SOC: Gut gekauft, schlägt schlecht gebaut

Ein internes Security Operations Center aufzubauen, ist weder einfach noch günstig. Aber auch ein externes SOC bringt Herausforderungen mit sich, sagt Jochen Koehler von Ontinue.

Die Angriffsfläche für Angreifer vergrößert sich ständig. Doch Hybrid Work, Edge- und IoT-Szenarien sowie die Nutzung von Cloud-Services verringern die Visibilität der IT-Infrastruktur. Administratoren schaffen es daher kaum noch, für ausreichenden Schutz zu sorgen – frei nach dem Motto: „Du kannst nicht sichern, was du nicht siehst“.

Besonders KMU reagieren darauf häufig mit Investitionen in neue Cybersecurity-Software. Die oftmals nicht aufeinander abgestimmten schaffen ironischerweise mehr Lücken. Denn die wenigsten Tools unterschiedlicher Hersteller sind miteinander kompatibel. Im Gegenteil: Sie können sich gegenseitig behindern. Da auch die Personaldecke dünn ist, rücken als Alternative zu Tools dedizierte Security Operations Center (SOC) in den Fokus. 

MXDR versus SOC-Eigenbau

Die Übersicht über die Bestandteile eines SOCs führt allerdings zur Frage, wie insbesondere KMUs die Aufgaben personell abdecken sollen, denn selbst Großkonzerne stoßen damit an ihere Grenzen. Ein funktionales SOC benötigt mindestens zehn Experten, die ein immenses Budget verschlingen, und zudem rund um die Uhr einsatzbereit sein müssen. Eine Alternative sind Managed Extended Detection and Response (MXDR)-Services, die ein voll funktionsfähiges SOC-Team bereitstellen. Die Rund-um-die-Uhr-Betreuung gewährleisten sie durch automatisierte Workflows und Schichtdienst. 

MXDR-Anbieter erhalten durch ihren Nutzerstamm tiefere Einblicke in die Angriffsvektoren aller vergleichbaren Unternehmen. So können sie nach einem Angriff die angepassten Schutzmaßnahmen auf ihre Nutzer skalieren. Und auch finanziell lohnt sich die Externalisierung an einen MXDR-Anbieter, denn transparente Preismodelle und flexible Vertragslaufzeiten erleichtern die Budgetplanung. Unternehmen wissen vom ersten Tag der Zusammenarbeit an, welche Kosten für die Arbeit der SOC-Teams und für Softwarelizenzen auf sie zukommen und in welchem Zeitrahmen, sie diese einplanen müssen.

Implementierung von Endpoint Detection and Response-Plattform

Bevor die MXDR-Provider ihre Arbeit aufnehmen können, müssen KMUs ein wenig Vorarbeit leisten. Dazu gehört die Implementierung einer Endpoint Detection and Response (EDR)-Plattform, die für die Sichtbarkeit aller Clients des Unternehmens sorgt. Eine SIEM (Security Information and Event Management)-Plattform weitet diese Visibilität auf alle Hardware-, Software-, Netzwerk- und Cloud-Komponenten des Unternehmens aus und sammelt, analysiert und visualisiert Metriken, die das SOC für seine Arbeit benötigt. Auf dieser Softwareinfrastruktur setzen die eigenen XDR-, KI- und Automatisierungs-Tools des Service-Providers auf.

Ein Basisschutz ist innerhalb von ein bis zwei Wochen zu realisieren, innerhalb von drei Wochen sollte die Eingewöhnungsphase enden. Zum Vergleich: Selbst wenn KMUs die Kosten für ein eigenes Security Operations Center sowie die nötige Manpower haben, benötigen sie Monate, bis alle Workflows, Prozesse, Softwaresysteme und Teams betriebsbereit sind. Sind alle Workflows etabliert sowie SOC und die KMU-interne IT-Abteilung eingespielt, folgt der nächste Schritt: Das Verlassen der reinen Detection-Response-Phase. Dazu müssen die Threat-Hunting- und Threat-Intelligence die Präventionsmöglichkeiten mit Hilfe der internen IT-Abteilung und deren Expertise ausbauen.

KI arbeitet „benign positives“ ab

Auch künstliche Intelligenz wird in Sachen Cybersicherheit eine immer größere Rolle spielen: Tools wie ChatGPT können Systeme und Code-Basen auf Schwachstellen hin prüfen. Bei einem Sicherheitsvorfall wird mittels künstlicher Intelligenz das Verhalten von Analysten simuliert. So können bei einer großen Anzahl an Incidents viele manuelle Schritte ersetzt werden, indem die KI verschiedene Abwehrszenarien durchspielt und dabei die lokalen Gegebenheiten eines Kunden mit einbezieht. Die KI hilft dabei, sogenannte „benign positives“ unter der Haube abzuarbeiten – also tatsächliche Sicherheitsvorfälle, die aber in einem spezifischen Setup keine Gefahr darstellen. Auf diese Weise sparen sich menschliche Analysten unnötige Arbeit, steigern somit ihre Effizienz und können sich auf die wirklich kniffligen Angriffsszenarien fokussieren.    

Jochen Koehler

ist VP EMEA Sales bei Ontinue.