sdecoret - stock.adobe.com

Security Operations Center: Metriken erstellen und einsetzen

Mit den richtigen Metriken lässt sich die Effektivität der in einem Security Operations Center (SOC) umgesetzten Maßnahmen zum Schutz eines Unternehmens bewerten und verbessern.

Für viele Sicherheitsexperten sind Metriken und Kennzahlen fast schon so etwas wie der heilige Gral in der IT-Security. Die Möglichkeit, den aktuellen Sicherheitsstatus in einem Unternehmen kontinuierlich zu überwachen, zu messen, zu analysieren und gegenüber anderen zu kommunizieren, ist aber auch tatsächlich ein überzeugender Punkt.

Ein Gebiet, in dem Metriken besonders wichtig sind, ist das Security Operations Center (SOC). Trotz dieser hohen Bedeutung haben viele SOC-Teams Schwierigkeiten, geeignete Metriken und KPIs (Key Performance Indicator) zu finden, die sie für ihre Tätigkeiten benötigen und um damit ihre Sicherheitsmaßnahmen zu verbessern.

Warum ein SOC Metriken benötigt

Viele Unternehmen mussten erst mühsam lernen, dass in ihrer IT-Infrastruktur zusammengekratzte Logdaten in der Regel kein vollständiges Lagebild ergeben. In der Folge wurden ihre Rechenzentren immer weiter entwickelt und die ersten spezialisierten SOCs eingerichtet.

Ein Security Operations Center übernimmt zahlreiche Funktionen. Sie reichen vom Implementieren und Verwalten der benötigten Security-Lösungen, über das Entdecken und Analysieren von Bedrohungen, das Reagieren auf sicherheitsrelevante Vorfälle, das Überprüfen der Compliance-Vorgaben bis zu weiteren administrativen Aufgaben, die aus Sicherheitssicht eine Bedeutung für das jeweilige Unternehmen haben.

Viele SOCs entstanden aus der Arbeit von Administratoren, die bereits IT-Security-Plattformen wie SIEM-Lösungen (Security Information and Event Management) zur Überwachung ihrer IT-Infrastruktur einsetzten. Einige entschieden sich in der Folge dafür, ihr SOC selbst im eigenen Haus zu betreiben. Andere setzen lieber auf die Angebote von spezialisierten Dienstleistern und Cloud-Providern, die den Betrieb eines SOCs komplett oder in Teilen übernehmen.

Mittlerweile haben viele dieser Produkte einen ausgereiften Zustand erreicht. Nach und nach wurden zum Beispiel weitere Prozesse für etwa Security Analytics integriert. Sie bieten aus Sicht der IT-Security einen zusätzlichen Mehrwert und helfen dabei, die Effektivität der getroffenen Maßnahmen einzuschätzen.

Die Bedeutung von Kennzahlen nimmt aber noch weiter zu, da sie ideal sind, um die IT-Umgebung eines Unternehmens zu überwachen und, sofern nötig, Anpassungen daran vorzunehmen. Aber was ist überhaupt ein sicherheitsrelevanter Vorfall ist und was nicht? Nicht alle Ereignisse haben denselben Effekt oder benötigen dieselbe Reaktion.

Individuelle SOC-Metriken erstellen

Es gibt für Unternehmen mehrere, bislang vor allem englischsprachige Quellen, um sich umfassend über Sicherheitsmetriken zu informieren. Ein Beispiel ist das bahnbrechende Buch Security Metrics: Replacing Fear, Uncertainty, and Doubt von Andrew Jaquith. Das Center for Internet Security (CIS) hat zudem den Ratgeber A Measurement Companion to the CIS Critical Security Controls veröffentlicht, der als PDF heruntergeladen werden kann. Vom SANS Institute stammt die Übersicht Common and Best Practices for Security Operations Centers: Results of the 2019 SOC Survey, die ebenfalls als PDF zur Verfügung steht. Auf der Webseite des National Institute of Standards and Technology (NIST) befindet sich die National Vulnerability Database. Sie liefert vorgefertigte Metriken für bereits bekannt gewordene Schwachstellen.

Auf Basis dieser Informationsquellen kann das IT-Security-Team eigene SOC-Metriken für die wichtigsten Prozesse und Ressourcen im Unternehmen entwickeln. Diese Aufgabe darf aber nicht nur einmal durchgeführt werden, sondern sollte kontinuierlich ergänzt werden. Nicht empfehlenswert ist es zudem, sich nur auf die Fähigkeiten einer bereits vorhandenen SIEM-Lösung oder einem anderen Security-Tool zu beschränken. Das gilt auch für eventuelle Einschränkungen durch die Lizenzen dieser Anwendungen.

Wenn sich ein Unternehmen für einen bestimmten SOC-Dienstleister entscheidet, sollten die benötigten Kennzahlen im Vorfeld definiert und in einem Vertrag festgehalten werden. Nur so kann sichergestellt werden, dass das Security Operations Center die erforderlichen Metriken auch wirklich generiert und unterstützt.

Beispiele für wichtige SOC- und KPI-Kennzahlen

Auch wenn viele SOC-Metriken und -KPIs auf spezifische Firmen oder Branchen zugeschnitten sind, gibt es doch auch eine Reihe von allgemein gültigen Kennzahlen, die eine Bedeutung für die gesamte IT-Security haben. Zu ihnen gehören die Folgenden:

  • Aktueller Betriebszustand der Infrastrukturkomponenten,
  • Anzahl der Tickets und Vorfälle in der Cybersicherheit,
  • Schweregrad der gemeldeten Security-Tickets beziehungsweise -Vorfälle,
  • benötigte Zeit bis zur Erkennung von Cyberbedrohungen (meist bezeichnet als „mittlere Zeit bis zur Erkennung oder Entdeckung“),
  • Zeit bis zur ersten Reaktion auf erkannte Cyberbedrohungen,
  • Zeit bis zur Eindämmung von Security-Bedrohungen,
  • Zeit bis zur Behebung einer bekannt gewordenen Cyberbedrohung,
  • mittlere Zeit bis zur Wiederherstellung oder Reparatur aller betroffenen Systeme,
  • von Security-Tools erkannte Bedrohungen in einem bestimmten Zeitraum,
  • Zahlen und Fakten zu globalen Bedrohungen,
  • Zugriffsberechtigungen für Benutzer und Gruppen auf Daten und Anwendungen,
  • Zahlen zum Onboarding sowie Offboarding,
  • Bewertung von False Positives sowie True Positives und
  • Stand der Einhaltung der geltenden Compliance-Vorgaben.

Mit SOC-Metriken die Sicherheitslage verbessern

Die Bedürfnisse von Unternehmen in Bezug auf für sie relevante Security-Metriken hängen von den verwendeten Tools ab, von der Größe der vorhandenen Infrastruktur und den Fähigkeiten des Security-Teams. Grundlegende Sicherheitskontrollen lassen sich auf die Tools und Prozesse abbilden, um damit potenzielle Metriken zu identifizieren. Ein paar Beispiele:

Das Monitoring und Auswerten der Firewall-Alerts sowie fehlgeschlagener Login-Versuche ist spätestens dann hilfreich, wenn ein plötzlicher Anstieg dieser Metriken registriert wird. Eine Spitze bei den Ereignissen kann bedeuten, dass gerade böswillige Aktivitäten im Gange sind.

Moderne IT-Security-Programme nutzen heutzutage meist KI-Techniken (künstliche Intelligenz), um diese Analysen über einen längeren Zeitraum zu erleichtern. Die KI kann zum Beispiel statistische Schwellenwerte berechnen, so dass bei Überschreitung dieser Werte eine Meldung an den Administrator ausgelöst wird. Teilweise ist es auch möglich, dabei gleich noch die Ursache des sicherheitsrelevanten Vorfalls zu identifizieren.

Besonders viel Aufmerksamkeit sollte darüber hinaus darauf gelegt werden, welche Daten in das Monitoring ein- und welche ausgeschlossen werden. So decken die erfassten Metriken nicht alle Bereiche in einer IT-Umgebung ab, wenn ein Unternehmen auch Server, Apps und Daten aus der Cloud nutzt, diese aber nicht durch das SOC überwacht werden. Daher muss ein SOC alles überwachen und analysieren können, was aus geschäftlicher Sicht von Bedeutung für das Unternehmen ist.

Grundlegende SOC-Metriken sollten sich auf sicherheitsrelevante Alerts aus dem Netzwerk oder von den Servern konzentrieren. Wichtig sind auch alle forensischen Erkenntnisse aus der Untersuchung von Vorfällen sowie Informationen über Gegenmaßnahmen oder Compliance-Berichte, die aus SIEM- oder SOAR-Lösungen (Security Orchestration Automation and Response) stammen. Jede dieser Kategorien kann meist noch in weitere Metriken unterteilt werden, die sich zum Beispiel auf die jeweils eingesetzten Security-Tools beziehen.

Die meisten IT-Security-Teams erfassen alle Log-Dateien der auf den Endpoints installierten Sicherheitsprogramme und reagieren umgehend, wenn dort eine gefährliche Malware entdeckt wird. Daraus lässt sich ebenfalls eine Metrik erstellen, die sicherheitsrelevante Vorfälle erfasst und dabei die Zeit misst, die benötigt wird, um sie einzudämmen. Die so entstehenden Daten können genutzt werden, um zum Beispiel KPIs für die Kosten der Maßnahmen zu erstellen. Auch kann damit überprüft werden, wie effektiv bestimmte Schritte wirklich sind.

Das Security-Team sollte darüber hinaus auch alle Zeiten für die unterschiedlichen Maßnahmen während einer Reaktion auf einen Vorfall erfassen. Das beginnt bei den durch ein Security-Tool ausgelösten Alerts, umfasst die Zeit, die ein menschlicher Mitarbeiter für seine Analyse benötigt bis zu dem Punkt, an dem der Analyst oder auch ein KI-basiertes Programm das Problem lösen kann. Das Messen und Untersuchen jedes dieser Schritte ist sehr hilfreich dabei, die Effektivität der einzelnen Schritte zu bewerten.

So lassen sich auch Möglichkeiten entdecken, wie die Prozesse verschlankt und beschleunigt werden können. Leider wird der Vorgang des Sammelns und Analysierens von Daten aus dem SOC immer komplizierter, je mehr Systeme selbst für einzelne Vorfälle genutzt werden. Das gilt insbesondere für alle Fälle, bei denen sensible Daten betroffen sind. Ein menschlicher Analyst kann mit Hilfe einer KI unter anderem auch prüfen, wann ein Vorfall das erste Mal bemerkt wurde. So kann er unter anderem die Effektivität der auf den Endpoints eingesetzten Sicherheitslösungen kontrollieren.

Das Überwachen und Auswerten der Effektivität der diversen eingesetzten Security-Tools ist hilfreich, um die besten herauszufiltern und andere auszusortieren, die mit moderneren Alternativen ersetzt werden können. Das Security-Team sollte prüfen, wie lange es jeweils gedauert hat, bis ein Tool überhaupt bemerkt hat, dass etwas Schädliches geschehen ist. Außerdem ist von Bedeutung, ob ein Tool den Beginn und das Ende eines Vorfalls korrekt erfassen konnte oder ob eventuell ein ganz anderes Werkzeug den Alert ausgelöst hat.

Diese Punkte zeigen, wie wichtig es ist, die Effektivität der eingesetzten Lösungen zu bewerten und dabei auch zu prüfen, wie gut oder schlecht sie konfiguriert wurden. Gegebenenfalls sollten sie ersetzt werden, um den Gesamtschutz des Unternehmens zu verbessern.

Erfahren Sie mehr über IT-Sicherheits-Management