CyberCompare

Security Operations Center: Grundlagen & Trends

Angreifer gelangen trotz Schutzmaßnahmen in Unternehmensnetzwerke und bleiben dort in der Regel lange unerkannt. Dabei ist die schnelle Entdeckung eines Angriffs wichtig, um größere Schäden vermeiden zu können. Deshalb ist ein Monitoring (Überwachung) notwendig, das professionell in einem Security Operations Center (SOC) betrieben wird. Das SOC analysiert und überwacht die Systeme einer Organisation hinsichtlich aller Ereignisse. Es gibt so einen Überblick über die aktuelle Bedrohungslage einer Systemlandschaft und seiner Organisation. Über 80% der Unternehmen mit einem SOC sehen dieses als essentiellen Bestandteil ihrer Cybersecurity-Strategie, beklagen (51%) zugleich aber ein schlechter werdendes „Return on Investment“ (Ponemon Institute). Der Betrieb eines eigenen SOC ist für die meisten (v.a. mittlere und kleinere) Unternehmen sehr aufwändig ist, da für einen 24/7-Betrieb mindestens 8 bis 12 Sicherheitsexperten benötigt werden. Daher kann diese Funktion bei Bedarf auch an einen Managed Security Service Provider (MSSP) ausgelagert werden.

Kurzzusammenfassung: Was ist ein SOC?

Im SOC kommen alle relevanten Personen, Prozesse und Technologien zusammen. Das SOC vereint dabei relevanten Funktionsgruppen (z.B. Analysten, Sicherheitsingenieure und SOC Manager), die nötig sind, um die Bedrohungslage einer Systemlandschaft einschätzen zu können. Der Vorteil eines SOC liegt dabei darin, dass sich die dort angesiedelten Mitarbeiter auf eine effektive Cyber-Abwehr konzentrieren können, da sie häufig vom regulären IT-Betrieb getrennt sind.

Auch wenn alle SOC einem sicheren Betrieb der Systeme dienen, unterscheidet sich der jeweilige Fokus häufig. Der fachliche Scope eines SOC lässt sich in drei Rollen gliedern:

1. Kontrolle und Überwachung: Das SOC stellt einen sicheren Zustand der Systeme sicher, indem es den ordnungsgemäßen Betriebsablauf kontrolliert.

2. Behandlung: Das SOC fokussiert sich darauf, Schadensereignisse zu identifizieren und analysieren, um ggf. darauf zu reagieren (Incident Response).

3. Operativer Betrieb (in seltenen Fällen): Das SOC stellt eine sichere Administration der Systeme sicher (dies beinhaltet bspw. Identity & Access Management).

Da das SOC häufig an ein CERT (Computer Emergency Response Team) angebunden ist, gerade wenn es durch einen Dienstleister (MSSP) betrieben wird, liegt der Fokus meist auf Kontrolle und Behandlung sicherheitsrelevanter Ereignisse (d.h. Behebung von Cyber-Attacken). Während die Administration der Systeme meist In-House erfolgt.

Der technische Scope umfasst den Schutz von Netzwerken, Websites, Datenbanken, Servern und Applikationen. Für die Analyse fließen insbesondere die Log-Daten aller Systeme zusammen und werden idealerweise in Echtzeit auf Anomalien überprüft. Dabei werden sowohl statistische Verfahren als auch vordefinierte Use Cases (Was ist “normal”?; Was deutet auf einen Angriff hin? Beispielsweise kann ein unerwarteter Login eines Devices auf einem fremden Kontinent auf einen Angriff deuten.) angewandt, um im Schadensfall eine kurze Reaktionszeit zu gewährleisten. Diese Aufgabe übernimmt i.d.R. eine SIEM-Lösung (Security Information and Event Management) wie z.B. Splunk, QRadar oder LogRhythm und bildet damit ein Kernelement des SOC.

Trends

Der effiziente Betrieb eines SOC wird zunehmend herausfordernder. Wesentlicher Treiber ist die Vergrößerung der Systemlandschaften und das damit verbundene Datenaufkommen im SOC.

Dem gegenüber stehen Ansätze zur verstärkten Automatisierung: Manche Administratoren gehen soweit davon zu sprechen, dass ohne SOAR (Security Orchestration, Automation and Response) in einem komplexen SOC nichts mehr läuft. 92% der Sicherheitsexperten sehen die Notwendigkeit einer Automatisierung im SOC. SOAR ist dabei keine einzelne Lösung, sondern vielmehr eine Kombination aus unterschiedlichen Programmen, wodurch eine automatische Reaktion auf Ereignisse, ohne menschliches Eingreifen ermöglicht wird. Um das zu gewährleisten, sollten SOAR-Lösungen drei Kernfunktionalitäten enthalten.

Kernfunktionalitäten von SOAR-Lösungen

1. Bedrohungs- und Schwachstellenmanagement,

2. Funktionalitäten zur Unterstützung bei der Reaktion auf Sicherheitsvorfälle sowie die

3. automatisierte Orchestrierung von Abläufen im Zuge der Sicherheitsoperationen (z.B. Richtlinienumsetzung, Berichtwesen, Response).

Sowohl SOAR-Lösungen wie auch SIEM-Produkte aggregieren Daten aus unterschiedlichen Quellen. Darum werden in der Praxis SOAR-Funktionalitäten oft als Erweiterung zu SIEM-Lösungen genutzt. Branchenexperten gehen davon aus, dass in Zukunft SIEM- und SOAR-Lösungen immer weiter miteinander verschmelzen.

In der Praxis ist eine automatisierte Antwort auf sicherheitsrelevante Ereignisse sehr nützlich, jedoch ist beim Einsatz von automatisierten Prozessen unbedingt darauf zu achten, dass für Außenstehende die Reaktion eines SOC nicht vorhersehbar wird. Betreiber sollten daher sicherstellen, dass sie ihre blinden Flecken kennen und stichprobenartig manuelle Analysen durchführen, um ggf. auch eine manuelle Reaktion einzuleiten. Dabei können unter anderem Honey Pots (Einrichtung eines attraktiven Scheinziels für Angreifer, welches anstelle der eigentlichen Systeme angegriffen werden soll) helfen, welche Angreifern ein attraktives Ziel bieten und diese ablenken, sodass man mehr über Angreifer erfährt und gleichzeitig die eigene Reaktionsfähigkeit validiert werden kann.

Eine gewisse Unvorhersehbarkeit lässt sich durch Machine Learning (ML) und künstliche Intelligenz (KI) herstellen. Der Einsatz von KI und ML wird für den effektiven Betrieb eines SOC immer relevanter.

Hauptursachen für den Einsatz von KI und ML bei einem SOC:

1. Zum einen steigt die Häufigkeit und damit auch Schnelligkeit der auftretenden Angriffe. Das schnelle entdecken eines Sicherheitsvorfalls wird so schwieriger, obwohl dies so wichtig ist. Verizon hat in seinem Data Breach Report 2020 ausgerechnet, dass ein entdecktes Datenleck innerhalb der ersten 200 Tage durchschnittlich 1 Mio. USD spart im Vergleich zu einem späteren Entdecken. Eine effiziente Überwachung und Analyse der Logs im SOC spart also bares Geld.

2. vergrößert der vermehrte Einsatz von OT und IoT das Gesamtsystem und damit auch den auftretenden Datenverkehr, der im SOC überwacht werden muss. So können in 93% aller SOC nicht alle Anomalien adäquate untersucht werden. Damit Administratoren weiter den Überblick behalten, sollen ML-Algorithmen automatisch lernen, was “normal” ist, um Anomalien (z.B. bei Bot-Angriffen) zu identifizieren.

Auf organisatorischer Ebene besteht eine der größten Herausforderungen für Unternehmen darin, geeignetes Fachpersonal für den Bereich der IT-Sicherheit und damit auch im SOC. Um trotz der fehlenden Fachkräfte ein SOC betreiben zu können, gehen Unternehmen unterschiedliche Wege: Es gibt bereits Erfolge bei kreativen Lösungsansätzen wie z.B. der internen Ausbildung der Mitarbeiter oder der Rotation aus verwandten Fachrichtungen. Andere Unternehmen haben sich insbesondere in Zeiten der Pandemie dazu entschieden ein SOC extern über einen Managed Security Service Provider (MSSP) zu betreiben, da so die Suche nach Fachkräften entfällt.

Als CyberCompare vermitteln wir regelmäßig geeignete Provider eines SOC für unsere Kunden. Wir gehen dabei in 6 Schritten vor.

Da ein SOC meist mit hohen Kosten verbunden ist, lohnt es sich häufig zuvor auch andere Dimensionen der IT-Sicherheit zu stärken, um den Weg zu einem SOC langfristig zu ebenen. Bei der Priorisierung dieser Maßnahmen hilft CyberCompare mit seiner Cybersecurity Diagnostik, anhand derer wir Ihre dringendsten Bedarfe identifizieren und entsprechende Handlungsempfehlungen ableiten.

Sprechen Sie uns direkt per Mail (Mail an uns) oder per Telefon (+49 711 811-91494) an, und wir stellen Ihnen gerne weitere Informationen zu unserer Diagnostik individuell zur Verfügung. Alternativ können Sie initial Ihr Cyberrisikoprofil mit unserer Diagnostik online testen.

Quellen:

https://enterprise.verizon.com/content/verizonenterprise/us/en/index/resources/reports/2020-data-breach-investigations-report.pdf

https://www.datto.com/resources/a-deep-dive-the-global-state-of-the-msp-report

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-dec-2016.pdf

https://www.fireeye.com/mandiant/automated-defense/economics-of-the-soc-report.html

https://www.sumologic.com/brief/state-of-secops/