Managed SIEM/SOC in einem hybriden Modell – Teil 1 Praxistips zum Outsourcing von Services in der Informationssicherheit

Autor / Redakteur: Markus Thiel / Peter Schmitz

Aufgrund des vielfach ausgesprochenen Fachkräftemangel, der steigender Komplexität oder der Relevanz regulatorischer Auflagen denken viele Organisationen aktiv darüber nach, Information-Security-Services komplett oder in Teilen extern zu beziehen. Diese Serie beleuchtet notwendige Voraussetzung und Fragestellungen auf Seiten des Auftraggebers, liefert Handlungsempfehlungen und Checklisten­inhalte für eine Providerauswahl und die Ideen für Phasen nach dem Go-Live.

Firmen zum Thema

Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten.
Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten.
(© Olivier Le Moal - adobe.stock.com)

Cyber-Risiken stehen in der Wahrnehmung bzw. Kategorisierung des World Economy Forum (WEF) nahezu auf einer Ebene mit Naturkatastrophen oder globalen Wirtschaftskonflikten. Diese Risiken können durch Umsetzung von Maßnahmen in der Prävention, aber auch in die Erkennung und Behandlung von Sicherheitsvorfällen reduziert werden. Geeignete Maßnahmen zur Erkennung und Behandlung sind beispielsweise die Implementierung eines Security Information And Event Management (SIEM), sowie die eines Security Operations Centers (SOC).

Darüber hinaus sind, je nach Organisation, in branchenspezifischen, gesetzlichen bzw. regulatorischen Auflagen (z. B. Kapitel 5 der überarbeiteten BAIT) oder Controls der ISO/IEC 27001 dahingehende Maßnahmen gefordert, ohne die Begriffe SIEM oder SOC explizit zu nennen. Neben der bloßen Existenz fordern die Auflagen und Controls, eine angemessene Dokumentation sowie einen iterativen Prozess zur Qualitätssicherung.

Eine Herausforderung – ein Tool?

Entgegen vielfach getroffener Annahmen reicht es nicht aus, „mal eben schnell“ eines der zahlreichen SIEM-Produkte am Markt mit dem „Standard Usecases“ und einiger „KI-basierter, funktionaler Erweiterungen“ zu installieren und die generierten Informationen „einfach abzuarbeiten“. Die individuelle Anwendung spezifischer Usecases sollte angepasst an die individuellen Risiken, Anforderungen und Ziele der Organisation und Branche erfolgten und ebenfalls einer stetigen Qualitätssicherung unterliegen. Die entsprechenden Weichen dafür sollten vor der Implementierung von Tools und Services gestellt, der zeitliche und damit auch finanzielle Aufwand nicht unterschätzt werden.

Bedrohungs- und risiko-orientiertes Vorgehen

MITRE stellt mit dem ATTACK-Navigator ein Online-Tool zur Verfügung, das einfachere Bedrohungen bis hin zu Advanced Persistant Threats (APTs) gegen die Bausteine des ATTACK-Frameworks mappt. Letzteres hat sich in den vergangenen Jahren zu einer Art Standard bei der bedrohungsorientierten Ausrichtung der Informationssicherheit entwickelt, das auch konkrete Hinweise zu Detektionsmechanismen und Mitigation liefert.

Das risiko- und bedrohungsorientierte Anwenden auf die spezifischen Ziele der Organisation und die Betrachtung der individuellen Service- und Systemlandschaft stellen einen nicht zu unterschätzenden Aufwand dar, selbst in kleinen und mittleren Unternehmen. Aufgrund der daraus resultierenden Komplexität und dem, laut übereinstimmenden Informationen aus Wirtschaftsverbänden und Politik, wachsenden „Fachkräftemangel“ gehen Organisationen verstärkt dazu über, entsprechende Fähigkeiten von Managed Security Service Providern (MSSP) komplett oder in Teilen zu beziehen.

Pros und Cons

Es gibt eine Vielzahl an Pros and Cons in Bezug auf die Auslagerung von Information-Security-Services, hier ein Auszug:

Pros einer Auslagerung

  • Mögliches, kurzfristiges Einsparpotential. Interne SIEM/SOC-Implementierung und Betrieb bedürfen den massiven Einsatz von Zeit- und Finanzressourcen. Jede SOC-Rolle muss 5-fach besetzt werden. [*]
  • Zurückgreifen auf vorhandenes, nachweislich ausgebildetes und qualifiziertes Personal 24x7x365 ab Tag 1 der Leistungserbringung
  • Vorhandene Skalierungsmodelle und Flexibilität nutzen
  • Existierende Vernetzung mit (anderen) CERTs, Rascher Zugriff auf aktuelle TI-Feeds, IoCs, …
  • Initiale und fortwährende Diskussions- und Abstimmungsrunden bez. Schichtdienst, Schichtplänen und Zulagen können umgangen werden
  • Bauliche Voraussetzungen (Sicherheitsschleusen, Arbeitsplatzverordnungskonforme Infrastruktur, …) vorhanden
  • Professionalität im Umgang mit Stress
  • Technologische Unabhängigkeit
  • Professioneller, effektiver und effizienter Umgang mit allen Arten von Sicherheitsereignissen
  • Tiefgreifende, fortlaufende und branchenspezifische Kenntnis aktueller ggf. globaler Bedrohungen
  • Fokussierung des Auftraggebers auf sein Kerngeschäft
  • Klare Trennung von Verantwortungen
  • Serviceelemente sind via SLA und KPI schriftlich fixiert und werden qualitätsgesichert
  • Unabhängigkeit vom möglicherweise vorhandenen Silodenken und „politischem Einfluss“ in der Organisation des Auftraggebers

[*]: Annahme: Eine 8x5 SOC-Position entspricht einem Full-Time-Equivalent (FTE), zur Sicherstellung einer 24x7 Abdeckung werden daher ca. 5 FTEs benötigt, die Berechnung im Detail:

  • 8760 Stunden pro Jahr (365 Tage * 24 Stunden)
  • 2080 Arbeitsstunden pro Jahr (52 Wochen * 40 Stunden)
  • 8760/2080 = ca. 4.2 FTEs + geplante und ungeplante Abwesenheiten

Cons einer Auslagerung

  • Mangelnde Kenntnisse des MSSP in der Branche und der individuellen Unternehmenskultur
  • Gaps bei der individuellen Wahrnehmung des Kunden, Wertigkeit wird ggf. auf eine Customer- oder Contract-ID reduziert
  • Stures Anwenden standardisierter Service- und Vorgehensmodelle
  • Gewinnmaximierung steht auf Seiten des MSSP im Vordergrund
  • Mangel an dedizierten Spezialisten, z. B. Fachkräften mit tiefgreifenden Branchenkenntnissen
  • Mangel an „Insiderwissen“ in der Organisation des Auftraggebers
  • Technical Account-Manager je nach Auslastung nicht greifbar
  • Fortwährendes Risiko, dass vertraglich zugesicherte Eigenschaften nicht eingehalten werden (können)
  • Lineare Skalierung der Einsatzfähigkeit bei globalem Vorfall kann nicht zweifelsfrei sichergestellt werden
  • Kein Anreiz für den MSSP, Betriebsabläufe auf Seiten des Auftraggebers zu optimieren
  • Fehlerhafte Kategorisierung von Incidents aufgrund fehlender „interner“ Informationen
  • Mitwirkungs- und Bereitstellungspflichten müssen auf Seiten des Auftraggebers dauerhaft nachweislich erfüllt werden
  • Komplexe und ggf. langwierige Vertragsverhandlungen

Letztendlich verantwortet das Top-Management jeder Organisation die individuell getroffene Entscheidung über den Grad der extern erbrachten Leistungen. Die Erarbeitung von dahingehenden Entscheidungsgrundlagen beruht meist auf einem standardisierten Vorgehen innerhalb jeder Organisation. Ausnahmen, wie beispielsweise das Abweichen von Standard-Prozessen, sowie die Erwartungshaltung des Top-Managements an das Projekt vorab konkretisiert und schriftlich fixiert werden.

Die Teile 2, 3 und 4 der Serie gehen im Detail auf Voraussetzungen auf das risikoorientierte Vorgehen sowie Auswahl eines MSSP und die Implementierung und Qualitätssicherung der Services ein.

Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierter Awareness-Trainings.

(ID:47382328)