Rawpixel.com - stock.adobe.com
Security Operations Center: Das richtige Modell wählen
Viele Firmen überlegen sich, ein Security Operations Center aufzubauen. Die Frage ist nur, ob sie diese Aufgabe selbst erledigen oder dafür einen Dienstleister beauftragen sollen?
Die uns vorliegenden Daten weisen deutlich darauf hin, dass die Einrichtung eines Security Operations Centers (SOC) einen äußerst positiven Einfluss auf die Sicherheitsanstrengungen von Unternehmen haben kann.
Bereits in kurzer Zeit wird ein SOC meist zu einem der wichtigsten Eckpunkte in der Sicherheitsstrategie. Unsere Untersuchungen haben zudem gezeigt, dass besonders erfolgreiche IT-Sicherheitsorganisationen (gemessen an der Zeit, die sie zur Eindämmung einer Cyberattacke benötigen), eine um 52 Prozent höhere Wahrscheinlichkeit haben, bereits ein SOC eingerichtet zu haben.
Allein schon der Start eines SOCs hat einen positiven Einfluss auf die Zeit, die im Durchschnitt benötigt wird, um auf einen Einbruch zu reagieren. Das wird auch dadurch unterstrichen, dass wir zeigen konnten, dass ein SOC für eine deutliche Verbesserung bei den IT-Security-Initiativen von Unternehmen sorgt.
Wie immer liegt der Teufel aber in den Details, wenn es etwa um die durch das SOC eingesetzten Best Practices geht: Als erstes stellt sich dabei in der Regel die Frage, ob Sie die Aufgabe zum Betrieb Ihres Security Operations Centers an einen Dienstleister übergeben oder ob Sie sich selbst darum kümmern wollen? Falls Sie sich für ein Outsourcing entscheiden, nach welchen Kriterien sollten Sie dabei vorgehen?
Die Antworten auf diese Fragen hängen eng mit der Größe des betreffenden Unternehmens und dem geplanten Vorgehen beim Management des SOCs zusammen. Nach unseren Erkenntnissen können große Unternehmen mit mehr als 2.500 Mitarbeitern die Zeit zum Eindämmen eines Vorfalls durch den Aufbau eines eigenen SOCs um 50 Prozent verbessern.
Große Firmen, die sich für ein Outsourcing entschieden hatten, mussten dagegen eine Verschlechterung der benötigten Zeit um rund 58 Prozent verzeichnen. Kleinere Unternehmen mit weniger als 2.500 Mitarbeitern registrierten genau das Gegenteil: Bei den kleineren Firmen, die einen Dienstleister beauftragten, verbesserte sich die Reaktionszeit um rund 50 Prozent. Wenn sie sich aber dafür entschieden hatten, sich selbst um den Aufbau ihres SOCs zu kümmern, verschlechterte sich die Zeit um 50 Prozent.
Warum kleinere Firmen einen positiven Effekt durch Outsourcing verzeichnen
Die auf den ersten Blick erstaunlichen Ergebnisse machen aus logischer Sicht gesehen durchaus Sinn. Der Betrieb eines Security Operations Centers erfordert minimal vier bis acht Vollzeitmitarbeiter. Pro Acht-Stunden-Schicht wird ein Mitarbeiter benötigt. Dazu kommen jeweils ein leitender Angestellter sowie Kollegen, die in Notfällen einspringen können.
Für ein kleines und mittleres Unternehmen (KMUs) stellt das eine recht hohe Belastung dar, die nur schwer zu stemmen ist. Die für den Betrieb des SOCs benötigten Spezialisten müssen nicht nur gut ausgebildet worden sein. Es ist bei der angespannten Lage auf dem Markt außerdem nötig, ihnen Aufstiegschancen zu bieten.
Dazu kommt, dass die Gefahr einer Überlastung oder gar eines Burnouts bei den Mitarbeitern in einem SOC besonders hoch ist. Viele kleine und mittlere Unternehmen haben deswegen nicht die Ressourcen, um diese Probleme selbst lösen zu können.
Die Entscheidung, diese Aufgabe an einen Dienstleister zu übergeben, ist aber nur der erste Schritt. Wir haben deswegen fünf wesentliche Kriterien definiert, die Ihnen bei der Suche nach einem geeigneten Service-Provider behilflich sind und die dafür sorgen können, dass das geplante SOC bestmöglich betrieben wird.
Den Ablauf klären
Zunächst geht es um den operativen Ablauf: Ist der SOC-Anbieter vor allem darauf ausgelegt, Warnungen vor erkannten Gefahren auszusprechen oder kann er seine Aktionen ausweiten und proaktive Maßnahmen ergreifen oder sogar direkt auf Angriffe reagieren?
Auf diese Frage gibt es jedoch keine allgemeingültige Antwort, die für jedes Unternehmen und jede Situation gilt. Es kommt wie so oft auf den Einzelfall an.
Die Antwort auf die Frage hat aber Auswirkungen darauf, wie das interne Sicherheitsteam eines Unternehmens strukturiert sein sollte. Wenn das externe SOC den Kunden zum Beispiel nur über Ereignisse informiert, dann muss das interne Team über das Training, die Werkzeuge und Prozesse verfügen, um auf die Vorkommnisse angemessen reagieren zu können.
Welche Maßnahmen das sein können, wird häufig vorher in einem SOC-Plan festgelegt. Dieser Plan enthält von der IT-Abteilung im Vorfeld definierte Prozesse, um auch in kritischen Situationen den regulären Betrieb aufrecht erhalten zu können.
Zuständigkeiten für einen Plan bestimmen
Zweitens besteht natürlich auch die Möglichkeit, dass das SOC die erforderlichen Maßnahmen selbst durchführt. Dabei muss man sich aber die Frage stellen, von wem und wie der Plan dafür am besten erstellt werden soll? Das ist unabhängig von der Frage, wer die Maßnahmen dann letztlich durchführt. Verfügt der SOC-Provider über einen standardisierten Plan, der an die einzelnen Kunden angepasst werden kann? Oder sollte der Kunde sich selbst komplett darum kümmern?
Dienste und Angebot überprüfen
Mit dem dritten Schritt können Sie sicherstellen, dass Ihr SOC bestmöglich funktioniert. Überprüfen Sie das Portfolio Ihres ausgewählten SOC-Anbieters. Welche Dienste bietet er an, wenn es um den First-, Second- und Third-Level-Support geht? Bietet er auch proaktive Dienste anstatt rein reaktiven Services an? Beispiele sind etwa Threat Hunting, Penetrationstests oder Red- beziehungsweise Purple-Team-Übungen.
Reaktive Dienste gehören zu den Grundpfeilern für alle SOC-Anbieter. Proaktive Dienste können aber zusätzlich dafür sorgen, dass Sie als Kunde weniger abhängig von anderen Dienstleistern werden und dass Ihre Absicherung dabei trotzdem noch einmal deutlich verbessert werden kann.
Die Wahl der Werkzeuge
Viertens sind auch die Tools und Techniken von Bedeutung, die ein SOC-Provider nutzt. Die Wahl der passenden Werkzeuge hat einen großen Einfluss auf die Zusammenarbeit. Das gilt insbesondere dann, wenn zwischen den Bedürfnissen des Kunden und den Angeboten des Providers nur geringe Übereinstimmungen bestehen. Stellen Sie Ihrem Anbieter deswegen die folgenden Fragen:
- Arbeitet er mit den Tools, die Sie als Kunde wünschen oder setzt er dafür andere Lösungen ein?
- Wem gehören die Lizenzen der genutzten Tools und Lösungen? Ungeklärte Besitztümer und Lizenzen können später zu Folgekosten und Problemen führen.
- Wie gut oder schlecht integriert sich der Provider in das von seinen Kunden genutzte Lösungsportfolio?
Einen möglichen Ausstieg berücksichtigen
Kommen wir zum letzten Punkt. Auch wenn es zunächst etwas widersinnig klingen mag, ist auch die Frage wichtig, wie sich die Verbindung zum Dienstleister wieder beenden lässt? Häufig sind Unternehmen über lange Zeit in einer geschäftlichen Beziehung geradezu gefangen, weil der auch Offboarding genannte Trennungsprozess komplex und vor allem teuer ist. Die beste Methode, um diese Probleme zu vermeiden, ist die dafür nötigen Schritte bereits im Vorfeld zu klären.
Zusammengefasst lässt sich festhalten, dass kleinere Unternehmen in der Regel mit einem dedizierten SOC-Dienstleister am besten fahren. Sie sollten jedoch eine gründliche Evaluierung der in Frage stehenden Provider vornehmen und das jeweilige operative Modell sowie den Ablauf der Prozesse genau kennen und verstehen.
Außerdem sollten Sie sich genau über das angebotene Service-Portfolio, die verwendeten Tools sowie Techniken und den Offboarding-Prozess informieren. Wenn Sie die genannten Punkte in Ihre Planungen einbeziehen, können gerade auch kleinere und mittlere Unternehmen ihre Sicherheitsbestrebungen mit einem Security Operations Center auf eine neue Stufe heben.