Fotolia

Ganzheitlicher Schutz dank Security Operations Center

Die bisherigen Sicherheitskonzepte reichen längst nicht mehr aus, um Unternehmen zu schützen. Möglich ist das mit einem Security Operations Center.

Cyberattacken werden im Zeitalter der Digitalisierung immer gezielter und langfristiger geplant, zudem verändern sich die Angriffsvektoren. Die bisherigen Sicherheitskonzepte reichen längst nicht mehr aus, um Unternehmensdaten zu schützen. Organisationen müssen akzeptieren, dass Attacken jederzeit erfolgen können.

Deshalb geht es bei heutigen Sicherheitskonzepten darum, Angriffe möglichst schnell zu erkennen und darauf zu reagieren – und das rund um die Uhr. Möglich ist das nur mit einem ganzheitlichen Security Operations Center.

Bislang basieren IT-Sicherheitskonzepte in der Regel auf dem „vulnerability-centric approach“ (schwachstellenbasierten Ansatz). Sie beruhen auf der Annahme, dass ein Angreifer in ein Netzwerk eintauchen kann, indem er auf Anwendungs- oder Betriebssystemebene eine Softwareschwachstelle ausnutzt. Der Fokus liegt dabei auf den verwendeten Tools und der Fähigkeit, diese entsprechend zu konfigurieren, um Bedrohungen zu vermeiden. Allerdings greifen dieses Konzept und die reine Prävention angesichts der vielfältigen Bedrohungsszenarien heute zu kurz. Denn ein motivierter Angreifer wird immer einen Weg ins Netzwerk finden – sei es über Social Engineering oder Zero-Day Exploits.

Warum reicht ein schwachstellenbasierter Ansatz nicht aus?

Die Messung des Erfolgs oder Misserfolgs bei dem schwachstellenbasierten Ansatz konzentriert sich auf die Fähigkeit, Bedrohungen zu vermeiden. Dies ist mittlerweile der falsche Ansatz, denn die Prävention schlägt irgendwann fehl. Die Erfolgsmessung sollte belegen, wie effektiv eine Bedrohung erkannt, analysiert und mit einer entsprechenden Reaktion eskaliert wird.

Sobald Unternehmen erkennen, dass es letztendlich keine Rolle spielt, wie sie angegriffen werden, können sie ihre Ressourcen von reinen Vorsorgemaßnahmen hin zu einer „Threat-centric Security“ (bedrohungszentrierten Sicherheit) verlagern. Dabei spielen Tools zwar immer noch eine wichtige Rolle, der Fokus in einem Security Operations Center (SOC) liegt jedoch auf den Menschen – und damit auf den kompetenten Analysten, die Bedrohungen aufspüren und gezielt darauf reagieren.

Ein erfolgreiches SOC braucht eine Experten-Task Force

Diese Analysten müssen über ein umfassendes Wissen verfügen, unter anderem in den Bereichen:

  • Kontinuierliche Sicherheitsüberwachung
  • TCP/IP und übergreifende Anwendungsschicht-Protokolle
  • Paketanalyse (tcpdump, Wireshark)
  • Verständnis von Windows-, Linux- und Mac-Architekturen
  • Daten-Parsing-Fähigkeiten (bash, grep, sed, awk, etc.)
  • IDS (Snort, Suricata) und Next-Gen IDS (Bro)
  • SIEM-Analyse
  • Indikatoren von Angriffen und von Bedrohungen
  • Threat Intelligence Gathering
  • Malware-Analyse
  • Programmierkenntnisse (C/C++, Perl, Python, PHP, Java)
  • Host-basierte Forensik
  • Offensive und defensive Taktik

Neben erfahrenen Sicherheitsexperten sollten im SOC-Team zusätzlich junge Fachkräfte tätig sein, die die Fähigkeiten zur Auswertung heutiger Bedrohungen besitzen und noch weiter ausbauen können.

Fundamentales Verständnis der Basisfähigkeiten unerlässlich

Der „Level 1“-Analyst besitzt die oben genannten Basisfähigkeiten. Allerdings ist er nicht auf bestimmte Bereiche spezialisiert. Seine Aufgabe ist es, IDS- und SIEM-Alarme und Protokolle zu überprüfen sowie auf Basis der Ergebnisse eine Analyse durchzuführen. Sein Ziel ist es, laufend weitere Kompetenzen zu erlangen.

Je mehr Protokolle, Pakete und Ereignisse ein Analytiker betrachtet, desto größer wird sein Verständnis für die Bedrohungen in seinem Umfeld. In den meisten Unternehmen gehört die Mehrheit der Analysten zu diesem Level 1. Eine Klassifizierung der Teammitglieder nach Fähigkeiten ist nicht nur bei der Einstellung hilfreich, sondern auch bei der Definition von erreichbaren Zielen von entscheidender Bedeutung.

SOC effizienter gestalten

„Level 2“-Analysten hingegen arbeiten auch daran, das SOC zu verbessern und effizienter auszurichten. Sie nehmen aktiv an der Gestaltung der Erkennungs- und Reaktionsprozesse im SOC teil. Dazu gehören Aufgaben wie das Erstellen von Signaturen, die auf Netzwerkereignissen und/oder Malwareanalysen basieren, sowie die taktische Erforschung von Bedrohungen, Techniken und Vorgehensweisen potenzieller Angreifer.

Darüber hinaus entwickelt der Level-2-Analyst auch Kompetenzen, um verschiedene Datenquellen manuell zu analysieren sowie Angriffe und Bedrohungen zu identifizieren, anstatt sich nur auf automatisierte Werkzeuge zu verlassen.

Senior-Analytiker mit umfassendem Know-how

Der „Level 3“-Analyst ist der Senior-Analytiker im SOC. Er besitzt in allen oben genannten Bereichen Erfahrung und in mindestens zwei Fachgebieten eine Qualifizierung. Es handelt sich hierbei um Führungskräfte des Security Operations Center. Sie befassen sich mit dem Mentoring der anderen Analysten, entwickeln Schulungen, stellen diese bereit und untersuchen komplexe, forensische Vorgänge.

„Es ist unerlässlich, einem bedrohungszentrierten Ansatz zu folgen. Unternehmen können sich nicht mehr ausschließlich auf schwachstellenbasierte Technologien verlassen.“

Alex Fürst, Rackspace

 Sie sind in erster Linie für die Entwicklung und Verbesserung der Erfassungs- und Erkennungsfunktionen des SOC verantwortlich. Dazu gehören sowohl die Bewertung bestehender SOC-Tools als auch die Konzeption und Entwicklung neuer Werkzeuge. Zudem arbeiten sie eng mit den Mitarbeitern zusammen, die für die Tool-Verwaltung zuständig sind. So stellen sie sicher, dass die Intelligenz dieser Werkzeuge im SOC genutzt wird.

Kultur des Lernens schaffen

Von besonders großer Bedeutung im SOC ist eine „Kultur des Lernens“. Denn Ideen und Innovationen sind die Basis für Motivation und Bildung. Die Arbeitskultur eines SOC sollte jedoch nicht nur auf dem Lernen basieren, sondern auch das Lernen erleichtern, fördern und belohnen. Darüber hinaus spielt das Teambuilding eine wichtige Rolle und erfordert von allen beteiligten Analysten ein entsprechendes Engagement.

Analysten, die einander vertrauen und gerne Zeit miteinander verbringen, sind bei der Erkennung und Bekämpfung von Bedrohungen deutlich effektiver. Zudem trägt ein engagiertes Team dazu bei, eine Kultur des Lernens zu fördern.

Manpower erforderlich

Um ein SOC 24x7x365 vollständig zu betreuen, sind laut Einschätzung des Sicherheitsexperten Ed Ray mindestens 17 Mitarbeiter (vier Level 3, vier Level 2, acht Level 1 und ein Manager) erforderlich. Gerade mittelständische Unternehmen haben oft selbst nicht genügend Ressourcen, um ein solches ganzheitliches SOC auszustatten und die Kollegen kontinuierlich aus- und weiterzubilden.

Um die Bedrohungen von heute und morgen bekämpfen zu können, ist es jedoch unerlässlich, einem bedrohungszentrierten Ansatz zu folgen. Unternehmen können sich nicht mehr ausschließlich auf schwachstellenbasierte Technologien verlassen und sollten eine Kosten-/Risikoanalyse durchführen, um zu bestimmen, in welchen Bereich sie mehr investieren wollen.

Über den Autor:
Alex Fürst ist Vice President DACH bei Rackspace.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Threat Intelligence: Bedrohungsanalysen verstehen und richtig einsetzen

IT-Security: Technologie alleine löst keine Sicherheitsprobleme

Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen

Aktuellen Malware-Bedrohungen richtig begegnen

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close