Suchen

Stratgien zum Aufgbau eines Security Operations Center Schlüsselfaktoren für das SOC der Zukunft

Autor / Redakteur: Mimecast Cyber Resilience Think Tank / Peter Schmitz

Das SOC als Verteidigungseinheit mit dem Ziel der Erkennung und Abwehr von Cyberangriffen sowie der Sicherstellung und Wiederaufnahme des Betriebs nach solchen Angriffen, muss mit den immer raffinierteren Techniken der Angreifer schritthalten können. Der Grundstein für ein erfolgreiches Sicherheitskonzept von morgen muss deshalb bereits heute gelegt werden, um die Zukunftssicherheit der firmeneigenen Cyberabwehr gewährleisten zu können.

Firmen zum Thema

Entscheidet sich ein Unternehmen für den Aufbau eines SOC gilt es zunächst einige Schlüsselfaktotren zu beachten.
Entscheidet sich ein Unternehmen für den Aufbau eines SOC gilt es zunächst einige Schlüsselfaktotren zu beachten.
(Bild: gemeinfrei / Pixabay )

Der Erfolg eines Security Operations Centers (SOC) basiert auf vier Komponenten: Technologien, Prozesse sowie gut geschulte und motivierte Mitarbeiter. Der vierte Punkt befasst sich mit der Frage, ob es ratsam ist, den Betrieb seines SOC an einen Dienstleister auszulagern. Im Bericht des Mimecast Cyber Resilience Think Tanks (CR Think Tank) mit dem Titel „Transforming the SOC: Building Tomorrow’s Security Operations, Today“ beschreibt das Problem aus der Sicht führender Sicherheitsspezialisten, die bestrebt sind, Unternehmen und Organisationen bei ihrem IT-Sicherheitskonzept zu unterstützen. Ziel soll es sein, nach Abwägung des bevorzugten Modus Operandi – je nachdem, ob man das SOC vor Ort betreibt oder auslagert – die Schlüsselfaktoren zu identifizieren, die für den Aufbau eines erfolgreichen Modells für Organisationen jeder Größe entscheidend sind.

Die vier Säulen einer erfolgreichen Strategie

1. Säule: Die menschliche Komponente

Der Fachkräftemangel im Bereich der Cybersicherheit liegt weltweit bei rund 4 Millionen – so die Experten des CR Think Tanks. Dementsprechend erfordert die hohe Marktdynamik einen Experten-Zuwachs von 145 Prozent, will man die Defizite des Arbeitsmarkts ausgleichen. An Schulungen und Trainings für das gesamte IT Security-Team führt daher kein Weg vorbei. Hinzu kommt, dass Analysten in sämtlichen Bereichen überlastet sind, was zu hohen Personalfluktuationen führen kann.

Hier macht es kaum einen Unterschied, ob das SOC hauseigen betrieben wird oder ob sich ein Managed Service Provider dessen annimmt – denn auch sie leiden unter dem Mangel an qualifizierten IT-Fachkräften. Darüber hinaus können Unternehmen, die den Betrieb ihres SOC auslagern, den Überblick über den Zustand ihrer Sicherheitsstrategie und die verfügbaren Ressourcen verlieren. „Selbst wenn Sie jemanden dafür bezahlen, dass er sich Ihre Probleme ansieht, sieht er nicht unbedingt das große Ganze, so wie es Ihr eigenes Personal tun könnten“, meint etwa Dr. Sam Small, Chief Security Officer bei ZeroFOX.

Es sollte deshalb immer angestrebt werden, gut ausgebildete Fachkräfte im eigenen Unternehmen zu beschäftigen und die gesamte Belegschaft in regelmäßigen Abständen bezüglich der aktuellen Bedrohungslage zu schulen.

2. Säule: Technologie & Automatisierung

Ohne die Unterstützung eines erweiterten Lösungsspektrums oder künstlicher Intelligenz ist es kaum vorstellbar, wie IT-Sicherheitsexperten ihre Arbeit, angesichts rapide skalierender Datenmengen und dem ständigen Zuwachs an Endgeräten im Firmennetz, noch bewältigen sollen. Und in der Tat ist ein gewisser Grad an Automatisierung im Großen und Ganzen dafür verantwortlich, dass die Produktivität erhöht und die durchschnittliche Zeit der Problembehebung (Mean-Time-to-Resolution, MTTR) reduziert werden kann.

Allerdings, so meinen die Experten, sei die Automatisierung kein Selbstzweck und daher mit Bedacht einzusetzen. Wer sich nicht die Mühe mache, die Schwachstellen zu identifizieren und auszumerzen, sondern die Automatisierung als Allheilmittel zurate ziehe, werde schlichtweg ausrechenbar und somit anfällig für Cyberangriffe.

3. Säule: Prozesse & Effizienz

Heutzutage sind sich die Spezialisten weitestgehend einig darüber, dass ein Mix aus Analytikern und Automatisierungs- sowie Orchestrierungswerkzeugen die höchstmögliche Effizienz in einem SOC schaffen – unabhängig davon, ob es extern oder intern betrieben wird. Viele Unternehmen gehen noch einen Schritt weiter und fördern die physische Nähe der unterschiedlichen Teams, um die Kommunikation untereinander zu fördern und Informationssilos zu vermeiden. Auf diese Weise kann auch das Ticketing-System überdacht werden. Allerdings, da sind sich die Experten einig, sei eine strukturelle und operative Trennung der Teams unbedingt vonnöten.

4. Säule: Intern vs. Extern

Je nach den individuellen geschäftlichen Anforderungen eines Unternehmens kann die Auslagerung eines SOC an einen Managed Services Provider mehr Nachteile als Vorteile mit sich bringen. So gehen Fehlalarme oder Lücken in der Berichterstattung in Bezug auf potenzielle Bedrohungen nicht nur zu Lasten des Vertrauens – auch die mangelnde Transparenz in Bezug auf bestehende Sicherheitslücken und weitere Schwachstellen kann für Unternehmen weitreichende Folgen haben. Erhält der Managed Services Provider hingegen nicht die volle Unterstützung des Unternehmens – etwa in Bezug auf wichtige Daten und Protokolle – kann der Erhalt der Betriebsfähigkeit nicht garantiert werden.

Mit acht Tipps zum Erfolg

  • 1. Die Ziele kennen: Das SOC-Team sollte sich mit der Führungsetage in Bezug auf die Ziele des Unternehmens und die verfolgte Cybersicherheitsstrategie abstimmen.
  • 2. Barrierefrei denken: Bevor wichtige Technologieentscheidungen getroffen werden, sollten alle Interessenvertreter an einen Tisch geholt werden.
  • 3. Gleichschritt halten: Die Teams, die sich um das operative Geschäft kümmern und jene, die für die Sicherheit verantwortlich sind, sollten in engem Austausch stehen, sodass weder die Sicherheit noch die Produktivität leidet.
  • 4. Das operative Geschäft von der Security entkoppeln: Gleichzeitig ist es allerdings wichtig, dass operative Probleme und Sicherheitsbelange sich nicht überlagern.
  • 5. Erfolgskriterien definieren: Erhält das SOC die adäquaten Erfolgsparameter, kann es darauf hinarbeiten. Für Unternehmen ist der Erfolg somit messbar.
  • 6. Der Aufbau von Know-how: Sicherheitsanalysten sollten dazu ermutigt werden, ihre Erfahrungswerte kontinuierlich zu protokollieren und darauf aufbauend neue Maßnahmen zu entwickeln.
  • 7. Die Daten arbeiten lassen: Dem SOC sollten alle Daten zugänglich sein, die es für die Umsetzung einer erfolgreichen IT-Sicherheitsstrategie benötigt.
  • 8. Eine echte Partnerschaft aufbauen: Zieht es ein Unternehmen vor, das SOC vollständig auszulagern, sollte es eng mit dem Partner zusammenarbeiten und sicherstellen dass der externe Anbieter auf die Geschäftsprozesse abgestimmt ist. Informationslücken und mangelnde Transparenz schaden den gemeinsamen Zielen.

(ID:46849755)