:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Unternehmen und Security Operations Center Welche Vorteile hat ein SOC?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Es ist längst mehr als eine gefühlte Wahrheit: Zahlreiche Studien zeigen, dass Unternehmen nicht nur immer häufiger angegriffen werden, sondern auch dass sich die Cyberbedrohungen schwerwiegender und die Schäden gravierender darstellen. Gleichzeitig herrscht ein akuter Fachkräftemangel in der gesamten IT, besonders aber bei IT-Sicherheitsspezialisten. Ein Security Operations Center scheint hier ein idealer Ausweg zu sein.
Durch ein SOC profitieren Unternehmen sofort von der (externen) Expertise und stellen eine 24/7-Überwachung ihrer Systeme sicher – alles im gewünschten Leistungsumfang und wirtschaftlich kalkulierbar. Entsprechend breit ist mittlerweile das Angebot an Dienstleistern. Welche Punkte sind bei der Entscheidung für ein SOC wichtig und welche (weiteren) Vorteile bietet das Modell?
:quality(80)/images.vogel.de/vogelonline/bdb/1675000/1675018/original.jpg "Das neue eBook „SOC für den Mittelstand“ zeigt, wie Unternehmen aus dem Mittelstand an die Vorteile eines SOC kommen können, ohne selbst eines zu betreiben. (d1sk - stock.adobe.com)")
Neues eBook „SOC für den Mittelstand“
Alternativen zum eigenen Security Operations Center
Wie arbeitet ein SOC?
Man kann sich ein SOC wie eine Art Software as a Service (SaaS) vorstellen, da es wie das Software-Vertriebsmodell in der Cloud als Abonnementdienst betrieben wird. Auf diese Weise stellt es dem Unternehmen rund um die Uhr eine zusätzliche Schicht aus „gemietetem“ Fachwissen zur Verfügung und überwacht kontinuierlich die entsprechenden Netzwerke und Endpunkte. Wird eine Schwachstelle oder ein Angriff entdeckt, kontaktiert das SOC das IT-Team vor Ort, um gemeinsam auf das Problem zu reagieren und die Ursache zu untersuchen und zu bekämpfen.
Die verschiedenen SOC-Anbieter unterscheiden sich in den angebotenen Produkten und Dienstleistungen teilweise erheblich. Es gibt jedoch einen Kernbereich von operativen Funktionen, die ein SOC erfüllen muss, um einen Mehrwert für ein Unternehmen zu schaffen. Im Wesentlichen sind dies sieben Kompetenzen:
- 1. Bestandsaufnahme: Es ist schon fast eine Binsenweisheit, die aber gar nicht oft genug wiederholt werden kann: Man kann nur das schützen, was man kennt. Insofern muss auch das SOC genau wissen, welche Ressourcen überhaupt geschützt werden müssen. Eine Bestandsaufnahme sollte entsprechend jeden Server, Router, jede Firewall sowie alle anderen aktiv eingesetzten Cybersicherheitstools identifizieren.
- 2. Logging: Daten bilden die Grundlage für einen effektiven Betrieb des SOC und Protokolle sind hierbei die wichtigste Informationsquelle zur Beurteilung der Netzwerkaktivitäten. Ein SOC sollte direkte Feeds aus Unternehmenssystemen einrichten, damit die Daten in Echtzeit erfasst werden. Die Unmenge an so generierten Daten ist manuell nicht zu bearbeiten, weshalb Log-Scanning-Tools, die auf Algorithmen der künstlichen Intelligenz basieren, für SOCs unerlässlich sind.
- 3. Präventive Wartung: Im besten Fall ist das SOC in der Lage, Cyberangriffe zu verhindern, indem es proaktiv agiert. Dazu gehören die Installation von Sicherheitspatches und die regelmäßige Anpassung von Firewall-Richtlinien. Da einige Cyberangriffe als Insider-Bedrohungen beginnen, muss ein SOC auch innerhalb des Unternehmens nach Risiken suchen.
- 4. Kontinuierliche Überwachung: Um auf einen Cybersicherheitsvorfall reagieren zu können, muss das SOC bei seinen Überwachungspraktiken stets wachsam sein. Ein paar Minuten können hier den Unterschied zwischen dem Blockieren eines Angriffs und dem Herunterfahren eines ganzen Systems oder einer Website ausmachen. SOC-Tools führen Scans im gesamten Unternehmensnetzwerk durch, um potenzielle Bedrohungen und andere verdächtige Aktivitäten unmittelbar zu identifizieren und bekämpfen zu können.
- 5. Alarmmanagement: Automatisierte Systeme sind hervorragend darin, Muster zu finden und Skripte zu befolgen. Wenn es aber darum geht, automatisierte Warnmeldungen zu analysieren und nach Schweregrad und Priorität zu bewerten, kommt es auf das „menschliche Element“ und die Expertise der SOC-Mitarbeiter an. Diese müssen überprüfen, ob eine Warnung legitim oder nur ein False Positive ist, und wissen, welche Maßnahmen sie ergreifen müssen.
- 6. Ursachenanalyse: Nachdem ein Vorfall eingetreten und behoben ist, beginnt der Job des SOC gerade erst: Cybersicherheitsexperten analysieren die Ursache des Problems und diagnostizieren, warum es überhaupt aufgetreten ist. Dies mündet in einen Prozess der kontinuierlichen Verbesserung, bei dem Sicherheitswerkzeuge und -regeln modifiziert werden, um zukünftige Ereignisse desselben Vorfalls zu verhindern.
- 7. Compliance-Audits: Unternehmen wollen nicht nur den Schutz ihrer Daten sicherstellen, sondern auch in Zeiten der DSGVO und anderer gesetzlicher Vorgaben, dass diese gesetzeskonform verwaltet werden. Entsprechend müssen SOC-Anbieter regelmäßig Audits durchführen, um ihre Einhaltung in den Regionen, in denen sie tätig sind, zu bestätigen.
:quality(80)/images.vogel.de/vogelonline/bdb/1592300/1592320/original.jpg "Der Exabeam-Report „State of the SOC“ identifiziert sich ändernde Verantwortlichkeiten als eine der dringlichsten Herausforderungen für SOC-Manager. (gemeinfrei)")
Exabeam „State of the SOC“ Report
Fehlende Transparenz ist ein Sicherheitsrisiko
Welche Vorteile bietet ein SOC?
Durch die Digitalisierung wurde Cybersicherheit für (nahezu) jedes Unternehmen aus jeder Branche zur ernsten Herausforderung und sollte entsprechend eine Top-Priorität darstellen. Das SOC-Modell bietet hier in vielen Situationen einige Vorteile. Gleichwohl sollte den Sicherheitsverantwortlichen des Unternehmens immer auch bewusst sein, dass durch das Outsourcing ihrer IT-Sicherheitsaktivitäten stets auch ein gewisses Risiko einhergeht.
Finanzielle Vorteile
Für die meisten Unternehmen ist das Gehalt der Mitarbeiter der größte Posten in ihrem Budget. Die Beschäftigung eines ganzen Teams von (teuren, weil gefragten) Cybersicherheitsexperten erfordert eine gewisse Vorlaufzeit und kontinuierliche Investitionen. Setzt man auf das SOC-Modell, bezahlt man einen bestimmten, kalkulierbaren Betrag für eine konkrete Dienstleistung mit klaren Bedingungen und weniger Haftung.
Minimierung von Ausfallzeiten
Wenn eine Website oder Anwendung ausfällt, bedeutet das oft Umsatzeinbußen oder einen negativen Einfluss auf den Ruf eines Unternehmens. Die Verwendung eines SOC kann diese Auswirkungen minimieren und die Zeit bis zur Behebung von Vorfällen wesentlich verkürzen. Selbst die zuverlässigsten Tools sind nicht perfekt, so dass die Einrichtung eines Security Operations Center die Redundanz im Netzwerk erhöht.
Erfahrung und Expertise
SOCs sind seit etlichen Jahren etabliert und konnten so bewährte Verfahren entwickeln. Dieses Know-how steht den Kunden sofort zur Verfügung, während der Aufbau interner Kompetenzen zeitaufwändig und kostenintensiv sein kann. Das interne IT-Team hat in aller Regel andere Prioritäten und Kernkompetenzen, so dass die Auslagerung von Cybersicherheitsaktivitäten an ein SOC zudem positiv zur Steigerung von Produktivität und Effizienz beitragen kann.
Automatisierung
SOC-Teams müssen so effizient wie möglich sein. Das bedeutet, dass sie nicht die ganze Zeit damit verschwenden können, Log-Einträge zu lesen und den Traffic zu beobachten. Stattdessen setzen sie hochentwickelte Automatisierungs-Tools auf Basis maschinellen Lernens ein, die Muster identifizieren und sie auf die wesentlichen Probleme hinweisen.
Ständige Entwicklung
Cyberkriminelle sind immer auf der Suche nach neuen Angriffsformen, die Unternehmen und Einzelpersonen nicht erwarten. Um ihnen immer einen Schritt voraus zu sein, müssen die SOC-Teams für eine wirkungsvolle Abwehr den gleichen kreativen Ansatz verfolgen. So sind Penetrations- und Chaostests wichtige Aktivitäten des Security Operations Center, da sie die Teams zwingen, nach Schwachstellen zu suchen, die an unerwarteten Orten vorhanden sind.
Es spricht also sehr vieles für den Einsatz eines SOC. Selbstverständlich muss dieses nicht zwangsläufig extern betrieben werden. Unternehmen sind durchaus in der Lage, auch ein internes Security Operations Center aufzubauen. Wichtig ist nur, dass dessen Mitglieder sich ausschließlich rund um die Uhr mit IT-Sicherheit auseinandersetzen und nicht mit den alltäglichen Belangen einer (ebenso wichtigen) IT-Abteilung beschäftigen müssen. Cybersecurity ist nämlich längst zu einem Fulltime-Job geworden und kann nicht mehr nebenbei gewährleistet werden.
Über den Autor: Klaus Nemelka ist Technical Evangelist bei Varonis Systems.
(ID:46378834)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882821/original.jpg "Mit der stetig steigenden Zahl von Sicherheitsbedrohungen und -vorfällen steigt auch die Notwendigkeit bei Unternehmen und Organisationen, die eigenen Informationen zu schützen. (Ar_TH - stock.adobe.com)")