5second - stock.adobe.com
Security Operations Center: Ein Team richtig aufbauen
Ein Security Operations Center ist ein guter Ansatz, Gefahren zu begegnen. Aber wie baut man ein solches Team auf? Was gilt es zu bedenken und welche Positionen sind zu besetzen?
Betrachtet man nur die Berichte über erfolgreiche Ransomware-Angriffe auf Unternehmen in den letzten Monaten, wird deutlich, dass Cybersecurity längst zum unternehmenskritischen Faktor geworden ist. Security Operation Center erscheinen dabei als idealer Ansatz, um diesen Gefahren effektiv entgegenzutreten. Durch ein eigenes Team aus Spezialisten, die sich ausschließlich mit Cybersicherheit beschäftigen, stehen Unternehmen jederzeit, auch und besonders in Krisenzeiten, entscheidende Ressourcen zur Verfügung.
Auch wenn man sich angesichts der angespannten Cybersecurity-Lage unter Zeitdruck fühlt, sollte man beim Aufbau eines SOC nichts überstürzen, sondern mit den (personellen) Grundlagen beginnen: einer starken und kompetenten Führungskraft und einem Team praxiserprobter Analysten. Sukzessive kann dann das Team gezielt mit weiteren Cyber-Security-Spezialisten ausgebaut werden (siehe auch Kostenloses E-Handbook: Mit einem SOC die Security erhöhen).
Der wesentliche Faktor für den Erfolg eines SOC ist die Teamleitung. Sie muss die treibende Kraft des Projekts sein und das Team auch gegenüber der Geschäftsführung vertreten und für dessen Belange kämpfen und einstehen. In dieser Rolle kommt es vor allem darauf an, die weiteren (und vor allem auch jüngeren) Teammitglieder im technologischen Bereich anzuleiten, praktischen Wissenstransfer zu ermöglichen und eine Art Mentoring und Coaching zu etablieren. Möchte oder muss man die Teamleitung von außerhalb des eigenen Unternehmens rekrutieren, sollte man nach Personen Ausschau halten, die in Unternehmen ähnlicher Größenordnung beschäftigt sind. Dabei sollte man darauf achten, dass diese Person über umfangreiche Erfahrung mit dem Sicherheits-Stack verfügt, den man selbst einsetzt.
„Unternehmen sollten sich insbesondere in Zeiten des Fachkräftemangels vor allem darauf konzentrieren, ihre Mitarbeiter zu halten.“
Michael Scheffler, Varonis Systems
In einem zweiten Schritt gilt es, das Kernteam zusammenzustellen. Hierbei sollte man auf erfahrene, praxisgeschulte Analysten setzen. Dabei sollte man versuchen, ein vielfältiges Team mit unterschiedlichen Erfahrungen und Schwerpunkten zusammenstellen, also zum Beispiel Sicherheitsanalysten mit einem Schwerpunkt auf Endpoint-Technologie wie EDR (Endpoint Detection and Response), DLP (Data Loss Prevention), Schwachstellen-Scanning und Remediation, Netzwerkexperten und Logging- und Security-Analytics-Spezialisten, welche all die Alarmen und Warnungen, die von Ihren verschiedenen Tools ausgelöst werden, zu einem Bild oder Szenarien zusammenfassen und in der Lage sind, Millionen von Log-Events, die jeden Tag gesammelt werden, forensisch zu untersuchen.
Wichtige Security-Spezialisten im SOC-Team
Steht dieses Team und hat es sich eingespielt, kann man es sukzessive um die für das eigene Unternehmen am dringendsten benötigten Cybersecurity-Spezialisten erweitern. Hierbei sollte man insbesondere diese Felder im Auge haben:
- Sicherheitsarchitekten: Die Experten für Ökosysteme können dabei helfen, die derzeit vorhandenen Anbieter/Tools zu verwalten, ihre Effektivität zu bewerten und neue Lösungen zu testen und zu implementieren. Dabei sollten sie sich nie mit dem Status quo zufriedengeben, sondern kontinuierlich nach Verbesserung streben.
- Incident Response-Spezialisten: Die praxisorientierten Ermittler müssen in der Lage sein, Zeitpläne zu erstellen und große funktionsübergreifende Gruppen in Krisenzeiten zu leiten. Wenn es zu einem Zwischenfall kommt, sind alle Hände voll zu tun. Hierbei ist es von größter Wichtigkeit, dass eine verantwortliche Person die nötige Ruhe schafft, damit sich alle auf ihre (Teil-)Aufgaben konzentrieren und das Wesentliche erreicht wird: die Bedrohung zu stoppen und die Wiederherstellung der Systeme zu erreichen.
- Forensik-Experten: Dies sind die Team-Mitglieder, die verdächtige Ereignisse untersuchen und mögliche Beweise sichern: Wurde dieser Rechner kompromittiert? Gibt es Beweise für eine Exfiltration? Sie müssen oftmals die Nadel im Heuhaufen finden und dafür über einen enormen Spürsinn verfügen, etwa wenn es um die Analyse eines Dump geht (siehe auch Was macht ein Experte im Bereich digitale Forensik?).
- Malware-Reverse-Engineers: Malware-Experten im Team zu haben, ist vor allem dann hilfreich, wenn man Indikatoren für eine bestimmte Schadsoftware in Ihrer Umgebung feststellt. Anstatt sich auf Reverse Engineers mit reiner Sicherheitserfahrung zu konzentrieren, ist es empfehlenswert, hierbei nach ehemaligen Entwicklern und Softwareingenieuren zu suchen.
- Threat Hunter: Hat man durch die genannten Positionen das eigene Sicherheitsökosystem im Griff, erscheint es sinnvoll, proaktiv nach Angriffstaktiken, -techniken und -protokollen zu suchen, die für das eigene Unternehmen, den Standort oder die Branche relevant sind. Diese „Jäger“ nutzen sowohl offene als auch geschlossene Informationsquellen, um die Umgebung nach Anzeichen von Angriffen zu durchforsten (siehe auch Threat Hunter: Security-Bedrohungen beruflich aufspüren).
- Red Team: Verfügt man über ein eigenes Red Team, kann man die eigenen Sicherheitsanstrengungen permanent auf ihre Effektivität überprüfen. Durch die kontinuierliche Durchführung von Angriffssimulationen und Penetrationstests bleibt die Aufmerksamkeit gegenüber Angriffen hoch, mögliche Defizite werden zeitnah erkannt und können entsprechend abgebaut werden.
Worauf man beim Team achten sollte
Sowohl bei der Zusammenstellung als auch beim Ausbau des Teams sollte man auf Diversität achten: Unterschiedliche Fähigkeiten, Hintergründe, Kenntnisse, Fertigkeiten und Erfahrungsstufen ermöglichen Wissens- und Erfahrungsaustausch sowie permanentes, gegenseitiges Lernen – zum Wohl des gesamten Teams. Man sollte eine Kultur der Offenheit schaffen, in der niemand vorschreibt, wie alles zu tun ist, sondern in der sich alle ständig gegenseitig herausfordern, verbessern und lernen. „Gut genug“ ist gerade in der Cybersicherheit niemals genug. Die Angreifer entwickeln sich, ihre Techniken und Taktiken stets weiter. Deshalb muss sich auch das SOC-Team kontinuierlich weiterentwickeln. Hierzu eignen sich regelmäßige Tests der Abwehrmaßnahmen besonders gut.
Unternehmen sollten sich insbesondere in Zeiten des Fachkräftemangels vor allem darauf konzentrieren, ihre Mitarbeiter zu halten. Neben einer positiven Unternehmenskultur spielt hierbei auch die Vergütung eine Rolle, welche auf oder besser über dem Marktniveau liegen sollte. Cybersicherheit darf auch unter diesem Gesichtspunkt nicht als bloßer Kostenfaktor gesehen werden, sondern muss als wesentlicher Teil des Unternehmens betrachtet werden, welcher die Grundlage für nahezu jegliche Prozesse bildet – und entsprechend budgetiert werden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.