Security Operation Center: Herzstück der Cyber-Verteidigung
Wie ist ein SOC aufgebaut? Wie schützen die Experten IT-Netzwerke? Was geschieht, wenn sie einen Angriff erkennen? Ein Beitrag von Christian Polster.
Die Analysten in einem SOC sind so etwas wie die Sicherheitslotsen für die digitalen Verkehrsströme. Ihre Arbeit gehört inzwischen zu den wichtigsten IT-Aufgaben in Unternehmen und Behörden. Es geht darum, kontinuierlich Informationen zu analysieren, ihre Sicherheitsrelevanz einzuschätzen und zu entscheiden, ob es sich um normale Log-Events handelt oder um Gefahrenmeldungen aus den verschiedenen IT-Systemen. Unabhängig davon, ob das SOC – auch Cyber Defense Center genannt, kurz CDC – intern oder von einem externen Dienstleister, einem Managed Security Service Provider (MSSP), betrieben wird.
Der typische Arbeitstag eines Security-Analysten besteht darin, die Ereignisse auf einer Vielzahl von Bildschirmen genau zu überwachen. Was recht einfach erscheinen mag, ist in Wirklichkeit genau das Gegenteil: Cyberangriffe auf Organisationen finden zwar nicht jeden Tag statt, doch die Bedrohungen sind täglich präsent. Um ernsthafte Bedrohungen zu identifizieren, müssen Millionen, manchmal sogar Milliarden von Sicherheitsdatensätzen („Events“) analysiert werden. Und zwar sowohl automatisch als auch manuell.
Routine kann schädlich sein, Teamarbeit ist wichtig
Der Analyst analysiert die Ergebnisse seines Monitorings, also Schwachstellen und mögliche Gefahren, und meldet sie den Kunden. Ergänzt wird seine Tätigkeit durch den Chief Security Analysten, der mit seiner Expertise besonders bei der Eskalation schwerwiegender, sicherheitsrelevanter Vorfälle zur Seite steht.
Bei solchen Vorkommnissen ist die Teamarbeit von entscheidender Bedeutung. Daher treffen sich Service Delivery Manager regelmäßig mit Kundenvertretern – also CIOs, CISOs oder IT-Sicherheitsverantwortlichen. Besprochen werden neben organisatorischen Themen wie beispielsweise der Integration neuer Log-Daten vor allem die relevantesten aktuellen Bedrohungen.
Und wie viele Analysten braucht man dafür? Das hängt von der Größe und Ausrichtung der jeweiligen Organisation ab. Jeder Analyst gehört einem Team an, das einer bestimmten Kundengruppe zugeordnet ist. Die Zuordnung der Kundendaten, die analysiert werden, ändert sich regelmäßig. Was wiederum entscheidend ist, um immer objektiv zu bleiben und eine neue Sicht auf die Daten zu haben. Denn Routine kann auch schädlich sein.
Für die Erkennung von Schwachstellen und das Monitoring sind hauptsächlich die Security-Analysten verantwortlich. Sie melden außerdem mögliche Konfigurationsfehler und helfen dabei, Maßnahmen zur Absicherung der Infrastruktur festzulegen. Wie hoch das Maß an Sicherheit letztlich ist, das realisiert werden kann, und wie viel Betriebsfähigkeit erhalten bleibt, bestimmen im Alltag nicht nur die oftmals begrenzten IT-Budgets – auch der hinlänglich diskutierte Mangel an Fachkräften trägt seinen Teil dazu bei.
Interne Ressourcen aufbauen oder externen Dienstleister beauftragen?
Die eigene IT ununterbrochen zu überwachen und auf Risiken zu überprüfen, erfordert nicht nur Investitionen in die Hardware und Software, sondern auch Ausgaben für hochspezialisierte Cybersecurity-Experten. Diese Experten müssen kontinuierlich geschult und weitergebildet werden. Auch gilt es, Notfallübungen durchzuführen, so dass alle Beteiligten die nötigen Abläufe und Befehlsketten verinnerlichen können.
Gerade kleinere Unternehmen können sich die laufenden personellen und finanziellen Ressourcen kaum leisten. IT-Sicherheitsfachkräfte sind auf dem Arbeitsmarkt schwer zu finden. Eine Alternative für Unternehmen und Behörden, die das nicht stemmen können oder wollen, heißt daher Security-Operations-Center-as-a-Service. Ein SOC-as-a-Service ermöglicht die Kombination aus automatischer Erkennung von Sicherheitsproblemen sowie -risiken und der Analyse durch Experten im Verteidigungszentrum eines Managed-Security-Service-Providers (MSSP). Die Cybersecurity-Abteilung in dem Unternehmen oder der Behörde erhält dann von ihrem beauftragten MSSP alle relevanten Informationen zu erkannten Risiken.
Was für eine umfassende Analyse nötig ist
Zurück zur Arbeit der Experten im SOC: Für ihre Analyse ist vor allem der Kontext von Bedeutung. Die SOC-Analysten können ihn über die Benutzeroberfläche und die Integration in einem Security Cockpit herstellen. Durch den Klick auf ein „Asset“ (eine Hardware- oder Software-Komponente) erhalten sie Informationen zu weiteren Ereignissen aus verschiedenen Protokollquellen – beispielsweise Netzwerkverkehr oder Log-Dateien der Firewall.
Zusätzliche Kategorien-Labels zu dem angezeigten Asset geben Auskunft darüber, ob es sich beispielsweise um einen Office-IT-Client, einen Datenbank-Server oder einen Domain-Controller handelt. Weitere Informationen lassen sich aus den Scans gewinnen, etwa über das Betriebssystem und mögliche Schwachstellen. Hier kommen SIEM-Systeme ins Spiel. Unter SIEM (Security Information and Event Management) versteht man das Sammeln, Analysieren und Korrelieren von Protokollen aus verschiedenen Quellen. Dies führt zu Alarmmeldungen bei Sicherheitsproblemen oder potenziellen Risiken. Die Analysten im SOC erhalten Echtzeitinformationen über ungewöhnliches Verhalten, Systemanomalien und andere Anzeichen für Cyberangriffe.
Die Analyse der Log-Daten ist nur eines von mehreren möglichen Tools, auf die die SOC-Experten zurückgreifen können. Weitere zentrale Module sind:
- Endpoint Detection and Response
Erkennung, Analyse und Überwachung sogenannter Anomalien auf Endgeräten – unterstützt aktive Schutzmaßnahmen und die sofortige Alarmierung. - Advanced Threat Detection
Erkennung komplizierter Schad-Software in E-Mails und Dateien – mithilfe moderner Sandbox-Technologie. - Network Behavior Analytics
Erkennung von Schad-Software, Anomalien und anderen Risiken im Netzwerkverkehr – auf Basis von Signaturen und Verhaltensmustern. - Vulnerability Management and Compliance
kontinuierliche interne und externe Schwachstellen-Scans für eine umfassende Sicherheitsabdeckung – durch großflächige Überprüfungen, Compliance-Checks und Tests
Gegenmaßnahme gegen zunehmende Cyberkriminalität
Die Angriffe der Cyberkriminellen werden immer raffinierter. Um gerüstet zu sein, benötigen Unternehmen und Behörden entsprechende Verteidigungsmechanismen. Und um ihre immer zahlreicher werdenden digitalen Vermögenswerte zu schützen, die sich innerhalb und außerhalb des Netzwerks befinden, braucht es integrierte, proaktiv wirkende Sicherheitsmaßnahmen. Konkret geschieht dies mithilfe von Plattformen, die alle relevanten Security-Daten intelligent zusammenführen.
Hier nutzen SOC-Analysten „Extended Detection and Response“: Mit XDR-Lösungen können sie Daten aus mehreren Quellen – von E-Mails über Endpunkte, Server und Netzwerke bis hin zu Cloud-Workloads – analysieren und sich ein umfassendes Bild über die Bedrohungslandschaft machen. Dies schließt auch die Überwachung nicht verwalteter Endpunkte ein, die herkömmliche Tools für EDR („Endpoint Detection and Response“) nicht abdecken. Die Korrelation dieser Daten ermöglicht die Erkennung einer Vielzahl von Bedrohungen, im Gegensatz zur ausschließlichen Analyse einzelner Daten. Daher ist die Korrelationsanalyse eine zentrale Aufgabe eines SOC, bei der verschiedene IT-Sicherheitsereignisse von verschiedenen Geräten zu einem Gesamtbild verknüpft werden.
Das heißt: Unternehmen, Behörden und KRITIS-Organisationen bekommen mit einem Security Operations Center ein effektives Verteidigungsinstrument gegen Cyberkriminalität in die Hand. Mit einer Mischung aus Fachwissen und Automatisierung können sie sich gegen Angriffe wehren und den Schaden so vorbeugen oder zumindest minimieren.
Dr. Christian Polster
ist Geschäftsführer und Gründer von Materna Radar Cyber Security (MRCS).