:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1 Praxistips zum Outsourcing von Services in der Informationssicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Aufgrund des vielfach ausgesprochenen Fachkräftemangel, der steigender Komplexität oder der Relevanz regulatorischer Auflagen denken viele Organisationen aktiv darüber nach, Information-Security-Services komplett oder in Teilen extern zu beziehen. Diese Serie beleuchtet notwendige Voraussetzung und Fragestellungen auf Seiten des Auftraggebers, liefert Handlungsempfehlungen und Checklisteninhalte für eine Providerauswahl und die Ideen für Phasen nach dem Go-Live.
Cyber-Risiken stehen in der Wahrnehmung bzw. Kategorisierung des World Economy Forum (WEF) nahezu auf einer Ebene mit Naturkatastrophen oder globalen Wirtschaftskonflikten. Diese Risiken können durch Umsetzung von Maßnahmen in der Prävention, aber auch in die Erkennung und Behandlung von Sicherheitsvorfällen reduziert werden. Geeignete Maßnahmen zur Erkennung und Behandlung sind beispielsweise die Implementierung eines Security Information And Event Management (SIEM), sowie die eines Security Operations Centers (SOC).
Darüber hinaus sind, je nach Organisation, in branchenspezifischen, gesetzlichen bzw. regulatorischen Auflagen (z. B. Kapitel 5 der überarbeiteten BAIT) oder Controls der ISO/IEC 27001 dahingehende Maßnahmen gefordert, ohne die Begriffe SIEM oder SOC explizit zu nennen. Neben der bloßen Existenz fordern die Auflagen und Controls, eine angemessene Dokumentation sowie einen iterativen Prozess zur Qualitätssicherung.
Eine Herausforderung – ein Tool?
Entgegen vielfach getroffener Annahmen reicht es nicht aus, „mal eben schnell“ eines der zahlreichen SIEM-Produkte am Markt mit dem „Standard Usecases“ und einiger „KI-basierter, funktionaler Erweiterungen“ zu installieren und die generierten Informationen „einfach abzuarbeiten“. Die individuelle Anwendung spezifischer Usecases sollte angepasst an die individuellen Risiken, Anforderungen und Ziele der Organisation und Branche erfolgten und ebenfalls einer stetigen Qualitätssicherung unterliegen. Die entsprechenden Weichen dafür sollten vor der Implementierung von Tools und Services gestellt, der zeitliche und damit auch finanzielle Aufwand nicht unterschätzt werden.
Bedrohungs- und risiko-orientiertes Vorgehen
MITRE stellt mit dem ATTACK-Navigator ein Online-Tool zur Verfügung, das einfachere Bedrohungen bis hin zu Advanced Persistant Threats (APTs) gegen die Bausteine des ATTACK-Frameworks mappt. Letzteres hat sich in den vergangenen Jahren zu einer Art Standard bei der bedrohungsorientierten Ausrichtung der Informationssicherheit entwickelt, das auch konkrete Hinweise zu Detektionsmechanismen und Mitigation liefert.
Das risiko- und bedrohungsorientierte Anwenden auf die spezifischen Ziele der Organisation und die Betrachtung der individuellen Service- und Systemlandschaft stellen einen nicht zu unterschätzenden Aufwand dar, selbst in kleinen und mittleren Unternehmen. Aufgrund der daraus resultierenden Komplexität und dem, laut übereinstimmenden Informationen aus Wirtschaftsverbänden und Politik, wachsenden „Fachkräftemangel“ gehen Organisationen verstärkt dazu über, entsprechende Fähigkeiten von Managed Security Service Providern (MSSP) komplett oder in Teilen zu beziehen.
Pros und Cons
Es gibt eine Vielzahl an Pros and Cons in Bezug auf die Auslagerung von Information-Security-Services, hier ein Auszug:
Pros einer Auslagerung
- Mögliches, kurzfristiges Einsparpotential. Interne SIEM/SOC-Implementierung und Betrieb bedürfen den massiven Einsatz von Zeit- und Finanzressourcen. Jede SOC-Rolle muss 5-fach besetzt werden. [*]
- Zurückgreifen auf vorhandenes, nachweislich ausgebildetes und qualifiziertes Personal 24x7x365 ab Tag 1 der Leistungserbringung
- Vorhandene Skalierungsmodelle und Flexibilität nutzen
- Existierende Vernetzung mit (anderen) CERTs, Rascher Zugriff auf aktuelle TI-Feeds, IoCs, …
- Initiale und fortwährende Diskussions- und Abstimmungsrunden bez. Schichtdienst, Schichtplänen und Zulagen können umgangen werden
- Bauliche Voraussetzungen (Sicherheitsschleusen, Arbeitsplatzverordnungskonforme Infrastruktur, …) vorhanden
- Professionalität im Umgang mit Stress
- Technologische Unabhängigkeit
- Professioneller, effektiver und effizienter Umgang mit allen Arten von Sicherheitsereignissen
- Tiefgreifende, fortlaufende und branchenspezifische Kenntnis aktueller ggf. globaler Bedrohungen
- Fokussierung des Auftraggebers auf sein Kerngeschäft
- Klare Trennung von Verantwortungen
- Serviceelemente sind via SLA und KPI schriftlich fixiert und werden qualitätsgesichert
- Unabhängigkeit vom möglicherweise vorhandenen Silodenken und „politischem Einfluss“ in der Organisation des Auftraggebers
[*]: Annahme: Eine 8x5 SOC-Position entspricht einem Full-Time-Equivalent (FTE), zur Sicherstellung einer 24x7 Abdeckung werden daher ca. 5 FTEs benötigt, die Berechnung im Detail:
- 8760 Stunden pro Jahr (365 Tage * 24 Stunden)
- 2080 Arbeitsstunden pro Jahr (52 Wochen * 40 Stunden)
- 8760/2080 = ca. 4.2 FTEs + geplante und ungeplante Abwesenheiten
Cons einer Auslagerung
- Mangelnde Kenntnisse des MSSP in der Branche und der individuellen Unternehmenskultur
- Gaps bei der individuellen Wahrnehmung des Kunden, Wertigkeit wird ggf. auf eine Customer- oder Contract-ID reduziert
- Stures Anwenden standardisierter Service- und Vorgehensmodelle
- Gewinnmaximierung steht auf Seiten des MSSP im Vordergrund
- Mangel an dedizierten Spezialisten, z. B. Fachkräften mit tiefgreifenden Branchenkenntnissen
- Mangel an „Insiderwissen“ in der Organisation des Auftraggebers
- Technical Account-Manager je nach Auslastung nicht greifbar
- Fortwährendes Risiko, dass vertraglich zugesicherte Eigenschaften nicht eingehalten werden (können)
- Lineare Skalierung der Einsatzfähigkeit bei globalem Vorfall kann nicht zweifelsfrei sichergestellt werden
- Kein Anreiz für den MSSP, Betriebsabläufe auf Seiten des Auftraggebers zu optimieren
- Fehlerhafte Kategorisierung von Incidents aufgrund fehlender „interner“ Informationen
- Mitwirkungs- und Bereitstellungspflichten müssen auf Seiten des Auftraggebers dauerhaft nachweislich erfüllt werden
- Komplexe und ggf. langwierige Vertragsverhandlungen
Letztendlich verantwortet das Top-Management jeder Organisation die individuell getroffene Entscheidung über den Grad der extern erbrachten Leistungen. Die Erarbeitung von dahingehenden Entscheidungsgrundlagen beruht meist auf einem standardisierten Vorgehen innerhalb jeder Organisation. Ausnahmen, wie beispielsweise das Abweichen von Standard-Prozessen, sowie die Erwartungshaltung des Top-Managements an das Projekt vorab konkretisiert und schriftlich fixiert werden.
Die Teile 2, 3 und 4 der Serie gehen im Detail auf Voraussetzungen auf das risikoorientierte Vorgehen sowie Auswahl eines MSSP und die Implementierung und Qualitätssicherung der Services ein.
:quality(80)/images.vogel.de/vogelonline/bdb/1827200/1827242/original.jpg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten. (Olivier Le Moal - adobe.stock.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 1
Praxistips zum Outsourcing von Services in der Informationssicherheit
:quality(80)/images.vogel.de/vogelonline/bdb/1831300/1831345/original.jpg "Unternehmensrisiken hängen direkt von Verwundbarkeiten, Bedrohungen und der Bewertung der zugrundeliegenden Assets ab. Alle diese Elemente müssen aktiv gemanged werden. (ilkercelik - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 2
Planung und Umsetzung von Outsourcing
:quality(80)/images.vogel.de/vogelonline/bdb/1833200/1833274/original.jpg "Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP. (everythingpossible - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 3
Den richtigen MSSP finden
:quality(80)/images.vogel.de/vogelonline/bdb/1834000/1834097/original.jpg "Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen für das Outsourcing von Security-Services, müssen aber an die individuellen Ziele des Unternehmens angepasst werden. (putilov_denis - stock.adobe.com)")
Managed SIEM/SOC in einem hybriden Modell – Teil 4
Implementierung und GoLive eines Managed SIEM oder SOC
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierter Awareness-Trainings.
(ID:47382328)
:quality(80)/p7i.vogel.de/wcms/49/cd/49cde6777317f5745a28346224078c2f/0104972538.jpeg "Der Aufbau eines SOC ist mit nicht zu unterschätzenden Aufwänden verbunden. Der Top-Management-Support ist dabei essenziell. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/16/a11649c32af17e3caebfffeaa2946078/0104760279.jpeg "Unternehmen sollten in der Lage sein, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, um die Primary Assets des Unternehmens bestmöglich abzusichern. (Bild: pinkeyes - stock.adobe.com)")