SOC as a Service Outsourcen und Kosten sparen

Autor Melanie Staudacher

Statt das Monitoring der IT-Infrastruktur selbst zu leisten, raten Sicherheitsexperten zum Outsourcing. Damit sinken Kosten und Stress. Auch die Distribution kommt dem Bedarf nach Analyseleistungen nach. Doch der Markt wird sich auf Dauer verändern.

Firmen zum Thema

Die Ansprüche an ein SOC sind hoch, denn der Betrieb benötigt qualifiziertes Personal und große finanzielle Investitionen. Dennoch ist der Bedarf im Markt vorhanden – Outsourcing soll die Lösung sein.
Die Ansprüche an ein SOC sind hoch, denn der Betrieb benötigt qualifiziertes Personal und große finanzielle Investitionen. Dennoch ist der Bedarf im Markt vorhanden – Outsourcing soll die Lösung sein.
(Bild: MicroOne - stock.adobe.com)

Lisa Unkelhäußer, Security Channel Leader DACH bei IBM
Lisa Unkelhäußer, Security Channel Leader DACH bei IBM
(Bild: IBM)

Das Security Operation Center, kurz SOC, ist die zentrale Security-Schaltstelle in Unternehmen. Doch in einem SOC geht es nicht allein um Technologien. Wie Lisa Unkelhäußer, Security Channel Leader DACH bei IBM, klarstellt, besteht ein SOC aus einem Dreigespann aus Menschen, Prozessen und Technologien. Zu den Menschen gehören nicht nur die unternehmenseigenen Mitarbeiter, sondern auch Partner und Kunden. Denn jeder Mensch, der mit dem Unternehmen interagiert stellt gleichzeitig auch ein potenzielles Sicherheitsrisiko dar. Die Prozesse, die einen Überblick verschaffen, Richtlinien sicherstellen sowie Gefahren erkennen und analysieren seien enorm wichtig. Denn: „Die tollste Technologie bewirkt nichts, wenn man nicht weiß, was damit getan werden muss“, sagt Unkelhäußer.

Königsdisziplin SOC

Der Betrieb eines SOC wird in der Security-Branche oft als Königsdisziplin bezeichnet. Denn die Experten identifizieren Schwachstellen sowie Sicherheitslücken und bewerten diese – tagtäglich. „Ein SOC, egal, von wem es betrieben wird, wird nicht einmal aufgesetzt und steht dann. Sondern der Betrieb ist ein kontinuierlicher Prozess“, erläutert Unkelhäußer. In diesem Prozess müssen immer wieder aufs Neue Bedrohungen erkannt, verhindert und untersucht werden. Entgehen den Analysten Angriffe, kann dies fatal für die Daten des Kunden sein.

Das französische Systemhaus Axians bietet das SOC als as-a-Service-Modell (SOCaaS) an. Dort wird die SIEM-Lösung (Security Information and Event Management) QRadar von IBM eingesetzt. Beim IT-Dienstleister Controlware setzen die Experten auf Splunk. Beide Lösungen stellen sogenannte Basis Use Cases bereit, die angepasst werden können und geben die Möglichkeit weitere selbst zu entwickeln. Use Cases sind Anwendungsbeispiele von Verstößen gegen Sicherheitsrichtlinien, die mit der entsprechenden Lösung erkannt wurden. Die Richtlinien beziehen sich auf die IT-Infrastruktur und die Mitarbeiter einer Organisation. Ein Beispiel wäre, dass Administratoren nur zu den Geschäftszeiten des Unternehmens tätig sein dürfen. Mit einer vorab definierten Regel wie dieser, kann im eingesetzten System überprüft werden, wann mit privilegierten Accounts auf Daten zugegriffen wird. Erfolgt ein solcher Zugriff außerhalb der Geschäftszeiten, also entgegen der festgelegten Regel, wird ein Alarm im SOC generiert, auf den die Analysten dann reagieren.

Der Aufbau von Use Cases setzt fachliche Ressourcen voraus, über die nicht jedes Unternehmen verfügt. IBM bietet mit QRadar eine Datenbank mit selbst entwickelten Anwendungsfällen an.
(Bildquelle: IBM)

Wie Unkelhäußer erläutert, skaliert die IBM-Lösung. Denn je mehr Use Cases in QRadar entwickelt werden, desto mehr Standard-Regeln bringt das System für die Kundenbasis mit. Doch nicht jedes Unternehmen hat die personellen und zeitlichen Ressourcen, um eigene Use Cases zu erstellen und diese in einem SOC zu verarbeiten.

Selbst machen oder machen lassen?

Christian Bohr, Head of Managed Services bei Controlware
Christian Bohr, Head of Managed Services bei Controlware
(Bild: Controlware)

Der Trend zum Outsourcing hält an und das Sicherheitsbewusstsein in Unternehmen steigt. Das bestätigt auch Christian Bohr, Head of Managed Services bei Controlware. Laut ihm befindet sich der Security-Reifegrad in Unternehmen im Wandel: von einmaligen, zyklisch wiederkehrenden Pen-Tests über kontinuierliches Schwachstellen-Management bis hin zu proaktiven Lösungen wie Network und Endpoint Detection and Response (NDR/EDR) und Advanced Threat Detection (ATD). Die meisten der vor allem mittelständischen Kunden des Dienstleisters beschäftigen sich aus Compliance-Gründen mit diesem Thema oder weil sie bereits von Sicherheitsvorfällen betroffen waren. Auch wenn das Ziel ein kontinuierliches Security Monitoring mit umfassendem Cyber-Defense-Fokus sein sollte, wie Bohr betont, ist es natürlich ein großer Fortschritt, wenn Unternehmen zumindest einzelne Security-Services nutzen. „Nur weil ich mir die 100 Prozent nicht leisten kann, sollte ich zumindest die 80 Prozent nutzen, die ich realistisch umsetzen kann und die meinem vorrangigem Bedarf entsprechen. Das ist in jedem Fall besser als gar nichts zu tun“, stellt Bohr klar. Deswegen ist es bei Controlware möglich, statt auf einmal alle SOC-Leistungen lediglich bestimmte Services zu buchen. Dazu gehören das Vulnerability Management, Advanced Log Analytics (ALA), ATD und EDR.

Der Kunde kann das SOC auch selbst betreiben. Das ist allerings nur in den wenigsten Fällen sinnvoll und wirtschaftlich.

Christian Bohr, Head of Managed Services bei Controlware

Volker Scholz, Leitung SOC bei Axians
Volker Scholz, Leitung SOC bei Axians
(Bild: x-default)

Auch bei Axians ist der Service flexibel aufgebaut, wie Volker Scholz, Leiter des dortigen SOC, erläutert. Statt mit allen dreien können Kunden auch nur mit einem der Bereiche Vulnerability Management, Security Event Management oder Compliance Management beginnen.

Der Aufbau eines eigenen Centers ist für die meisten Unternehmen nicht umsetzbar. Denn mindestens 12 Mitarbeiter seien für einen Betrieb rund um die Uhr nötig, sagt Unkelhäußer. In einem Blogbeitrag schätzt Scholz die ungefähren Kosten für ein eigenes SOC in einem Unternehmen mit 500 Mitarbeitern gegenüber der Inanspruchnahme von SOCaaS. Während der Eigenbetrieb bis zu 700.000 Euro pro Jahr kosten kann, belaufen sich die Kosten für den Service auf circa 60.000 Euro pro Jahr.

Eigenbetrieb
SOCaaS
Aufbau des SOC: 200.000 – 500.000 Euro Bereitstellung des SOC
24/7 Betrieb mit einem Security Operator und drei Security Analysten im Wechselbetrieb: 175.000 – 272.000 Euro 24/7 Betrieb mit Security Operatoren und Security Analysten
Wiederkehrende Kosten wie Networking, Telefon, Wartung und Verschleiß: 12.000 Euro Wiederkehrende Kosten wie Networking, Telefon, Wartung und Verschleiß
Gesamtkosten: 387.000 – 783.560 Euro pro Jahr Gesamtkosten: 60.000 Euro pro Jahr

Auch Bohr argumentiert für die Inanspruchnahme der Dienstleistungen: „SOC as a Service ermöglicht die qualifizierte Bewertung von Cyber-Gefahren und gibt konkrete Unterstützung und umsetzbare Handlungsempfehlungen. Gerade letzteres können automatisierte Lösungen niemals so qualifiziert leisten wie ein erfahrener Security-Analyst in einem SOC, der sowohl die individuelle Kundensituation als auch die weltweite Bedrohungslage berücksichtigen kann.“

Kein SOC ohne SIEM

SIEM ist nicht gleich SIEM. Wenn Bohr von der Technologie im SOC von Controlware spricht, meint er grundsätzlich die Log-Daten-Analyse im Security-Kontext über spezifische Use Cases. „Wenn Sie andere Experten fragen, dann definieren sie das SIEM oft zusätzlich mit weiteren Technologien wie Schwachstellen-, Malware- und Anomalie-Erkennung. Es gibt da keine einheitliche Definition.“

Bei Controlware setzen die Analysten im SOC Splunk ein. Sowohl Splunk wie auch IBM sind im „Magic Quadrant for SIEM 2020“ von Gartner nahezu gleichauf rechts oben als „Leader“ vertreten. Doch laut Bohr ist die Bezeichnung von Splunk als SIEM nicht korrekt: „Bei uns ist Splunk eine mögliche Basis für ein SIEM. Splunk alleine ist aber noch kein SIEM-System.“ Scholz ergänzt, dass sowohl QRadar von IBM wie auch Splunk-Produkte aus dem SIEM-Bereich sind. Allerdings kommen sie aus unterschiedlichen Richtungen. Splunk ist eine Log-Management-Lösung, die für den Einsatz im SOC um SIEM-Funktionalitäten erweitert wird. QRadar, im Gegensatz, wurde von Anfang an als SIEM konzipiert.

Auf einer Erkennungsplattform wie Splunk oder Microsoft Azure Sentinel werden spezielle, von Controlware entwickelte Use Cases bereitgestellt oder können dort selbst entwickelt werden. Darauf basierend bietet das Systemhaus den Kunden passende Services an. Erst diese drei Komponenten – Erkennungsplattform, Use Cases und Services – machen laut Bohr einen SIEM-Service aus. Aber auch hier muss wieder unterschieden werden: zwischen einem Managed SIEM und SOCaaS. Ein SIEM-System liefert zwar Informationen, aber keine Analyseleistung dazu. Ein gemanagtes SIEM-System oder auch SIEMaaS bedeutet bei Controlware, dass das Systemhaus die Erkennungsplattform inklusive Use Cases bereitstellt und betreibt. Der Kunde analysiert die erbrachten Security Incidents jedoch selbst. SOCaaS hingegen bedeutet laut Bohr, dass der Kunde nicht nur eine gemanagte SIEM-Plattform kauft, sondern auch die tatsächliche Analyseleistung aus dem SOC eines Dienstleisters bezieht. Konkret gesagt und um das Definitions-Durcheinander zu beenden: Ein SIEM funktioniert zwar ohne SOC, ein SOC funktioniert aber nicht ohne SIEM.

Die Sicht der Distribution

André Dieball, Director Technical Customer Success DACH bei Exclusive Networks
André Dieball, Director Technical Customer Success DACH bei Exclusive Networks
(Bild: ©2019 fotostudiocharlottenburg)

„Natürlich sehen wir auch in der Distribution den Trend zu ‚Everything as a Service‘“, sagt André Dieball, Director Technical Customer Success DACH bei Exclusive Networks. Bei dem Distributor hat man schon vor zweieinhalb Jahren angefangen, sich mit dem Thema Managed Security Services (MSS) auseinanderzusetzen. Die immer weiter steigende Bedrohungslage bringt auch immer mehr Technologien hervor, die Kunden unterstützen, sich auf eben diese Bedrohungslage einzustellen. Doch nur das Equipment zu haben, reiche nicht aus. Wichtig sei es vor allem, den Technologien zuzuhören und verstehen zu können, was sie über die Sicherheitslage sagen, Informationen miteinander zu korrelieren und mit zusätzlichen zu erweitern. „Unsere Reseller sehen sich dem Bedarf der Kunden nach MSS gegenübergestellt. Aber nicht jeder Reseller ist in der Lage, diesen Bedarf mit einem eigenen SOC zu decken. Dafür sorgen der weltweite IT-Fachkräftemangel und hohe Kosten.“

Durch diese Überlegung ist der Begriff des Managed Security Service Distributors (MSSD) entstanden. In diesem Portfolio bietet das Unternehmen Leistungen wie Monitoring, Compliance Reporting, Threat Hunting, Backup und Capacity Management – und auch ein Managed SOC. Voraussetzung für diesen Dienst war es jedoch, den eigenen Partner damit so wenig Konkurrenz wie möglich zu machen. Umgesetzt wird diese Prämisse, indem der Distributor zum einen nur an den Channel verkauft und nicht an Endkunden. Zum anderen werden die Managed Services nicht einzeln, sondern lediglich in Kombination mit dem Managed SOC angeboten. Dies ermöglicht es den Partnern die bereits vorhandenen Services ohne Investition zu erweitern.

Der Blick nach vorne

Wie Dieball ergänzt, ist dem Distributor bewusst, dass jetzige Partner diese Leistung in ein paar Jahren nicht mehr nutzen könnten. „In zwei oder drei Jahren werden einige Partner den Service nicht mehr in Anspruch nehmen, weil sie die Zeit genutzt haben, um für ihre Kunden ein eigenes SOC aufzubauen. Das ist uns völlig klar.“

Als Distributor sehen wir uns in der Rolle, das Business Improvement voranzutreiben und mit dem Managed SOC-Service ermöglichen wir das für den Channel – ohne Risiko.

André Dieball, Director Technical Customer Success DACH bei Exclusive Networks

Natürlich werden jedoch nicht alle Partner abspringen. Aber es wird Unternehmen geben, da ist sich Dieball sicher, die groß genug für ein eigenes SOC sind und das entsprechende Klientel dafür haben. „Indem sie nun den Service von Exclusive nutzen, verschaffen sie sich einen Zeitvorsprung, den sie nutzen können, um selbst aufzurüsten.“ Auf den erwarteten Wegfall einiger SOC-Kunden reagiert der Distributor jetzt schon. „Unser Managed Service ist ja nicht statisch. Wir sind dabei, weitere Services in dem Bereich zu entwickeln. Schließlich haben wir das bewusst Managed Security Service Distributor genannt, um klar zu machen, dass alles, was wir tun ein Channel Business ist. Was wir heute haben ist nur der Anfang.“

(ID:47040719)