Matthias v. Knobelsdorf
Matthias v. Knobelsdorf ist Sales Director DACH bei Cyberbit. Im folgenden Interview berichtet er von Trends und Möglichkeiten zur Qualifizierung von SOC-Mitarbeitenden und gibt Handlungsempfehlungen an Unternehmen.
Ein Security Operations Center (SOC) steht bei vielen CISOs oder IT-Leitern auf der Liste. Verspricht es doch ein 7×24 Monitoring und Security Expertise, so dass man als verantwortliche Person für die IT-Sicherheit zumindest in die Lage versetzt wird, Angriffe zu erkennen und Gegenmaßnahmen rechtzeitig einzuleiten. Welche Erfahrungen machen Sie: Ist ein eigenes SOC wirklich sinnvoll?
Dies ist sehr abhängig von der Branche und dem Cyber-Sicherheitsrisiko. Fast alle Unternehmen schützen heute entweder sensible Daten oder verlassen sich für den Betrieb auf eine digitale Infrastruktur. Dies bedeutet, dass die Überwachung von Warnungen, die Erkennung von und Reaktion auf Bedrohungen, wichtig sind. Ich empfehle, dass jedes Unternehmen mit einem Umsatz von über 50 Millionen US-Dollar oder 100 Mitarbeitern anfangen sollte, sich mit einem SOC zu beschäftigen.
Gibt es Kriterien wann sich ein Inhouse SOC gegenüber einem SOC als externem Managed Service lohnt?
Eine der Kernfragen hierbei ist, wie schnell benötigen Sie das SOC? Wenn Sie glauben, dass der Bedarf dringend ist (weniger als 6 Monate), würde ich empfehlen, mit einem verwalteten SOC- oder MDR-Anbieter zu beginnen und sich später weiterzuentwickeln. Wenn Sie mindestens 6 Monate Zeit haben, sollten Sie darauf abzielen, ein vollständig eingekauftes oder ein hybrides SOC einzurichten.
Darüber hinaus sollten Sie in Betracht ziehen, was sind die aktuellen Investitionen, die Sie bereits getätigt haben und was sind Ihre Fähigkeiten? Wenn Sie einige Investitionen in Tools wie EDR und SIEM getätigt und eine gewisse Kompetenz um sie herum aufgebaut haben, sollten Sie in der Lage sein, sich ziemlich schnell zu einem hybriden SOC und später zu einem vollständig insourced SOC zu entwickeln.
Schlussendlich ist natürlich die Frage des Budgets ebenso zu stellen – ein insourced SOC erfordert ein genehmigtes Budget für Personal und Tools. Es sind etwa 12 Personen erforderlich, um 3 Schichten rund um die Uhr zu verwalten. Wenn Sie glauben, dass Sie dies organisieren können und die anderen Elemente vorhanden sind, können Sie ein internes SOC anstreben.
Wie grenzt sich ein CERT von einem SOC ab?
Ein CERT (Computer Emergency Response Team) konzentriert sich auf die Reaktion auf Vorfälle.
Beim SOC (Security Operations Center) handelt es sich um eine Sicherheitsleitstelle, die sich um den Schutz der IT-Infrastruktur eines Unternehmens oder einer Organisation kümmert. Um diese Aufgabe leisten zu können, integriert, überwacht und analysiert das SOC alle sicherheitsrelevanten Systeme wie Unternehmensnetzwerke, Server, Arbeitsplatzrechner oder Internetservices. Unter anderem werden die Log-Dateien der einzelnen Systeme gesammelt, analysiert und nach Auffälligkeiten untersucht. Neben der Analyse der verschiedenen Systeme und Log-Dateien sind das Alarmieren und Ergreifen von Maßnahmen zum Schutz von Daten und Anwendungen zentrale Aufgabe des SOC.
Was treibt die Notwendigkeit eines neuen Ansatzes für die Entwicklung von Cybersicherheitskompetenzen voran?
Es gibt eine große Veränderung in der Risikolandschaft, die von Cybersicherheitsteams völlig andere Fähigkeiten erfordert. Vor ein paar Jahren brauchte ein Infosec-Profi nur ein vernünftiges Verständnis von Netzwerken, Technik und ethischem Hacken. Heute hat sich die Angriffsfläche auf die Cloud und die Lieferkette ausgeweitet, die Angriffe sind viel raffinierter und täglich tauchen neue Schwachstellen wie Log4J auf. Heutzutage muss ein Top-Tier-Responder für Cyber-Vorfälle Cloud-Sicherheit, Codierung, Forensik, Bedrohungsinformationen und Malware-Analyse beherrschen, um nur einige der technischen Fähigkeiten zu nennen. Sie müssen über „weiche“ nicht-technische Fähigkeiten verfügen, darunter Teamarbeit, Kommunikationsfähigkeit, kritisches Denken und die Fähigkeit, unter Druck zu arbeiten, die für den Erfolg bei einem Sicherheitsvorfall entscheidend sind.
Darüber hinaus müssen Teams über neue Technologien, neue Malware und neue Schwachstellen, die täglich auftauchen, wie Log4J, auf dem Laufenden bleiben. Aber wenn Cyber-Profis ihr Know-how am Arbeitsplatz oder in veralteten Cyber-Ausbildungsprogrammen und jährlichen Kursen erwerben, die darauf ausgelegt sind, den Cyber-Verteidiger des letzten Jahrzehnts hervorzubringen, stellen Organisationen fest, dass sie Teams beschäftigen, die für ihre Aufgaben ungeeignet sind. Cyberverteidiger der nächsten Generation sind schwer zu finden und unerschwinglich, was bedeutet, dass spektakuläre Sicherheitsverletzungen weiter zunehmen. Aktuelle Ansätze wie Kurse, oder On-the-Job-Training und akademische Abschlüsse haben 3 Probleme:
- Sie sind nicht ständig, jederzeit und an jedem Ort verfügbar
- Sie sind mit der Geschwindigkeit neuer Bedrohungen nicht auf dem Laufenden
- Sie spiegeln oder simulieren keine realen Situationen.
Dieser Wandel macht es erforderlich, die Kompetenzentwicklung in der Cybersicherheit komplett zu überdenken. Genauso wie Sie einen Piloten nicht zweimal im Jahr in Kursen ausbilden würden, können Sie Cyber Defense nicht auf die gleiche Weise ausbilden.
Wie lange würde es Ihrer Erfahrung nach dauern, eine Person ohne Erfahrung zu einem Cyber-Sicherheitsexperten auszubilden?
Ein typischer „Zero to Hero“-Prozess von einer Person ohne Erfahrung zu einem Tier-1-Analysten dauert 16 Wochen, wenn eine simulationsbasierte Kompetenzentwicklungsplattform wie Cyberbit verwendet wird. Zuvor konnten diese Prozesse über 6 Monate dauern, zuzüglich zusätzlicher Schulungen am Arbeitsplatz.
Ist das Angebot eine gezielte Reaktion auf den allgemeinen Fachkräftemangel im Bereich Cybersicherheit?
Unsere Plattform behebt den Mangel an qualifizierten Mitarbeitern für Cybersicherheit auf verschiedene Weise:
Wir helfen akademischen Einrichtungen und Cyber-Akademien dabei, mehr Absolventen hervorzubringen, die von der ersten Minute an auf ihre Jobs vorbereitet sind. Wir helfen Branchenorganisationen dabei, intern Talente der „nächsten Generation“ aufzubauen, wenn sie diese nirgendwo sonst finden können – zum Beispiel: Es dauert Monate, einen Cloud-Sicherheitsexperten einzustellen, und es ist sehr teuer, ihn einzustellen. Wir bieten Cloud-Sicherheitsmodule in unserer Plattform an, die es Unternehmen ermöglichen, diese Fähigkeiten in ihrem bestehenden Team aufzubauen oder einen frischen Hochschulabsolventen einzustellen und die Fähigkeiten intern aufzubauen.
Wie finde ich eigentlich „den richtigen“ SOC Mitarbeiter? Was sind die wichtigsten Skills?
Unsere Empfehlung ist, keinem Lebenslauf zu vertrauen, sondern die Kandidaten einer praktischen Bewertung zu unterziehen, wie wir sie auf unserer Plattform anbieten. Dies ist die zuverlässigste Methode, um einen Kandidaten für Cybersicherheit zu bewerten.
Aber wenn es sein muss, würde ich, vorausgesetzt, wir suchen einen Einstiegsmitarbeiter, hauptsächlich auf ein gutes Niveau an IT- oder Cybersicherheitskenntnissen, aber auch auf die Persönlichkeit achten. Ich teste gerne ihre Denkfähigkeiten und Führungsqualitäten, indem ich Herausforderungen zur Problemlösung durchführe, den Kandidaten in eine Drucksituation versetze usw. Die Bewertung allein auf der Grundlage technischer Fähigkeiten ist nicht der beste Weg, um für ein SOC einzustellen.
Nach einer entsprechenden Qualifizierung mit Fokus auf einen Einsatz im SOC kommt für viele Unternehmen sicherlich die „Gretchenfrage“: wie halte ich meine Experten denn dauerhaft motiviert? Gerade der Schichtbetrieb ist ja in der Regel kein wirklich schlagendes Argument…
Hier gibt es kein Rezept. Die besten Empfehlungen, die ich geben kann, sind:
- Bauen Sie eine starke Unternehmenskultur und Mission auf.
- Zeigen Sie dem Kandidaten einen Karriereweg, den er anstreben kann.
- Investieren Sie in den Mitarbeiter – Wir haben kürzlich eine Umfrage durchgeführt, die zeigte, dass die meisten SOC-Mitarbeiter glauben, dass ihre Organisationen durch Investitionen in qualitativ hochwertigere Schulungen die Mitarbeiterbindung im SOC verbessern können.
In einem SOC kommt es ja auch immer zum Zusammenspiel von Technologien: SIEM & SOAR Tools, Endpoint Security und XDR, unterschiedlichste Quellsysteme wie Firewalls und dann die Aspekte Cloud-Services vs. klassische on-prem IT. Sehen Sie da klare Trends?
Der Markt konsolidiert sich und wir sehen, dass viele Produkte als Features in die „großen“ Tools aufgenommen werden. Da SIEM weiterhin eine der größten Investitionen von Organisationen ist, wird es auch weiterhin das Zentrum sein. Wie die Aufnahme von UEBA in das SIEM bewegt sich der SOAR in die gleiche Richtung. Die Umstellung von EDR auf XDR ist schwieriger, da sie sich mit dem klassischen SIEM und den dort getätigten enormen Investitionen überschneidet und am Ende möglicherweise zu einer Art Analyse führt, die auf EDR- und SIEM-Daten ausgeführt wird.
Wird z. B. Microsoft zunehmend dominanter oder gibt es weiterhin ausreichend Argumente für spezialisierte Tools anderer Hersteller?
Microsoft hat sich zu einem großen Sicherheitsanbieter entwickelt und versucht wie die anderen (wie Palo Alto und CISCO) einheitliche Lösungen anzubieten, indem kleinere Unternehmen übernommen und in ihre Plattform integriert werden. Dieser Trend wird sich fortsetzen und jede erfolgreiche Funktion, die von einem der kleineren Anbieter angeboten wird, wird von einem der Giganten repliziert oder übernommen.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
