![\"\"](\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/MatthiasKnobelsdorf_Portrait-792x1024.jpg\")
Ein Security Operations Center (SOC) steht bei vielen CISOs oder IT-Leitern auf der Liste. Verspricht es doch ein 7×24 Monitoring und Security Expertise, so dass man als verantwortliche Person f\u00fcr die IT-Sicherheit zumindest in die Lage versetzt wird, Angriffe zu erkennen und Gegenma\u00dfnahmen rechtzeitig einzuleiten. Welche Erfahrungen machen Sie: Ist ein eigenes SOC wirklich sinnvoll?<\/strong><\/strong><\/strong><\/p>\n\n\n\n Dies ist sehr abh\u00e4ngig von der Branche und dem Cyber-Sicherheitsrisiko. Fast alle Unternehmen sch\u00fctzen heute entweder sensible Daten oder verlassen sich f\u00fcr den Betrieb auf eine digitale Infrastruktur. Dies bedeutet, dass die \u00dcberwachung von Warnungen, die Erkennung von und Reaktion auf Bedrohungen, wichtig sind. Ich empfehle, dass jedes Unternehmen mit einem Umsatz von \u00fcber 50 Millionen US-Dollar oder 100 Mitarbeitern anfangen sollte, sich mit einem SOC zu besch\u00e4ftigen.<\/p>\n\n\n\n <\/p>\n\n\n\n Gibt es Kriterien wann sich ein Inhouse SOC gegen\u00fcber einem SOC als externem Managed Service lohnt?<\/strong><\/p>\n\n\n\n Eine der Kernfragen hierbei ist, wie schnell ben\u00f6tigen Sie das SOC? Wenn Sie glauben, dass der Bedarf dringend ist (weniger als 6 Monate), w\u00fcrde ich empfehlen, mit einem verwalteten SOC- oder MDR-Anbieter zu beginnen und sich sp\u00e4ter weiterzuentwickeln. Wenn Sie mindestens 6 Monate Zeit haben, sollten Sie darauf abzielen, ein vollst\u00e4ndig eingekauftes oder ein hybrides SOC einzurichten. <\/p>\n\n\n\n Wie grenzt sich ein CERT von einem SOC ab?<\/strong><\/p>\n\n\n\n Ein CERT (Computer Emergency Response Team) konzentriert sich auf die Reaktion auf Vorf\u00e4lle. <\/p>\n\n\n\n Was treibt die Notwendigkeit eines neuen Ansatzes f\u00fcr die Entwicklung von Cybersicherheitskompetenzen voran?<\/strong><\/p>\n\n\n\n Es gibt eine gro\u00dfe Ver\u00e4nderung in der Risikolandschaft, die von Cybersicherheitsteams v\u00f6llig andere F\u00e4higkeiten erfordert. Vor ein paar Jahren brauchte ein Infosec-Profi nur ein vern\u00fcnftiges Verst\u00e4ndnis von Netzwerken, Technik und ethischem Hacken. Heute hat sich die Angriffsfl\u00e4che auf die Cloud und die Lieferkette ausgeweitet, die Angriffe sind viel raffinierter und t\u00e4glich tauchen neue Schwachstellen wie Log4J auf. Heutzutage muss ein Top-Tier-Responder f\u00fcr Cyber-Vorf\u00e4lle Cloud-Sicherheit, Codierung, Forensik, Bedrohungsinformationen und Malware-Analyse beherrschen, um nur einige der technischen F\u00e4higkeiten zu nennen. Sie m\u00fcssen \u00fcber \u201eweiche\u201c nicht-technische F\u00e4higkeiten verf\u00fcgen, darunter Teamarbeit, Kommunikationsf\u00e4higkeit, kritisches Denken und die F\u00e4higkeit, unter Druck zu arbeiten, die f\u00fcr den Erfolg bei einem Sicherheitsvorfall entscheidend sind.<\/p>\n\n\n\n Dar\u00fcber hinaus m\u00fcssen Teams \u00fcber neue Technologien, neue Malware und neue Schwachstellen, die t\u00e4glich auftauchen, wie Log4J, auf dem Laufenden bleiben. Aber wenn Cyber-Profis ihr Know-how am Arbeitsplatz oder in veralteten Cyber-Ausbildungsprogrammen und j\u00e4hrlichen Kursen erwerben, die darauf ausgelegt sind, den Cyber-Verteidiger des letzten Jahrzehnts hervorzubringen, stellen Organisationen fest, dass sie Teams besch\u00e4ftigen, die f\u00fcr ihre Aufgaben ungeeignet sind. Cyberverteidiger der n\u00e4chsten Generation sind schwer zu finden und unerschwinglich, was bedeutet, dass spektakul\u00e4re Sicherheitsverletzungen weiter zunehmen. Aktuelle Ans\u00e4tze wie Kurse, oder On-the-Job-Training und akademische Abschl\u00fcsse haben 3 Probleme:<\/p>\n\n\n\n <\/p>\n\n\n\n Dieser Wandel macht es erforderlich, die Kompetenzentwicklung in der Cybersicherheit komplett zu \u00fcberdenken. Genauso wie Sie einen Piloten nicht zweimal im Jahr in Kursen ausbilden w\u00fcrden, k\u00f6nnen Sie Cyber \u200b\u200b\u200b\u200bDefense nicht auf die gleiche Weise ausbilden.<\/p>\n\n\n\n <\/p>\n\n\n\n Wie lange w\u00fcrde es Ihrer Erfahrung nach dauern, eine Person ohne Erfahrung zu einem Cyber-Sicherheitsexperten auszubilden?<\/strong><\/p>\n\n\n\n Ein typischer \u201eZero to Hero\u201c-Prozess von einer Person ohne Erfahrung zu einem Tier-1-Analysten dauert 16 Wochen, wenn eine simulationsbasierte Kompetenzentwicklungsplattform wie Cyberbit verwendet wird. Zuvor konnten diese Prozesse \u00fcber 6 Monate dauern, zuz\u00fcglich zus\u00e4tzlicher Schulungen am Arbeitsplatz.<\/p>\n\n\n\n <\/p>\n\n\n\n Ist das Angebot eine gezielte Reaktion auf den allgemeinen Fachkr\u00e4ftemangel im Bereich Cybersicherheit?<\/strong><\/p>\n\n\n\n Unsere Plattform behebt den Mangel an qualifizierten Mitarbeitern f\u00fcr Cybersicherheit auf verschiedene Weise: <\/p>\n\n\n\n Wie finde ich eigentlich \u201eden richtigen\u201c SOC Mitarbeiter? Was sind die wichtigsten Skills?<\/strong><\/p>\n\n\n\n Unsere Empfehlung ist, keinem Lebenslauf zu vertrauen, sondern die Kandidaten einer praktischen Bewertung zu unterziehen, wie wir sie auf unserer Plattform anbieten. Dies ist die zuverl\u00e4ssigste Methode, um einen Kandidaten f\u00fcr Cybersicherheit zu bewerten. <\/p>\n\n\n\n Nach einer entsprechenden Qualifizierung mit Fokus auf einen Einsatz im SOC kommt f\u00fcr viele Unternehmen sicherlich die \u201eGretchenfrage\u201c: wie halte ich meine Experten denn dauerhaft motiviert? Gerade der Schichtbetrieb ist ja in der Regel kein wirklich schlagendes Argument\u2026<\/strong><\/p>\n\n\n\n Hier gibt es kein Rezept. Die besten Empfehlungen, die ich geben kann, sind:<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n In einem SOC kommt es ja auch immer zum Zusammenspiel von Technologien: SIEM & SOAR Tools, Endpoint Security und XDR, unterschiedlichste Quellsysteme wie Firewalls und dann die Aspekte Cloud-Services vs. klassische on-prem IT. Sehen Sie da klare Trends?<\/strong><\/p>\n\n\n\n Der Markt konsolidiert sich und wir sehen, dass viele Produkte als Features in die \u201egro\u00dfen\u201c Tools aufgenommen werden. Da SIEM weiterhin eine der gr\u00f6\u00dften Investitionen von Organisationen ist, wird es auch weiterhin das Zentrum sein. Wie die Aufnahme von UEBA in das SIEM bewegt sich der SOAR in die gleiche Richtung. Die Umstellung von EDR auf XDR ist schwieriger, da sie sich mit dem klassischen SIEM und den dort get\u00e4tigten enormen Investitionen \u00fcberschneidet und am Ende m\u00f6glicherweise zu einer Art Analyse f\u00fchrt, die auf EDR- und SIEM-Daten ausgef\u00fchrt wird.<\/p>\n\n\n\n <\/p>\n\n\n\n Wird z. B. Microsoft zunehmend dominanter oder gibt es weiterhin ausreichend Argumente f\u00fcr spezialisierte Tools anderer Hersteller?<\/strong><\/p>\n\n\n\n Microsoft hat sich zu einem gro\u00dfen Sicherheitsanbieter entwickelt und versucht wie die anderen (wie Palo Alto und CISCO) einheitliche L\u00f6sungen anzubieten, indem kleinere Unternehmen \u00fcbernommen und in ihre Plattform integriert werden. Dieser Trend wird sich fortsetzen und jede erfolgreiche Funktion, die von einem der kleineren Anbieter angeboten wird, wird von einem der Giganten repliziert oder \u00fcbernommen.<\/p>\n\n\n\n \u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch. Matthias v. Knobelsdorf Matthias v. Knobelsdorf ist Sales Director DACH bei Cyberbit. Im folgenden Interview […]<\/p>\n","protected":false},"author":24,"featured_media":3881,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-3885","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3885","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=3885"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3885\/revisions"}],"predecessor-version":[{"id":3886,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3885\/revisions\/3886"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/3881"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=3885"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=3885"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=3885"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Dar\u00fcber hinaus sollten Sie in Betracht ziehen, was sind die aktuellen Investitionen, die Sie bereits get\u00e4tigt haben und was sind Ihre F\u00e4higkeiten? Wenn Sie einige Investitionen in Tools wie EDR und SIEM get\u00e4tigt und eine gewisse Kompetenz um sie herum aufgebaut haben, sollten Sie in der Lage sein, sich ziemlich schnell zu einem hybriden SOC und sp\u00e4ter zu einem vollst\u00e4ndig insourced SOC zu entwickeln.
Schlussendlich ist nat\u00fcrlich die Frage des Budgets ebenso zu stellen \u2013 ein insourced SOC erfordert ein genehmigtes Budget f\u00fcr Personal und Tools. Es sind etwa 12 Personen erforderlich, um 3 Schichten rund um die Uhr zu verwalten. Wenn Sie glauben, dass Sie dies organisieren k\u00f6nnen und die anderen Elemente vorhanden sind, k\u00f6nnen Sie ein internes SOC anstreben.<\/p>\n\n\n\n
Beim SOC (Security Operations Center) handelt es sich um eine Sicherheitsleitstelle, die sich um den Schutz der IT-Infrastruktur eines Unternehmens oder einer Organisation k\u00fcmmert. Um diese Aufgabe leisten zu k\u00f6nnen, integriert, \u00fcberwacht und analysiert das SOC alle sicherheitsrelevanten Systeme wie Unternehmensnetzwerke, Server, Arbeitsplatzrechner oder Internetservices. Unter anderem werden die Log-Dateien der einzelnen Systeme gesammelt, analysiert und nach Auff\u00e4lligkeiten untersucht. Neben der Analyse der verschiedenen Systeme und Log-Dateien sind das Alarmieren und Ergreifen von Ma\u00dfnahmen zum Schutz von Daten und Anwendungen zentrale Aufgabe des SOC.<\/p>\n\n\n\n\n
Wir helfen akademischen Einrichtungen und Cyber-Akademien dabei, mehr Absolventen hervorzubringen, die von der ersten Minute an auf ihre Jobs vorbereitet sind. Wir helfen Branchenorganisationen dabei, intern Talente der \u201en\u00e4chsten Generation\u201c aufzubauen, wenn sie diese nirgendwo sonst finden k\u00f6nnen \u2013 zum Beispiel: Es dauert Monate, einen Cloud-Sicherheitsexperten einzustellen, und es ist sehr teuer, ihn einzustellen. Wir bieten Cloud-Sicherheitsmodule in unserer Plattform an, die es Unternehmen erm\u00f6glichen, diese F\u00e4higkeiten in ihrem bestehenden Team aufzubauen oder einen frischen Hochschulabsolventen einzustellen und die F\u00e4higkeiten intern aufzubauen.<\/p>\n\n\n\n
Aber wenn es sein muss, w\u00fcrde ich, vorausgesetzt, wir suchen einen Einstiegsmitarbeiter, haupts\u00e4chlich auf ein gutes Niveau an IT- oder Cybersicherheitskenntnissen, aber auch auf die Pers\u00f6nlichkeit achten. Ich teste gerne ihre Denkf\u00e4higkeiten und F\u00fchrungsqualit\u00e4ten, indem ich Herausforderungen zur Probleml\u00f6sung durchf\u00fchre, den Kandidaten in eine Drucksituation versetze usw. Die Bewertung allein auf der Grundlage technischer F\u00e4higkeiten ist nicht der beste Weg, um f\u00fcr ein SOC einzustellen.<\/p>\n\n\n\n\n
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"