Die Analysten in einem SOC sind so etwas wie die Sicherheitslotsen für die digitalen Verkehrsströme. Ihre Arbeit gehört inzwischen zu den wichtigsten IT-Aufgaben in Unternehmen und Behörden. Es geht darum, kontinuierlich Informationen zu analysieren, ihre Sicherheitsrelevanz einzuschätzen und zu entscheiden, ob es sich um normale Log-Events handelt oder um Gefahrenmeldungen aus den verschiedenen IT-Systemen. Unabhängig davon, ob das SOC – auch Cyber Defense Center genannt, kurz CDC – intern oder von einem externen Dienstleister, einem Managed Security Service Provider (MSSP), betrieben wird.
Der typische Arbeitstag eines Security-Analysten besteht darin, die Ereignisse auf einer Vielzahl von Bildschirmen genau zu überwachen. Was recht einfach erscheinen mag, ist in Wirklichkeit genau das Gegenteil: Cyberangriffe auf Organisationen finden zwar nicht jeden Tag statt, doch die Bedrohungen sind täglich präsent. Um ernsthafte Bedrohungen zu identifizieren, müssen Millionen, manchmal sogar Milliarden von Sicherheitsdatensätzen („Events“) analysiert werden. Und zwar sowohl automatisch als auch manuell.
Der Analyst analysiert die Ergebnisse seines Monitorings, also Schwachstellen und mögliche Gefahren, und meldet sie den Kunden. Ergänzt wird seine Tätigkeit durch den Chief Security Analysten, der mit seiner Expertise besonders bei der Eskalation schwerwiegender, sicherheitsrelevanter Vorfälle zur Seite steht.
Bei solchen Vorkommnissen ist die Teamarbeit von entscheidender Bedeutung. Daher treffen sich Service Delivery Manager regelmäßig mit Kundenvertretern – also CIOs, CISOs oder IT-Sicherheitsverantwortlichen. Besprochen werden neben organisatorischen Themen wie beispielsweise der Integration neuer Log-Daten vor allem die relevantesten aktuellen Bedrohungen.
Und wie viele Analysten braucht man dafür? Das hängt von der Größe und Ausrichtung der jeweiligen Organisation ab. Jeder Analyst gehört einem Team an, das einer bestimmten Kundengruppe zugeordnet ist. Die Zuordnung der Kundendaten, die analysiert werden, ändert sich regelmäßig. Was wiederum entscheidend ist, um immer objektiv zu bleiben und eine neue Sicht auf die Daten zu haben. Denn Routine kann auch schädlich sein.
Für die Erkennung von Schwachstellen und das Monitoring sind hauptsächlich die Security-Analysten verantwortlich. Sie melden außerdem mögliche Konfigurationsfehler und helfen dabei, Maßnahmen zur Absicherung der Infrastruktur festzulegen. Wie hoch das Maß an Sicherheit letztlich ist, das realisiert werden kann, und wie viel Betriebsfähigkeit erhalten bleibt, bestimmen im Alltag nicht nur die oftmals begrenzten IT-Budgets – auch der hinlänglich diskutierte Mangel an Fachkräften trägt seinen Teil dazu bei.
Die eigene IT ununterbrochen zu überwachen und auf Risiken zu überprüfen, erfordert nicht nur Investitionen in die Hardware und Software, sondern auch Ausgaben für hochspezialisierte Cybersecurity-Experten. Diese Experten müssen kontinuierlich geschult und weitergebildet werden. Auch gilt es, Notfallübungen durchzuführen, so dass alle Beteiligten die nötigen Abläufe und Befehlsketten verinnerlichen können.
Gerade kleinere Unternehmen können sich die laufenden personellen und finanziellen Ressourcen kaum leisten. IT-Sicherheitsfachkräfte sind auf dem Arbeitsmarkt schwer zu finden. Eine Alternative für Unternehmen und Behörden, die das nicht stemmen können oder wollen, heißt daher Security-Operations-Center-as-a-Service. Ein SOC-as-a-Service ermöglicht die Kombination aus automatischer Erkennung von Sicherheitsproblemen sowie -risiken und der Analyse durch Experten im Verteidigungszentrum eines Managed-Security-Service-Providers (MSSP). Die Cybersecurity-Abteilung in dem Unternehmen oder der Behörde erhält dann von ihrem beauftragten MSSP alle relevanten Informationen zu erkannten Risiken.
Zurück zur Arbeit der Experten im SOC: Für ihre Analyse ist vor allem der Kontext von Bedeutung. Die SOC-Analysten können ihn über die Benutzeroberfläche und die Integration in einem Security Cockpit herstellen. Durch den Klick auf ein „Asset“ (eine Hardware- oder Software-Komponente) erhalten sie Informationen zu weiteren Ereignissen aus verschiedenen Protokollquellen – beispielsweise Netzwerkverkehr oder Log-Dateien der Firewall.
Zusätzliche Kategorien-Labels zu dem angezeigten Asset geben Auskunft darüber, ob es sich beispielsweise um einen Office-IT-Client, einen Datenbank-Server oder einen Domain-Controller handelt. Weitere Informationen lassen sich aus den Scans gewinnen, etwa über das Betriebssystem und mögliche Schwachstellen. Hier kommen SIEM-Systeme ins Spiel. Unter SIEM (Security Information and Event Management) versteht man das Sammeln, Analysieren und Korrelieren von Protokollen aus verschiedenen Quellen. Dies führt zu Alarmmeldungen bei Sicherheitsproblemen oder potenziellen Risiken. Die Analysten im SOC erhalten Echtzeitinformationen über ungewöhnliches Verhalten, Systemanomalien und andere Anzeichen für Cyberangriffe.
Die Analyse der Log-Daten ist nur eines von mehreren möglichen Tools, auf die die SOC-Experten zurückgreifen können. Weitere zentrale Module sind:
Die Angriffe der Cyberkriminellen werden immer raffinierter. Um gerüstet zu sein, benötigen Unternehmen und Behörden entsprechende Verteidigungsmechanismen. Und um ihre immer zahlreicher werdenden digitalen Vermögenswerte zu schützen, die sich innerhalb und außerhalb des Netzwerks befinden, braucht es integrierte, proaktiv wirkende Sicherheitsmaßnahmen. Konkret geschieht dies mithilfe von Plattformen, die alle relevanten Security-Daten intelligent zusammenführen.
Hier nutzen SOC-Analysten „Extended Detection and Response“: Mit XDR-Lösungen können sie Daten aus mehreren Quellen – von E-Mails über Endpunkte, Server und Netzwerke bis hin zu Cloud-Workloads – analysieren und sich ein umfassendes Bild über die Bedrohungslandschaft machen. Dies schließt auch die Überwachung nicht verwalteter Endpunkte ein, die herkömmliche Tools für EDR („Endpoint Detection and Response“) nicht abdecken. Die Korrelation dieser Daten ermöglicht die Erkennung einer Vielzahl von Bedrohungen, im Gegensatz zur ausschließlichen Analyse einzelner Daten. Daher ist die Korrelationsanalyse eine zentrale Aufgabe eines SOC, bei der verschiedene IT-Sicherheitsereignisse von verschiedenen Geräten zu einem Gesamtbild verknüpft werden.
Das heißt: Unternehmen, Behörden und KRITIS-Organisationen bekommen mit einem Security Operations Center ein effektives Verteidigungsinstrument gegen Cyberkriminalität in die Hand. Mit einer Mischung aus Fachwissen und Automatisierung können sie sich gegen Angriffe wehren und den Schaden so vorbeugen oder zumindest minimieren.
Dr. Christian Polster
ist Geschäftsführer und Gründer von Materna Radar Cyber Security (MRCS).
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…