Gorodenkoff - stock.adobe.com
Security Operations Center: Was läuft in einem SOC ab?
Security Operations Center identifizieren Bedrohungen und bieten Schutz- wie Abwehrmaßnahmen. Entweder als unternehmenseigenes SOC oder als externe Dienstleistung.
Log4Shell hat erneut gezeigt: Die Annahme, Unternehmenssysteme seien jederzeit ausreichend geschützt, ist trügerisch. „Mut zur Lücke“ kann für Unternehmen ein teures Unterfangen werden und das Ansehen und Vertrauen in die eigene Marke erheblich in Mitleidenschaft ziehen.
Was also können Verantwortliche tun, um Sicherheitslücken zu schließen und Angreifer zu stoppen, bevor diese sich unbemerkt Zugang zu geschäftskritischen Daten und Systemen verschafft haben? SOC as a Service ermöglicht Unternehmen jeder Größenordnung eine robuste, umfassende Bedrohungserkennung (Managed Detection und Response und Managed Risk), die Sicherheitslücken aufdeckt sowie schließt und so den Schutz der Unternehmensinfrastruktur maßgeblich erhöht.
Warum sind selbst kleinste Sicherheitslücken ein Risiko?
Warum Sicherheitslücken wie Log4Shell (siehe auch Warnstufe Rot: Log4Shell gefährdet Server, Dienste und Apps) so schwerwiegende Folgen haben können, ist auf den ersten Blick möglicherweise kaum ersichtlich. Jedoch bieten diese Systemschwachstellen Cyberkriminellen genau die benötigte Möglichkeit, unbemerkt in Unternehmenssysteme einzudringen.
Und dies geschieht öfter als vermutet: So heißt es in einer Studie des Digitalverbands Bitkom, dass 2020/2021 neun von zehn Unternehmen Opfer von Cyberattacken gewesen seien. Dabei sei der deutschen Wirtschaft in diesem Zeitraum ein Schaden von rund 220 Milliarden Euro entstanden. Tendenz steigend.
Für Unternehmen − egal welcher Branche und Größenordnung – bedeutet dies, dass Sicherheitsmaßnahmen nicht optional sind, sondern ein „Muss“. Security Operations Center (SOC) bieten unter anderem Services zur Identifikation von Sicherheitslücken, Bedrohungserkennung sowie -abwehr und stellen somit den Schutz der Systeme sicher.
Security Operations Center: wichtiges Element der Sicherheit
Security Operations Center (SOC) stellen eines der wichtigsten Elemente der modernen IT-Sicherheit dar. Jedoch können längst nicht alle Unternehmen Ressourcen für den Aufbau eines eigenen SOCs freistellen. Für diejenigen Organisationen, denen dies nicht möglich ist, besteht die Alternative, SOC as a Service (SOCaaS) von Security-Anbietern in Anspruch zu nehmen und so in die Sicherheit des eigenen Unternehmens zu investieren.
Gerade KMU werden vermehrt Ziel von Cyberangriffen, so dass es für sie ebenfalls unerlässlich ist, Sicherheitsservices in Anspruch zu nehmen. So urteilte das Bundesamt für Sicherheit in der Informationstechnik in seinem Lagebericht Die Lage der IT-Sicherheit in Deutschland in 2021: „Die Gruppe der KMU stellt einen wesentlichen Erfolgsfaktor der deutschen Wirtschaft dar. Mängel bei der IT-Sicherheit von KMU können sich daher merklich und unmittelbar auf die Wirtschaftsleistung der Bundesrepublik Deutschland auswirken. Anders als typische Großunternehmen beschäftigen KMU in der Regel keine dedizierten IT-Sicherheitsteams. Oftmals verfügen sie nicht einmal über einen eigenen IT-Betrieb. Daraus folgt vielfach eine mangelnde Beurteilungskompetenz für IT-Sicherheitsgefährdungen. Zudem fehlt auf Managementebene häufig das grundsätzliche Bewusstsein für die Risiken und Abhängigkeiten, die der Einsatz von Informationstechnik mit sich bringt. Dadurch sind KMU gegenüber Bedrohungen aus dem Cyberraum besonders anfällig“. Demzufolge sind gerade für KMU die SOCaaS-Angebote besonders ansprechend.
Die Errichtung eines unternehmenseigenen SOC hat sicherlich seine Vorzüge. Jedoch ist es auch wert, darüber nachzudenken, die Dienste eines SOCaaS-Partners in Anspruch zu nehmen, denn dadurch ergeben sich unter anderem folgende Vorteile:
- Die Kosten sind komplett kalkulierbar und typischerweise niedriger als bei Inhouse-SOCs.
- Es müssen keine zusätzlichen Mitarbeiterinnen und Mitarbeiter gewonnen sowie Ressourcen dafür bereitgestellt werden.
- Die Implementierung und Service-Erbringung erfolgen quasi sofort.
- Durch das Cloud-basierte Modell ist der SOCaaS-Ansatz zukunftssicher; Upgrades und neue Features werden automatisch aufgespielt.
Was genau geschieht eigentlich im SOC?
Egal ob als As-a-Service-Leistung oder als unternehmenseigenes Sicherheitszentrum: Im SOC werden Maßnahmen ergriffen, um Sicherheitslücken aufzudecken und zu schließen, so Cyberangriffen vorzubeugen und Auswirkungen von erfolgten Attacken zu begrenzen:
Identifikation von Risiken: Bedrohungsakteure suchen Systemschwachstellen und nutzen diese aus – meist lange bevor es für die Sicherheitsverantwortlichen ersichtlich ist und Folgen erkennbar werden. Um deren Eindringen zu vermeiden, muss permanent nach Sicherheitslücken gescannt und diese umgehend geschlossen werden. Auch Systemfehlkonfigurationen und die Übernahme von Konten auf Endgeräten in Netzwerken und Cloud-Umgebungen müssen im SOC aufgedeckt werden. Eine derartige Risikobeseitigung ist von entscheidender Bedeutung, ebenso wie ein Validierungsprozess, der sicherstellt, dass die Beseitigung der Sicherheitslücken erfolgreich war.
„Im SOC werden Maßnahmen ergriffen, um Sicherheitslücken aufzudecken und zu schließen, so Cyberangriffen vorzubeugen und Auswirkungen von erfolgten Attacken zu begrenzen.“
Dr. Sebastian Schmerl, Arctic Wolf
Maßgeschneiderter Schutz: Mit der Zunahme der Komplexität von Cybersicherheit und immer ausgereifteren Angriffsmethoden steigt die Notwendigkeit für maßgeschneiderte Schutzmaßnahmen. Organisationen müssen daher in Experten investieren, die auf dem neuesten Wissensstand sind, sich mit aktueller Security-Technologie auskennen sowie mit der Attacker Kill Chain vertraut sind und Angriffe daher gezielt vereiteln können. Da jede Unternehmensumgebung einzigartig ist, müssen auch die entsprechenden Maßnahmen darauf abgestimmt sein. Ein großer Teil der Sicherheitsbemühungen muss auch der Sensibilisierung der Mitarbeitenden gelten, um die „Schwachstelle Mensch“ zu schließen und so Social-Engineering-Methoden entgegenzuwirken.
Maßnahmen zur Abwehr: Hat eine Sicherheitslücke (egal, ob in der Technologie oder durch den Faktor Mensch) dazu geführt, dass sich Cyberkriminelle Zugang zu den Unternehmenssystemen verschaffen konnten, ist die Geschwindigkeit entscheidend, mit der Sicherheitsmaßnahmen durchgeführt werden. Erneut bedarf es erfahrene und gut geschulte Sicherheitsexperten sowie die entsprechenden Technologien, um betroffene Systeme schnellstmöglich zu isolieren und so die Infektion anderer Systeme zu verhindern. Ist der betroffene Endpunkt vom Netzwerk getrennt, müssen Abwehrmaßnahmen eingeleitet werden. So kann der Schaden begrenzt und die Business Continuity aufrechterhalten werden.
Fazit
Heutzutage ist es unumgänglich für Unternehmen, umfassende Sicherheitsmaßnahmen zu ergreifen. Dies haben die jüngsten Meldungen zu Sicherheitslücken und Cyberangriffen bewiesen. Ob Organisationen einen DIY-Ansatz wählen oder einem Partner vertrauen, ist dabei eine nicht ganz unerhebliche Entscheidung. Um Sicherheitsaktivitäten bestmöglich durchführen und State-of-the-Art-Technologie nutzen zu können, sollten vor allem KMU gut abwägen, ob sie einen Security-Partner zu Rate ziehen und somit den Schutz ihrer Systeme in die Hand eines Experten legen sollten. Denn: Mut zur Lücke ist beim Thema Sicherheit längst keine Option mehr.
Über den Autor:
Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er bringt mehr als 15 Jahre Erfahrung im Bereich Cybersecurity mit sowie in der Bereitstellung von Cyber Defense Services und dem Aufbau von Enterprise Security Operations Center (SOC). Sebastian Schmerl ist ständiges Mitglied in der „EU/ENISA - Working Group on Security Operation Centres“ zur Angleichung der Cyber-Protection für die EU-Region sowie stellvertretender Vorstandssprecher der Fachgruppe SIDAR der Deutschen Gesellschaft für Informatik.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
