Fotolia

Security Operations Center: Der bedrohungszentrierte Sicherheitsansatz

Ein Security Operations Center bietet einen ganzheitlichen Sicherheitsansatz, der, in mehreren Schritten eingeführt, Schutz vor Angriffen bietet.

Der Aufbau eines Security Operations Centers bietet Unternehmen einen ganzheitlichen Schutz. Dies beinhaltet aber auch das Vorhandensein bestimmter Prozesse, um proaktiv auf Bedrohungen innerhalb einer IT-Umgebung zu reagieren. Diese Prozesse müssen daher eine sich verändernde Bedrohungslandschaft berücksichtigen. Gängige Angriffe basieren typischerweise auf einer einzigen Technik (DDoS, Virus, Trojaner, dateibasiert), die über alle Plattformen hinweg konsistent ist.

Die Bedrohungen haben sich mittlerweile schnell weiterentwickelt und nutzen heute nichtlineare Techniken wie zellbasierte Malware. Außerdem sind diese Angriffe andauernder und vielfältiger, wobei Bedrohungsakteure mit spezifischen Zielen einbezogen werden. Deswegen braucht man heute einen ganzheitlichen Ansatz, der, in mehreren Schritten eingeführt, optimalen Schutz vor Angriffen bietet.

Vorbereitung

In der Vorbereitungs- beziehungsweise Testphase ist es wichtig, dass jeder im Unternehmen weiß, was zu tun ist, wenn eine Bedrohungslage eintritt: Aus diesem Grund ist es notwendig, die Herangehensweisen und Methoden durchzuspielen und anzupassen. Im Falle eines Vorfalls sollten effektive Berichtsprozesse greifen, um die zuständigen Teams effizient zu aktivieren.

Ein guter Anfang zur Vorbereitung ist das Gegenprüfen der eigenen Kontrollmechanismen mit denen des Zentrums für Internet Security Critical Security Controls. Beispiele für diese Kontrollen sind die Verdichtung ihrer Host-Umgebungen, die Implementierung von Patch-Management und User-/Account-Monitoring. Diese Kontrollen sind ein empfohlener Ansatz zur Verteidigung gegen Cyberattacken. Sie enthalten spezifische und umsetzbare Möglichkeiten, um die mittlerweile allgegenwärtigen und gefährlichen Angriffe zu stoppen und Prioritäten zu setzen. Damit kann sich auf eine kleinere Anzahl von Aktionen konzentriert und gleichzeitig eine größere Anzahl an positiven Ergebnissen erzielt werden.

Während sich diese Liste beliebig fortführen ließe – dabei können Unternehmen ihre eigenen kundenspezifischen Richtlinien und Verfahren haben – sollten die angegebenen Methoden eine solide Grundlage für den Schutz eines Unternehmens gegen Angriffe darstellen, damit das Security Operations Center in der Lage ist, eine Bedrohung abzuwehren.

Nachdem Sie die Umgebung mit den oben beschriebenen Best Practices vorbereitet haben, ist Ihr Security Operations Center bereit für Maßnahmen. Denken Sie an die zentralen Schritte zur Abwehr von Angriffsszenarien:

  • Vorbereitung: Sammeln und Kennenlernen der notwendigen Werkzeuge, sich mit der Umgebung vertraut machen;
  • Identifizierung: Ermitteln des Vorfalls, Analyse des Umfangs und Einbeziehen der entsprechenden Parteien;
  • Eindämmung: Eindämmen des Vorfalls, um seine Wirkung auf benachbarte IT-Ressourcen zu minimieren;
  • Wiederherstellung: Das System so aufbauen, dass ein geregelter Betrieb möglich ist;
  • Sicherung/ Neuinstallation: Wiederherstellung des Systems auf normale Operationen, eventuell über Neuinstallation oder Backup;
  • Nachbearbeitung: Weitergabe der gesammelten Daten und Integration der neugewonnenen Erkenntnisse.

Erkennen

In dieser Phase ist es entscheidend, nicht nur Systeme und Netzwerke zu überwachen, sondern proaktiv zu agieren. Raffinierte Angreifer wissen, wie man traditionelle Verteidigungsmethoden umgeht.

Der bedrohungszentrierte Ansatz ermöglicht es, Verhaltensänderungen sowohl auf der Netzwerk- als auch auf der Host-Ebene zu erkennen. Um die Veränderungen im Verhalten zu erfassen, sind eine proaktive Cyberjagd sowie eine Echtzeit-Bedrohungs-Intelligenz ratsam. Erste gute Informationen zu Erkennungsverfahren liefert der Fragebogen initial security incident.

Reagieren

Hier ist es wichtig, dass das Personal im täglichen Betrieb in der Lage ist, proaktiv zu reagieren, sobald Bedrohungen in der Umgebung beobachtet werden. Oft wird dieser Schritt dem Zufall überlassen und ist dann ungenau oder dauert zu lange. Damit gewinnt der Angreifer letztlich Zeit und kann ungehindert in das System eindringen. Daher ist die Reaktionsgeschwindigkeit enorm wichtig.

„Der bedrohungszentrierte Ansatz ermöglicht es, Verhaltensänderungen sowohl auf der Netzwerk- als auch auf der Host-Ebene zu erkennen.“

 Alex Fürst, Rackspace

 

Das Security Operations Center muss in der Lage sein, durch vorab genehmigte Maßnahmen sofort auf Bedrohungen in der Umgebung zu reagieren. Diese Maßnahmen sollten von den Interessensgruppen und der Betriebszentrale gemeinsam vereinbart werden. Abweichungen und Ausnahmen von der festgelegten Handhabung sollten dem Team bekannt sein und dokumentiert werden.

Auswerten

Schließlich ist eine ordnungsgemäße Auswertung und Analyse erforderlich. Diese Berichterstattung sollte drei Meldungsformen beinhalten: Sofortbericht, wöchentlicher Turnus und monatlicher Turnus.

Sobald ein Vorfall eintritt, sollte innerhalb von 90 Minuten ein Sofortbericht an die informationsberechtigten Personen der Organisation übermittelt werden. Dieser Bericht gibt Auskunft über die Tätigkeit in der IT-Umgebung, die es dem Analytiker ermöglicht, die Bedrohung und ihre Schwere zu bestimmen.

Sofortberichte sind dynamisch und werden in Echtzeit so weit wie möglich aktualisiert. Wöchentliche Berichte sollten die Bedrohungen in der Umgebung und die Schwere des bedrohlichen Ausmaßes aufzeigen. Monatliche Berichte beinhalten im Detail die Erkenntnisse der wöchentlichen Berichte und bilden eine zukunftsorientierte Bedrohungsintelligenz ab. Diese ermöglicht es den entsprechenden Personen, potenzielle zukünftige Bedrohungen für die Umgebung zu betrachten und die Vorbereitungs-, Erkennungs- und Reaktionsprozesse anzupassen. Damit lässt sich das Risiko für Anfälligkeiten erheblich reduzieren.

Über den Autor:
Alex Fürst ist Vice President DACH bei Rackspace.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ganzheitlicher Schutz dank Security Operations Center

Threat Intelligence: Bedrohungsanalysen verstehen und richtig einsetzen

Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen

IT-Security: Technologie alleine löst keine Sicherheitsprobleme

 

Artikel wurde zuletzt im Mai 2017 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close