Gorodenkoff - stock.adobe.com
Security Operations Center: Gebündelte Kräfte gegen Angriffe
Um der wachsenden Bedrohungslage zu begegnen, brauchen Unternehmen eine Schaltzentrale, in der sämtliche Fäden der Cybersicherheit zusammenlaufen. Ein Security Operations Center.
Ein moderndes Security Operations Center zeichnet sich durch effiziente Prozesse, fortgeschrittene Tools und spezialisierte Analysten aus. Den technischen Kern bildet ein SIEM, ein Security Information and Event Management System wie beispielsweise QRadar von IBM.
Es sammelt Log-Daten der verschiedenen Systeme im Netzwerk und analysiert sie auf verdächtige Aktivitäten. Entdeckt das SIEM Auffälligkeiten, alarmiert es die SOC-Mitarbeiter, die die Gefahrenmeldungen bewerten, Fehlalarme aussortieren und gegebenenfalls tiefergehende Analysen vornehmen. Die Cyber-Security-Experten priorisieren die Vorfälle und leiten weitere Schritte ein, um sie angemessen zu behandeln. Dabei folgen sie exakt definierten Prozessen, die in sogenannten Playbooks festgeschrieben sind.
SIEM-Systeme bringen bereits einen hohen Automatisierungsgrad mit sich. Sie werden durch SOAR-Tools (Security Orchestration Automation and Response) ergänzt. Diese ermöglichen es, die verschiedenen Elemente eines SOC zu integrieren und Routine-Tätigkeiten (Runbooks) zu automatisieren. So verbinden SOAR-Tools zum Beispiel Tier-2- und Tier-3-Teams des gleichen SOC, mehrere SOC eines Anbieters, SOC und Kunden, oder SOC und Hersteller. Die Automatisierung beschleunigt Prozesse und reduziert Fehler.
Gefahren proaktiv aus dem Weg räumen
Ein modernes SOC leistet jedoch weitaus mehr, als Cybervorfälle schneller zu entdecken und zu behandeln: Es trägt auch dazu bei, Risiken proaktiv zu minimieren. Mit Threat Hunting wird das Netzwerk zum Beispiel sukzessive auf mögliche Bedrohungen durchforstet. Außerdem lässt sich mit Hilfe von Threat Intelligence sowie regelmäßigen Schwachstellenscans prüfen, ob die Infrastruktur Schwachstellen aufweist und somit anfällig für Angriffe ist.
Threat Intelligence Services informieren frühzeitig über neue Bedrohungen. Durch einen Abgleich mit den Schwachstellenanalysen erfährt das SOC-Team, inwieweit die Umgebung davon betroffen sein könnte. So können die Cyber-Security-Spezialisten Gegenmaßnahmen ergreifen, bevor es überhaupt zu einem Vorfall kommt. In die proaktive Überwachung fließen auch Informationen über externe Bedrohungen ein – zum Beispiel aus dem Dark Web oder Deep Web.
Dank KI-Unterstützung schneller und effizienter handeln
Um dem SOC-Team die Arbeit zu erleichtern und Prozesse weiter zu beschleunigen, setzen moderne SIEM-Plattformen bereits KI-Funktionalität (künstliche Intelligenz) ein. Die künstliche Intelligenz kann gute Analysten zwar nicht ersetzen, unterstützt sie aber bei der Entscheidungsfindung.
So ermöglicht es der IBM QRadar Advisor with Watson zum Beispiel, komplexe Zusammenhänge einer Bedrohungslage zu erkennen und schneller qualifiziert darauf zu reagieren. Dabei sammelt Machine Learning Informationen über ein Ereignis und entwirft daraus ein Modell, das sich automatisch für künftige ähnliche Fälle adaptieren lässt.
Eine andere hilfreiche KI-Funktion ist QRadar User Behavior Analytics (UBA). Sie analysiert Benutzeraktivitäten, um Insider mit bösen Absichten oder kompromittierte Accounts zu erkennen. UBA untersucht QRadar-Sicherheitsdaten mit maschinellem Lernen und Verhaltensanalysen, berechnet Risiko-Scores für Benutzer und warnt bei hochriskanten Vorfällen.
IT und OT Security verbinden
Auch Security für Operational Technology (OT) lässt sich bereits heute in ein SOC integrieren. Dafür müssen sich die Analysten allerdings mit den verschiedenen abzusichernden Gerätetypen auskennen.
„Die Verfügbarkeit und die Effizienz von Produktionsprozessen haben stets Vorrang und dürfen nicht gefährdet werden – auch nicht durch Gegenmaßnahmen.“
Volker Scholz, Axians
Denn nur wenn sie wissen, welche Ereignisse ein Gerätetyp erzeugen kann, sind sie in der Lage, Ursachen für Vorfälle zu ermitteln. Außerdem gelten im OT-Umfeld andere Prioritäten als in der IT.
Die Verfügbarkeit und die Effizienz von Produktionsprozessen haben stets Vorrang und dürfen nicht gefährdet werden – auch nicht durch Gegenmaßnahmen. Schnell einmal Geräte zu isolieren oder bestimmte Firewall-Ports zu schließen ist also keine Option. Denn das könnte unter Umständen die gesamte Produktion lahmlegen und Ausfallkosten verursachen, die den potenziellen Schaden des Cyberangriffs deutlich übersteigen.
SOC als Managed Service
Ein leistungsfähiges SOC im eigenen Haus aufzubauen und zu betreiben, ist teuer und komplex. Es erfordert nicht nur fortgeschrittene Security-Technologie, sondern auch Best-Practice-Prozesse und qualifizierte Spezialisten.
Diese sind in Zeiten des Fachkräftemangels jedoch schwer zu finden. Eine Alternative ist daher, ein SOC als Managed Service von einem spezialisierten Dienstleister zu beziehen. Dieser kümmert sich um sämtliche Aspekte – von der Bereitstellung der Sicherheitskomponenten über den Betrieb bis zur Überwachung der firmeneigenen Umgebung.
Oftmals können Kunden auf kleiner Basis starten und dann ganz nach Bedarf skalieren, sowohl was Umfang der Dienstleistungen als auch Art und Menge der angebundenen Datenquellen anbelangt. So wird es für Unternehmen aller Größenordnungen praktikabel und erschwinglich, ihr Sicherheitslevel mit einem modernen SOC anzuheben.
Über den Autor:
Volker Scholz ist SOC Manager Deutschland bei Axians.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.