:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1 Praxistips zum Outsourcing von Services in der Informationssicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Aufgrund des vielfach ausgesprochenen Fachkräftemangel, der steigender Komplexität oder der Relevanz regulatorischer Auflagen denken viele Organisationen aktiv darüber nach, Information-Security-Services komplett oder in Teilen extern zu beziehen. Diese Serie beleuchtet notwendige Voraussetzung und Fragestellungen auf Seiten des Auftraggebers, liefert Handlungsempfehlungen und Checklisteninhalte für eine Providerauswahl und die Ideen für Phasen nach dem Go-Live.
Cyber-Risiken stehen in der Wahrnehmung bzw. Kategorisierung des World Economy Forum (WEF) nahezu auf einer Ebene mit Naturkatastrophen oder globalen Wirtschaftskonflikten. Diese Risiken können durch Umsetzung von Maßnahmen in der Prävention, aber auch in die Erkennung und Behandlung von Sicherheitsvorfällen reduziert werden. Geeignete Maßnahmen zur Erkennung und Behandlung sind beispielsweise die Implementierung eines Security Information And Event Management (SIEM), sowie die eines Security Operations Centers (SOC).
Darüber hinaus sind, je nach Organisation, in branchenspezifischen, gesetzlichen bzw. regulatorischen Auflagen (z. B. Kapitel 5 der überarbeiteten BAIT) oder Controls der ISO/IEC 27001 dahingehende Maßnahmen gefordert, ohne die Begriffe SIEM oder SOC explizit zu nennen. Neben der bloßen Existenz fordern die Auflagen und Controls, eine angemessene Dokumentation sowie einen iterativen Prozess zur Qualitätssicherung.
Eine Herausforderung – ein Tool?
Entgegen vielfach getroffener Annahmen reicht es nicht aus, „mal eben schnell“ eines der zahlreichen SIEM-Produkte am Markt mit dem „Standard Usecases“ und einiger „KI-basierter, funktionaler Erweiterungen“ zu installieren und die generierten Informationen „einfach abzuarbeiten“. Die individuelle Anwendung spezifischer Usecases sollte angepasst an die individuellen Risiken, Anforderungen und Ziele der Organisation und Branche erfolgten und ebenfalls einer stetigen Qualitätssicherung unterliegen. Die entsprechenden Weichen dafür sollten vor der Implementierung von Tools und Services gestellt, der zeitliche und damit auch finanzielle Aufwand nicht unterschätzt werden.
Bedrohungs- und risiko-orientiertes Vorgehen
MITRE stellt mit dem ATTACK-Navigator ein Online-Tool zur Verfügung, das einfachere Bedrohungen bis hin zu Advanced Persistant Threats (APTs) gegen die Bausteine des ATTACK-Frameworks mappt. Letzteres hat sich in den vergangenen Jahren zu einer Art Standard bei der bedrohungsorientierten Ausrichtung der Informationssicherheit entwickelt, das auch konkrete Hinweise zu Detektionsmechanismen und Mitigation liefert.
Das risiko- und bedrohungsorientierte Anwenden auf die spezifischen Ziele der Organisation und die Betrachtung der individuellen Service- und Systemlandschaft stellen einen nicht zu unterschätzenden Aufwand dar, selbst in kleinen und mittleren Unternehmen. Aufgrund der daraus resultierenden Komplexität und dem, laut übereinstimmenden Informationen aus Wirtschaftsverbänden und Politik, wachsenden „Fachkräftemangel“ gehen Organisationen verstärkt dazu über, entsprechende Fähigkeiten von Managed Security Service Providern (MSSP) komplett oder in Teilen zu beziehen.
Pros und Cons
Es gibt eine Vielzahl an Pros and Cons in Bezug auf die Auslagerung von Information-Security-Services, hier ein Auszug:
Pros einer Auslagerung
- Mögliches, kurzfristiges Einsparpotential. Interne SIEM/SOC-Implementierung und Betrieb bedürfen den massiven Einsatz von Zeit- und Finanzressourcen. Jede SOC-Rolle muss 5-fach besetzt werden. [*]
- Zurückgreifen auf vorhandenes, nachweislich ausgebildetes und qualifiziertes Personal 24x7x365 ab Tag 1 der Leistungserbringung
- Vorhandene Skalierungsmodelle und Flexibilität nutzen
- Existierende Vernetzung mit (anderen) CERTs, Rascher Zugriff auf aktuelle TI-Feeds, IoCs, …
- Initiale und fortwährende Diskussions- und Abstimmungsrunden bez. Schichtdienst, Schichtplänen und Zulagen können umgangen werden
- Bauliche Voraussetzungen (Sicherheitsschleusen, Arbeitsplatzverordnungskonforme Infrastruktur, …) vorhanden
- Professionalität im Umgang mit Stress
- Technologische Unabhängigkeit
- Professioneller, effektiver und effizienter Umgang mit allen Arten von Sicherheitsereignissen
- Tiefgreifende, fortlaufende und branchenspezifische Kenntnis aktueller ggf. globaler Bedrohungen
- Fokussierung des Auftraggebers auf sein Kerngeschäft
- Klare Trennung von Verantwortungen
- Serviceelemente sind via SLA und KPI schriftlich fixiert und werden qualitätsgesichert
- Unabhängigkeit vom möglicherweise vorhandenen Silodenken und „politischem Einfluss“ in der Organisation des Auftraggebers
[*]: Annahme: Eine 8x5 SOC-Position entspricht einem Full-Time-Equivalent (FTE), zur Sicherstellung einer 24x7 Abdeckung werden daher ca. 5 FTEs benötigt, die Berechnung im Detail:
- 8760 Stunden pro Jahr (365 Tage * 24 Stunden)
- 2080 Arbeitsstunden pro Jahr (52 Wochen * 40 Stunden)
- 8760/2080 = ca. 4.2 FTEs + geplante und ungeplante Abwesenheiten
Cons einer Auslagerung
- Mangelnde Kenntnisse des MSSP in der Branche und der individuellen Unternehmenskultur
- Gaps bei der individuellen Wahrnehmung des Kunden, Wertigkeit wird ggf. auf eine Customer- oder Contract-ID reduziert
- Stures Anwenden standardisierter Service- und Vorgehensmodelle
- Gewinnmaximierung steht auf Seiten des MSSP im Vordergrund
- Mangel an dedizierten Spezialisten, z. B. Fachkräften mit tiefgreifenden Branchenkenntnissen
- Mangel an „Insiderwissen“ in der Organisation des Auftraggebers
- Technical Account-Manager je nach Auslastung nicht greifbar
- Fortwährendes Risiko, dass vertraglich zugesicherte Eigenschaften nicht eingehalten werden (können)
- Lineare Skalierung der Einsatzfähigkeit bei globalem Vorfall kann nicht zweifelsfrei sichergestellt werden
- Kein Anreiz für den MSSP, Betriebsabläufe auf Seiten des Auftraggebers zu optimieren
- Fehlerhafte Kategorisierung von Incidents aufgrund fehlender „interner“ Informationen
- Mitwirkungs- und Bereitstellungspflichten müssen auf Seiten des Auftraggebers dauerhaft nachweislich erfüllt werden
- Komplexe und ggf. langwierige Vertragsverhandlungen
Letztendlich verantwortet das Top-Management jeder Organisation die individuell getroffene Entscheidung über den Grad der extern erbrachten Leistungen. Die Erarbeitung von dahingehenden Entscheidungsgrundlagen beruht meist auf einem standardisierten Vorgehen innerhalb jeder Organisation. Ausnahmen, wie beispielsweise das Abweichen von Standard-Prozessen, sowie die Erwartungshaltung des Top-Managements an das Projekt vorab konkretisiert und schriftlich fixiert werden.
Die Teile 2, 3 und 4 der Serie gehen im Detail auf Voraussetzungen auf das risikoorientierte Vorgehen sowie Auswahl eines MSSP und die Implementierung und Qualitätssicherung der Services ein.
:quality(80)/images.vogel.de/vogelonline/bdb/1827200/1827242/original.jpg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten. (Olivier Le Moal - adobe.stock.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
:quality(80)/images.vogel.de/vogelonline/bdb/1831300/1831345/original.jpg "Unternehmensrisiken hängen direkt von Verwundbarkeiten, Bedrohungen und der Bewertung der zugrundeliegenden Assets ab. Alle diese Elemente müssen aktiv gemanged werden. (ilkercelik - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
:quality(80)/images.vogel.de/vogelonline/bdb/1833200/1833274/original.jpg "Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP. (everythingpossible - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
:quality(80)/images.vogel.de/vogelonline/bdb/1834000/1834097/original.jpg "Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen für das Outsourcing von Security-Services, müssen aber an die individuellen Ziele des Unternehmens angepasst werden. (putilov_denis - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4
Implementierung und GoLive eines Managed SIEM oder SOC
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierter Awareness-Trainings.
(ID:47382328)