Security Operations Center – wenn die Ressourcen für mehr Sicherheit im Unternehmen knapp sind

Security Operations Center – wenn die Ressourcen für mehr Sicherheit im Unternehmen knapp sind
Trotz aller Warnungen und Negativbeispiele: Viele Unternehmen unterschätzen ihr individuelles Risiko, Opfer eines Cyberangriffs zu werden. Derzeit sind politisch motivierte Hackerangriffe in aller Munde – dennoch ist die Gefahr, Opfer einer auf Industriespionage zielenden Cyberattacke zu werden, für deutsche Unternehmen nicht minder hoch. Und dies gilt nicht nur für die verarbeitende Industrie sowie die Automobilbranche, für deren Produkte deutsche Unternehmen weltweit bekannt sind, sondern auch für andere Branchen und Organisationen jeglicher Größe.

Nicht jedes Unternehmen verfügt über die Ressourcen, Spezialisten zur Überwachung rund um die Uhr einzustellen. Was ist also die Lösung? Outsourcen in Security Operations Center (SOC)? Was verbirgt sich hinter diesem Begriff und was müssen Unternehmen beim Aufbau eines solchen SOC beachten?

Aufbau eines SOC – eine Herkulesaufgabe für Unternehmen?
Ein SOC bietet Dienstleistungen zur IT-Sicherheit. So eine der gängigsten Definitionen. Dies stimmt – und greift trotzdem zu kurz. Denn ein SOC ist mehr als nur ein Bündel verschiedenster Security-Anwendungen. Die Cyberrisiken sind zu komplex geworden, um lediglich Technologie unter diesen Begriff zu fassen. Vielmehr muss ein SOC heutzutage eine Kombination aus aktuellster Technologie sowie erfahrenem Fachpersonal und eingespielten Prozessen sein.

Basis für ein SOC ist eine breite Palette an Security-Tools. Diese gewährleisten ein leistungsstarkes Monitoring. Was so selbstverständlich klingt, ist es in der Realität leider oft nicht. Denn Daten müssen zunächst im gesamten Unternehmen über alle Endpunkte, Netzwerke und Logs hinweg gesammelt und analysiert werden – vor einem Event, aber auch währenddessen. Die Herausforderung ist hierbei die Analyse und Korrelation der Datengrundlage und damit die Unterscheidung in unwichtige und wichtige Events. Hierfür braucht es kontextuelle Informationen wie die Identität und Rolle des Anwenders oder aktuelle Threat Intelligence-Berichte.

Cybersecurity – nur Menschen entdecken Menschen
Doch wer leistet diese Einschätzung der tatsächlichen Gefahr? Maschinen können dies nicht berechnen. Dazu bedarf es eines oder mehrerer Experten im Hintergrund – um schnelle Reaktionszeiten und geeignete Gegenmaßnahmen zu garantieren, aber auch, um aus der Menge der Daten einen übergreifenden Zusammenhang zwischen einzelnen Events herzustellen. Das erfordert Know-how auf höchstem Niveau – und damit Spezialisten, die nicht nur teuer, sondern auch rar sind. Für viele Unternehmen, die ein eigenes SOC aufbauen wollen, stellt dieser Spagat zwischen tatsächlichem Budget und der Vorgabe, ein leistungsfähiges SOC mit neuen Cybersecurity-Fähigkeiten umzusetzen, eine große Herausforderung dar.

Viele Unternehmen befassen sich zunächst nur mit der Entdeckung von Angriffen – die Bekämpfung und das gezielte Nachverfolgen eines Angriffs fehlt oft.

Selbst machen oder nach außen geben?
Es gibt leider kein Patentrezept für den Aufbau eines SOC: Jedes Unternehmen ist einzigartig, was das Level der Bedrohung, die Risikotoleranz oder auch die Abwehrressourcen (Personal, Know-how, Budget) angeht. Gemeinsam ist ihnen nur das Ziel, weniger Angriffsfläche zu bieten und eine bessere Abwehr aufzubauen.

Somit ist der Aufbau eines SOC ein kontinuierlicher, aufwändiger Prozess. Denn auch nach dem initialen Staffing bedarf es einer ständigen Qualitätskontrolle. Ein SOC funktioniert nur mit in der Industrie etablierten Prozessen nach denen Analysten arbeiten und die ihre Arbeit nachvollziehbar machen. Wie soll sonst das Management in der Lage sein, die Arbeit der Experten zu beurteilen und das erreichte Sicherheitsniveau einzuschätzen?

Wenn Unternehmen ohnehin alle Elemente individuell entwickeln und abstimmen möchten, können sie den SOC-Aufbau natürlich auch in Eigenregie übernehmen. Bei allen Vorteilen in Bezug auf Auswahl der Anbieter und hoher Autarkie setzt dies einiges voraus. In erster Linie ist das qualifiziertes Personal, das immer auf dem neuesten Stand sein muss und mit klaren Verantwortlichkeiten und Abläufen im Schichtbetrieb arbeitet. Schwierig ist es, Spezialisten für die jeweiligen Aufgaben zu finden: Ein hervorragender Penetrationtester muss nicht unbedingt ein hervorragender Analyst sein. Wie aufwändig und teuer ein solcher Schichtbetrieb mit Spezialisten ist, lässt sich leicht berechnen. Grob geschätzt braucht man – unter Berücksichtigung von Urlaubs- und Krankheitszeiten sowie Ausbildungszeiten – rund 15 Vollzeit-Spezialisten: einen SOC-Manager, einige Analysten und Intelligence-Experten, Administratoren und Engineers. Hacker agieren weltweit, greifen somit nicht unbedingt während der Kernarbeitszeiten in Deutschland an. Die Erkennung und Abwehr rund um die Uhr (oder sogar die konkrete Nachverfolgung von bisher unbekannten Angriffen) ist personalintensiv. FireEye bietet dank des „Follow the Sun“-Prinzips seinen Kunden rund um die Uhr Betreuung und Schutz vor Hackerangriffen. Bei einem kleineren SOC in Unternehmen taucht im Laufe der Zeit noch ein weiteres Problem auf: zu viele False Positives lassen die Aufmerksamkeit erlahmen und in limitierten Teams lässt sich diese Last nicht auf viele Köpfe verteilen.

Outsourcing – aber richtig
Die Alternative ist klassisches Outsourcing. Dafür sprechen einige Faktoren: schnell verfügbare, skalierbare und stets aktualisierte Ressourcen, ausgebildetes Personal ebenso wie festgelegte SLAs und damit zuverlässige Performance. Die Frage bei den zugekauften Services ist nur: wieviel und was? Die Palette der Möglichkeiten ist dabei groß – sie reicht vom Managed Security Service Provider, der im Allgemeinen den kompletten Service bietet, bis hin zu einzelnen Diensten, die bei Bedarf oder kontinuierlich zugekauft werden. Viele Unternehmen erwägen deshalb die Möglichkeit, einzelne Komponenten eines SOC zuzukaufen. Das mag auf den ersten Blick günstiger sein, doch der Aufwand, verschiedene Systeme, Lösungen und Informationen zu kombinieren, verlangt wiederum Experten und Zeit. In der Komplettlösung überwachen Spezialisten rund um die Uhr die IT-Umgebung und verwalten die Security-Tools. Dies entlastet die IT-Teams und bietet ein festlegbares Service- und Sicherheitsniveau.

Allerdings: nicht jeder Anbieter bietet zugleich lokale Präsenz und internationales Bedrohungs-Know-how. Denn Threat Intelligence, die genau dieses Wissen zu aktuellen Bedrohungen liefert, braucht den globalen Austausch von Informationen und die Auswertung von Vorfällen über alle Branchen hinweg. Ein Sicherheitssystem muss diese Informationen effizient integrieren, um Muster an den Endpunkten und im Netzwerk zu identifizieren und auch unbekannte Zero-Days oder gezielte Angriffe zu erfassen. Kurz: Security-as-a-Service verlangt nach echten Spezialisten, die umfangreiche Erfahrung in der Bereitstellung von Security-Diensten haben.

Lesen Sie in einem späteren Beitrag, welche Kriterien es zur Investitionsentscheidung für einen SOC-Provider gibt.