Security Operations Center (SOC)

Was ist ein Security Operations Center (SOC)?

Ein SOC ist ein zentrales Sicherheitsbetriebszentrum, das entweder an einem festen, physischen Ort besteht oder eine virtuelle Organisation ist und sich der Überwachung, Erkennung und Behebung von Sicherheitsproblemen und -vorfällen widmet, die in einem Unternehmen auftreten können. Es gibt mehrere Modelle für die Implementierung eines SOC im Rahmen eines größeren Programms zur Erkennung von Vorfällen und Maßnahmen (IDR), darunter interne Modelle, gemeinsam verwaltete Modelle und voll verwaltete oder ausgelagerte Modelle.

Sie können sich ein SOC wie einen typischen Krisenraum oder „War Room“ in einem Film vorstellen: ein dunkler Raum voller detaillierter Karten, ausgeklügelter Monitore und Analysten mit Kopfhörern. Die meisten SOCs sind jedoch nicht wirklich vorhanden oder gar ein Raum, sondern genauer gesagt, ein formell organisiertes Team, das eine bestimmte Reihe von Cybersecurity-Zuständigkeiten übernommen hat, um Bedrohungen in Ihrer Umgebung zu erkennen und zu validieren.

Was macht ein SOC?

Ein SOC übernimmt viele sicherheitsrelevante Aufgaben, darunter die kontinuierliche Überwachung von Sicherheitsvorgängen und -vorfällen sowie die Reaktion auf auftretende Probleme. Die verschiedenen Aufgaben eines Cybersicherheits-Teams können äußerst komplex sein und ein SOC dient nicht nur als taktischer Hebel, der Teammitglieder bei der Durchführung ihrer täglichen Aufgaben unterstützt, sondern auch als strategisches Zentrum, das das Team über die größeren, längerfristigen Sicherheitstrends auf dem Laufenden hält.

Ein typisches SOC verfolgt eine beliebige Anzahl von Sicherheitswarnungen, die in einem Unternehmen auftreten, einschließlich technische Benachrichtigungen oder Meldungen von Tools über potenzielle Bedrohungen sowie Meldungen von Seiten der Mitarbeiter, Partner und von externen Quellen.

Das SOC untersucht und validiert die gemeldete Bedrohung, um sicherzustellen, dass es sich nicht um eine falsche Positivmeldung handelt (d. h. eine gemeldete Bedrohung, die tatsächlich harmlos ist). Wenn der Sicherheitsvorfall als gültig angesehen wird und eine Reaktion erforderlich ist, übergibt das SOC den Fall an die geeigneten Personen oder Teams für Maßnahmen und Wiederherstellung.

Es erfordert eine raffinierte Kombination aus Know-how, Prozess und Organisierung, um ein SOC im Rahmen eines Gesamtprogramms zur Threat Detection & Response zu unterhalten. Deshalb ist nicht jedes Unternehmen in der Lage, ein SOC intern zu unterstützen oder auszustatten. Stattdessen entscheiden sich viele dafür, ihr SOC von einer externen Agentur verwalten zu lassen, bekannt als Security Operations Center as a Service (SOCaaS).

Was sind die Komponenten eines SOC? 

Die Komponenten eines SOC sind zahlreich und müssen strukturiert und vorhanden sein, bevor ein SOC eine praktikable Option darstellt. Nachfolgend einige weitere Vorteile: 

• Attack Surface Management-Programm: Dazu gehören Technologien zur Abwehr von Bedrohungen auf allen Eintritts- und Austrittswegen, regelmäßiges Scannen auf Schwachstellen (und entsprechende Patches), Penetrationstests, Benutzerauthentifizierung und -autorisierung, Asset Management, Tests externer Anwendungen (mit entsprechenden Patches) und Fernzugriffsverwaltung. 
• Incident Response Plan: Eines der Hauptziele bei der Einführung eines SOC in ein IDR-Programm ist die Steigerung der Effizienz bei der Erkennung von Bedrohungen in der Unternehmensumgebung. Wenn nach Entdeckung des Verstoßes keine Maßnahmen als Behebungsprozess vorgesehen sind, die zudem regelmäßig getestet werden, gehen Sie nur auf einige Komponenten eines effektiven IDR-Programms ein. 
• Disaster Recovery Plan: Ein Verstoß ist nur ein Beispiel eines Ernstfalls, von dem sich Unternehmen erholen müssen. Sobald der erkannte Verstoß vollständig erfasst und die betroffenen Assets, Anwendungen und Benutzer feststehen und eine Weiterverbreitung verhindert wurde, muss es einen Plan geben, um normale betriebliche Prozesse wiederherzustellen. Dies wird einige Zeit in Anspruch nehmen und ist leichter gesagt als getan, aber es ist notwendig, wichtige Systeme so schnell wie möglich wieder zum Laufen zu bringen - die Rückkehr zur Normalität wird auch die Moral im Unternehmen verbessern.

Was wird für die SOC-Einrichtung benötigt? 

Für die SOC-Einrichtung werden drei Hauptelemente benötigt. Unabhängig davon, ob das SOC intern erstellt oder an einen Managed Provider ausgelagert wird, ist die Vorbereitung dieser Kernfunktionen für den Erfolg entscheidend.

Team

Eine wichtige Voraussetzung für die Auswahl der Technologie, unter der das SOC laufen wird, ist die Kenntnis der Rollen der SOC-Analysten und deren Aufgaben. Welche Teams Sie erstellen und welche Aufgaben Sie ihnen erteilen ist von der bestehenden Struktur Ihres Unternehmens abhängig. Wenn Sie beispielsweise ein SOC erstellen, um bestehende Bedrohungserkennungsfähigkeiten und Kapazitäten zur Behebung von Schwachstellen zu erweitern, sollten Sie prüfen, für welche spezifischen Aufgaben die SOC-Teammitglieder Verantwortung tragen und welche von IDR-Teams, die nicht zum SOC gehören, bearbeitet werden.

Außerdem sollten Sie die Zuständigkeiten zwischen den SOC-Analysten aufteilen – und nach Möglichkeit eine SOC-Automatisierung in Betracht ziehen – damit klar ist, wer sich um High-Fidelity-Warnungen kümmert, wer Low-Fidelity-Warnungen validiert, wer Warnungen eskaliert, wer nach aufkommenden Bedrohungen sucht usw. Viele SOC arbeiten mit einem gestaffelten Personalbestand, um klare Zuständigkeiten und Hierarchien zu schaffen.

Technologie

Für die Entscheidung, welche Technologie das SOC verwenden soll, zahlt sich die in die Festlegung der oben genannten Rollen und Aufgaben investierte Zeit aus. Welche Technologie werden sie verwenden? Wahrscheinlich müssen sie Tools für die Protokollaggregation, Nutzerverhaltensanalyse (UBA), Endpunktabfrage, Suchvorgänge in Echtzeit und vieles mehr kombinieren. Es ist wichtig zu verstehen, wie die SOC-Analysten Ihre Technologie nutzen, und festzustellen, ob die vorhandene Technologie die Prozesse unterstützt oder behindert – und ob neue Technologie sie ersetzen muss. Es ist auch wichtig, dass Kommunikationsmittel vorhanden sind, die die Zusammenarbeit zwischen den Analysten ermöglichen. Weitere wichtige Überlegungen:

• Die Umgebung, in der Sie arbeiten (Cloud, On-Premise oder Hybrid) 
• Die Art der Bedrohungen, denen Sie ausgesetzt sind (Malware, Phishing usw.)
• Die Compliance-Mandate, die Sie einhalten müssen (HIPAA, SOC2, ISO 27001 usw.) 

Abläufe

Die Festlegung der Prozesse, die die oben genannten Personen und Technologien befolgen sollen, ist die letzte Komponente, die Sie im Rahmen der ersten Schritte hin zu einem SOC berücksichtigen müssen. Was passiert, wenn ein Sicherheitsvorfall validiert, gemeldet, eskaliert oder an ein anderes Team weitergegeben werden muss? Wie sammeln und analysieren Sie Metriken?

Diese Prozesse müssen präzise genug sein, um sicherzustellen, dass investigative Ansätze nach ihrer Schwere bearbeitet werden, aber mit ausreichender Flexibilität, um nicht in festgefahrene Analyseprozesse zu verfallen. Prozesse können über die Effektivität eines SOC entscheiden. Daher sollten die Arbeitsabläufe für das Incident Management von Anfang an festgelegt werden, um sicherzustellen, dass jeder Schritt im Prozess Teil einer größeren Strategie ist.

Die oben genannten Punkte gelten auch bei der Zusammenarbeit mit einem Managed-SOC-Anbieter. Ein SOC-Anbieter ist ein vertrauenswürdiger Unternehmenspartner und als solches ist es entscheidend, dass er in seinen Mitteilungen, seiner Transparenz, dem Feedback und der Zusammenarbeit mit Ihnen aktiv und verlässlich ist, um sicherzustellen, dass Ihr SOC so erfolgreich und effektiv wie möglich ist.

Erfahren Sie mehr über die SOC-Strategie

• Einführung in die SOC-Sichtbarkeitstriade
• SOC-Serie: Strukturierung und Aufbau eines Security Operations Centers
• Die Zukunft des SOC ist XDR
• SOC: Aktuelles aus dem Blog