidents und dessen Abarbeitung bedarf es trotzdem großer Erfahrung, weshalb starke Fluktuation der Mitarbeiter vermieden werden sollte. Eine gute Strategie dafür liefert beispielsweise eine Schichtplanung, die eine ausgewogene Work-Life-Balance erlaubt. Ebenso sollte der Arbeitsplatz nicht den SOCs aus Hollywood-Streifen gleichen und sich im dunklen, dritten Untergeschoss eines tristen Betonklotzes befinden. Um abwechslungsreiche Tätigkeiten für die Mitarbeiter sicherzustellen, ist auch ein Rollentausch innerhalb des SOC-Teams denkbar. Die Rollen der 1st und 2nd Level-Analysten sowie die des Schichtleiters können unter den Mitarbeitern flexibel zugeteilt werden. Um dies zu ermöglichen, sind eingängige Prozesse und Prozessbeschreibungen sowie eine funktionierende Tool-Landschaft unabdingbar.
Reale Angriffsszenarien trainieren
Allgemein beschränkt sich die Ausbildung von Analysten auf spezifische Produktschulungen oder Hacking-Kurse, die jedoch nicht vollumfänglich das Incident Handling betrachten. Sinnvoller ist hier ein ganzheitlicheres Konzept: In einer so genannten Cyber Simulation Range trainieren Cyber-Security-Spezialisten im Rahmen eines realen Angriffsszenarios Wissen und Fähigkeiten, um den Kampf gegen Industriespionage, Infrastrukturangriffe und Erpressung zu gewinnen.
Security first!
Schlussendlich hat jedes SOC nur ein Ziel: Die Sicherheit der Organisation zu wahren. Diese Sicherheit lässt sich messen, indem die MTTD (mean time to detect) und MTTR (mean time to resolve) für Security Incidents auf ein Minimum reduziert wird. Aufeinander abgestimmte Tools, Prozesse und Mitarbeiter sind die beste Basis, um das zu gewährleisten. Idealerweise werden die Security Incidents damit erkannt und aufgelöst, bevor Produktionsanlagen still stehen, Transaktionen nicht ausgeführt werden können oder geistiges Eigentum die Organisation verlässt.
Über den Autor: In seiner jetzigen Position ist Johannes Potschies Managing Consultant und Trainer bei iT-CUBE. Seine Schwerpunkte die Themen SIEM & Logmanagement (HPE ArcSight, Splunk) und SOC-Prozesse. Auf diesem Gebiet führte er bereits in zahlreichen nationalen sowie internationalen Projekten die Planung, Implementierung und Betriebsvorbereitung durch. Johannes ist des Weiteren zertifizierter HPE ArcSight Trainer und bildet IT-Security Experten u.a. in folgenden Kursen aus: ArcSight ESM 6.5 Administrator and Analyst – ATP, ArcSight ESM 6.5 Advanced Analyst – ASE, ArcSight ESM 6.5 Advanced Administrator – ASE und ArcSight Logger 6.0 Administration and Operations – ASE. Johannes studierte Informatik mit dem Schwerpunkt Software Engineering an den Hochschulen in Aalen und Mannheim.
(ID:44902379)
:quality(80)/p7i.vogel.de/wcms/84/0d/840d9209f7e086fd4753befe2594de1f/0115093778.jpeg "Ein Managed SOC kann für alle Unternehmen – egal wie groß oder aus welcher Branche – eine gute Lösung sein. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/f4/8cf48812665fc59a6d782fa84d4cb33d/0109529267.jpeg "Managed Detection & Response (MDR) Services füllen Lücken in der Cyber-Abwehr. (Bild: frei lizenziert: Buffik)")