Dieser Artikel ist Teil unseres Guides: Operation Centric Security als Ansatz für EDR

Security Operations Center: Die typischen Herausforderungen

Unternehmen müssen sich bei der Implementierung und dem Betrieb eines Security Operations Centers einigen Herausforderungen stellen. Dies umfasst nicht nur technische Aspekte.

Ein Security Operations Center (SOC) ist ein wichtiger Bestandteil einer Sicherheitsstrategie eines Unternehmens, um Bedrohungen zu begegnen. So sorgt das Vorhandensein eines Security Operations Center für eine erheblich bessere Fähigkeit (43 Prozent) bei der Eindämmung von Bedrohungen.

Dies ist das Ergebnis einer Studie von Nemertes Research (2019-2020 Cloud and Cybersecurity Research Study). Unabhängig davon, ob das SOC intern betrieben wird oder als Dienstleistung extern agiert, meist treten ganz typische Herausforderungen auf.

Die Mitarbeiter

So können Security Operations Center sich insbesondere Herausforderungen im Hinblick auf die Mitarbeiter gegenübersehen. Die drei wesentlichen Aspekte sind hier: Fachkräftemangel, Defizite bei der Qualifikation und ein nicht immer der Situation angepasster Wissensstand.

Engpässe bei Fachkräften

In der IT-Sicherheit sind Probleme im Hinblick darauf, geschulte, erfahrene Fachkräfte zu finden, keine neue Entwicklung. Die Veränderungen im Hinblick auf neue Betriebsarten, Cloud-Infrastrukturen und Cloud-nativen Anwendungsarchitekturen hat das Problem eher noch verschärft. Wenn beispielsweise insgesamt nur ein kleiner Prozentsatz der Unternehmen Anwendungen über serverlose Plattformen bereitstellt, dann wird es umso schwieriger SOC-Mitarbeiter mit entsprechenden Kenntnissen zu finden, die man benötigt, wenn man selbst ein geschäftskritisches System serverlos betreiben will.

Defizite bei der Qualifikation

Wenn ein Unternehmen keine neuen Mitarbeiter einstellen kann, um eine Lücke im Portfolio der eigenen Security-Fähigkeiten zu schließen, dann müssen die vorhandenen Fachkräfte die Lücke füllen. Selbstredend wird da vielerorts mit Engagement eingesprungen, aber das läuft nicht immer ohne Probleme ab. Wenn ein SOC-Team nicht in der Lage ist, Monitoring- und Management-Werkzeuge fachkundig zu nutzen, um effektiv Bedrohungen zu begegnen, hat das Folgen.

So kann dies in langsameren und eventuell auch fehlgeschlagenen Reaktionen resultieren. Langsamere Reaktion können daraus entstehen, dass sich die Mitarbeiter erst den Weg zu den richtigen Funktionen erarbeiten müssen, um Vorfälle richtig zu diagnostizieren und dann einzugreifen. Fehlgeschlagene Reaktionen können passieren, wenn Mitarbeiter etwa bestimmte Indikatoren erwarten, die nicht eintreten oder Teile der Interventionen verpassen, die notwendig wären, um einen Angriff zu stoppen.

Defizite beim Wissensstand

Die möglichen Probleme bei einer mangelnden Qualifikation gehen einher mit eventuellen Schwächen im Hinblick auf den Wissensstand. Selbst diejenigen, die sich im Umgang mit allen Systemmanagement-Tools gut auskennen, können in schwieriges Fahrwasser geraten, wenn sie zu wenig über die zu schützende Systemumgebung wissen.

Zu geringe Kenntnisse können dazu führen, dass Probleme nicht als solche erkannt werden oder dass die Wahrscheinlichkeit unangemessener Reaktionen auf nicht vorhandene Probleme steigt. SOC-Teams werden dann immer mehr falsch-positiv-Ergebnisse und falsch-negativ-Ergebnisse erhalten und ihre Zeit nicht effizient nutzen können. Schlussendlich wird dies in einer nicht adäquaten Reaktion auf echte Angriffe resultieren.

Die Prozesse

Im Hinblick auf die Abläufe und Prozesse, zu denen hier auch die Budgetierung zählt, stehen SOCs vor zwei großen Problemen: Die Latenz von Prozessen sowie die Verteilung der Budgets auf Grundlage einer falschen Basis.

Weiterentwicklung von Prozessen

Die Latenz von Abläufen und Prozessen hat unterschiedliche Aspekte. Auf der Systemseite entwickeln sich die SOC-Prozesse nicht schnell genug weiter, um mit den Veränderungen in der Systemumgebung, die überwacht werden soll, mitzuhalten. Zudem entwickeln sich die Umgebung und die Prozesse schneller weiter, als dies durch die Mitarbeiter immer nachvollzogen werden kann. Die Prozesse hinken also der Umgebung hinterher, und die Mitarbeiter hinken den Prozessen hinterher.

Folglich sind die SOC-Prozesse nicht der umfassende und verbindliche Handlungsrahmen, der sie eigentlich sein sollten. Somit wird die ohnehin begrenzte Zeit der Mitarbeiter damit verbracht, zu improvisieren und neue Abläufe zusammenzuflicken, was zu einer langsamen und unvollständigen Reaktion auf Probleme führt. Und da viele Ad-hoc-Abläufe wieder über den Haufen geworfen werden müssen, führt dies zu einem wenig effizienten Einsatz der Mitarbeiter.

Problematische Budgetverteilung

Was die Verteilung der Budgets angeht, hat die eingangs erwähnte Studie ergeben, dass zu viele Unternehmen die Security-Budgetierung nicht an den jeweiligen Risiken ausrichten. Stattdessen orientieren sie sich bei den Sicherheitsausgaben an einem bestimmten Prozentsatz der gesamten IT-Ausgaben oder an einem Benchmark der Ausgaben anderer Unternehmen.

Diejenigen, die ihre Budgets auf Grundlage der Risiken ausrichten, sind bei der Absicherung der Unternehmen erfolgreicher. Sprich, die Wahrscheinlichkeit eines Vorfalls und das Ausmaß des daraus resultierenden Schadens werden berücksichtigt. Der Erfolg der Unternehmen liegt darin begründet, weil sich sie auf die Abmilderung der Bedrohungen mit dem größten Schadenspotenzial konzentrieren und nicht nur auf eine hohe Eintrittswahrscheinlichkeit des Schadens.

Die technologischen Herausforderungen

Auch im Bereich Werkzeuge und Technologie stehen die SOC-Teams vor Herausforderungen. Dabei sind die drei wichtigsten Probleme: die Verfügbarkeit von den passenden Werkzeugen, unzureichende Analyse und Filterung sowie fehlende Automatisierung und Integration.

Der Mangel an adäquaten Werkzeugen

Das Fehlen der richtigen Tools für die Überwachung und Verwaltung ist eine häufige Folge von schnellen Veränderungen in der zu überwachenden Systemumgebung. Systeme, die aus einem Rechenzentrum in die eine Cloud-Umgebung verlagert werden, benötigen unter Umständen auch neue Security-Tools. Anwendungen, die in Containern entwickelt und bereitgestellt werden, müssen adäquat geschützt werden, aber das SOC hat hierfür möglicherweise nicht die richtigen Tools. Diese müssen Einblick in diese Systeme geben und die Möglichkeit, in diese Umgebungen eingreifen zu können.

Unzureichende Analyse und mangelndes Filtern

Werkzeuge zur Analyse und Filterung sind unerlässliche Werkzeuge im SOC, aber oft nicht in ausreichendem Maße vorhanden oder im Einsatz. Die Mitarbeiter im Security Operations Center haben es mit einer immensen Anzahl an falsch-positiv Sicherheitswarnungen zu tun.

Da sind Tools, die Falschmeldungen besser erkennen, Duplikate aussortieren und Warnmeldungen systemübergreifend korrelieren, um Bedrohungen besser zu identifizieren, entscheidend. Die stetige Zunahme an Warnungen kann ansonsten zu einer Alarmmüdigkeit (Security Alert Fatigue) führen, entsprechende Werkzeuge können helfen diese einzugrenzen und einen nachhaltigen SOC-Betrieb aufzubauen und aufrechtzuerhalten.

Ungenügende Automatisierung und Integration

Häufig ist der Mitarbeiter, der im SOC sitzt, das Zentrum der systemübergreifenden Integration, was auch schon mal als „Drehstuhlintegration“ bezeichnet wird. Und das kann selbstredend zu menschlichen Fehlern führen.

Wenn Unternehmen ihre Mitarbeiter für sich wiederholende Aufgaben einsetzen, während die Reaktion auf Sicherheitsvorfälle automatisiert wird, riskieren sie, dass eine Ermüdung der Mitarbeiter einsetzt. Diese kann dann wiederum Folgen für die Reaktionszeit haben. In sehr ungünstigen Konstellationen addieren sich Wahrnehmungszeit der Mitarbeiter zu der Zeit für das notwendige Verständnis plus die Reaktionszeit der Mitarbeiter. Automatisierung und Integration müssen an den richtigen Stellen eingesetzt werden, damit Mitarbeiter effizient agieren können.

Der Bedarf an SOCs wird aufgrund der Umstände eher weiter zunehmen. Dabei darf die IT die genannten Herausforderungen nicht außer Acht lassen, um sicherzustellen, dass das Unternehmen optimal geschützt wird. Das gilt natürlich ebenso, wenn entsprechend mit einem Dienstleister zusammengearbeitet wird, und das Security Operations Center ausgelagert ist.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de

Close