Was muss beim Aufbau eines Security Operations Center (SOC) beachtet werden?

In einem früheren Blogbeitrag habe ich über die Anforderungen an, sowie die Kosten für den Aufbau eines Security Operations Center gesprochen. Kurz zusammengefasst: Es ist aufwändig. Professionell aufgezogen, müssen Unternehmen allein für Personalkosten rund 1,5 Millionen Euro pro Jahr einrechnen. Hierbei sind Ausgaben für Technologie und Räumlichkeiten noch nicht einkalkuliert. Welche Faktoren – sowohl qualitativer als auch quantitativer Art – müssen berücksichtigt werden, um eine fundierte Investitionsentscheidung treffen zu können?

Quantitative Kriterien der Investitionsentscheidung
Um ein hochwertiges Security Operations Center aufzubauen, sollten die sieben folgenden Kriterien beachtet und in der eigenen Organisation auf den Prüfstand gestellt werden:

  1. Personalkosten: Wir sind der Ansicht, dass 15 Spezialisten in Vollzeit die Minimalausstattung eines SOC sind, da es rund um die Uhr betrieben werden muss. Denn die Aktivitäten von Hackergruppierungen sind nicht an deutsche Kernarbeitszeiten gebunden, da sie sich überall auf der Welt befinden können. Zum SOC-Manager kommen Analysten und Intelligence-Experten sowie Administratoren und Engineers hinzu, die rund um die Uhr und auch während Urlaubs- und Krankheitszeiten einen reibungslosen Betrieb gewährleisten müssen.
  2. Räumlichkeiten: Da in einem SOC viele sensible Informationen analysiert werden, ist Vertraulichkeit ein wichtiges Grundprinzip eines Security Operations Center. Erschwerend kommt hinzu, dass nicht selten Angreifer aus den eigenen Reihen stammen. Damit Ereignisse vertraulich nur unter autorisierten Mitarbeitern besprochen werden können, muss ein SOC räumlich von der übrigen IT getrennt sein.
  3. Gebäudesicherheit: Die räumliche Trennung des SOC von anderen Abteilungen eines Unternehmens ist nur eine Hälfte der Sicherheitsvorkehrungen, die getroffen werden müssen. Wenn die Räumlichkeiten zwar getrennt sind, aber jeder Mitarbeiter das SOC betreten kann, ist die tatsächliche Sicherheit gering. Darum muss das SOC über eine sichere Zutrittsanlage verfügen, die wirklich nur autorisierten Mitarbeitern den Zugang zum SOC gestattet.
  4. Tooling: Um sicherzustellen, dass das SOC seine Arbeit professionell und nachvollziehbar verrichten kann, ist es wichtig, dem SOC-Team die entsprechende Technologie zur Verfügung zu stellen. Beispielsweise ist ein gutes Ticketing-Tool eine wichtige Voraussetzung, um die einlaufenden Alerts zu verwalten und eventuelle Vorfälle zu verfolgen.
  5. Technischer Support: Mit der Einrichtung und Ausstattung eines SOC beginnt die Arbeit erst so richtig. Es muss gewährleistet werden, dass das SOC stets auf dem aktuellen Stand ist und die Abläufe innerhalb des SOC reibungslos funktionieren. Deshalb sind regelmäßige Upgrades und Wartungsarbeiten unerlässlich. Dies erfordert kompetente Mitarbeiter, die für diese Aufgaben zusätzlich geschult sind und sich regelmäßig weiterbilden.
  6. Threat Intelligence: In der Regel verfügen Unternehmen nicht über ein eigenes Intelligence-Team, das Erkennungsregeln basierend auf Threat Intelligence erstellt. Hier entscheidet man sich meist dazu, IoC-Feeds von externen Anbietern zu beziehen. Dies verursacht zusätzliche Kosten, die bei der Investitionsplanung mit einkalkuliert werden müssen.
  7. Vorprojekte: Basierend auf der einzuführenden Technologie sind eventuell Vorprojekte nötig, um die Technologie zunächst in der eigenen IT-Umgebung kennenzulernen. Darüber hinaus erfordert manch eine Technologie, wie zum Beispiel ein SIEM, häufig zunächst die Erstellung von Use Cases und grundlegenden Regeln. Der Bedarf, wie hoch der Aufwand durch Vorprojekte ist, sollte nicht außer Acht gelassen werden und in die Investitionsentscheidung miteinfließen.

Qualitative Kriterien der Investitionsentscheidung
Zusätzlich zu den oben genannten Punkten muss eine Organisation ebenfalls abwägen, ob sich der Aufbau eines eigenen SOCs lohnt oder ob die Auslagerung an einen angesehenen und hochqualifizierten externen Sicherheitsanbieter sinnvoller ist. Um eine qualifizierte Entscheidung zu treffen, sollten Organisationen die folgenden Punkte beachten:

  1. Zeit zur Bereitstellung: Hiermit ist die Frage gemeint, wie dringlich der Aufbau eines SOC ist. Wird ein SOC benötigt, um in einem halben Jahr eine Compliance-Richtlinie zu erfüllen, lässt sich dies intern abwickeln. Bei höherer Dringlichkeit wie dem Verdacht, dass Angreifer im Unternehmensnetzwerk sind, sollte der Aufbau schnell abgeschlossen werden. Insbesondere bei solch zeitkritischen Projekten sind externe Dienstleister mit ihrer jahrelangen Erfahrung im Vorteil.
  2. Verfügbarkeit der Ressourcen: Gutes Personal ist knapp und damit schwer zu finden, selbst wenn die finanziellen Ressourcen vorhanden sind. Einer aktuellen Untersuchung der Jobseite Indeed zufolge, kommt lediglich ein Bewerber auf drei Stellen. Neben dem Gehalt sind auch der Standort und das Umfeld entscheidende Kriterien, um geeignete Bewerber für sich zu gewinnen.
  3. Flexibilität: Schnell wachsende (oder schrumpfende) Unternehmen benötigen auch beim Betrieb eines SOC eine entsprechende Flexibilität. Sind im Unternehmen größere Veränderungen zu erwarten, ist dies mit externen Services oft einfacher skalierbar. Externe Anbieter sind bereits darauf eingestellt, dass sich Umstände bei ihren Kunden ändern und können so schneller auf die sich verändernde Lage reagieren.
  4. Expertenwissen & Qualitätssicherung: Hier sind gleich mehrere Stolpersteine versteckt. Zum einen geht es darum, für den Aufbau und Betrieb des SOC Mitarbeiter mit ausreichend Expertise zu finden. Wie gut sind die Kenntnisse zur Entdeckung kritischer Alerts? Wie gut im Bereich der digitalen Forensik?
    Hinzu kommt: Wie kann das Unternehmen die Qualität der Arbeit des SOC überprüfen und bestimmen? Vielen Unternehmen ist nicht bewusst, an welchen Daten sie ihre Analysten messen sollen. Um dies einschätzen zu können, braucht es auch auf mittlerer Managementebene viel Experten-Know-how.
  5. Verlässlichkeit und Sicherheit nach SLA: Verantwortung abgeben und mehr Kontrolle über die Qualität zu haben, sind nur zwei Vorteile von klar definierten SLAs bei externen Services. Während eigene Mitarbeiter auch über langfristige Ziele wie Mitarbeiterzufriedenheit motiviert und gesteuert werden, wird bei Dienstleistern ein anderer Weg gewählt. Hier gibt es klare Maßgaben zu Reaktionszeiten nach Incidents. Wenn diese nicht eingehalten werden, drohen teils empfindliche Vertragsstrafen.

An der Aufzählung wird sichtbar: Gerade für kleinere oder mittlere Unternehmen mit einem beschränkten Budget ist das Outsourcen von IT-Sicherheit eine Option, um ihre geschäftskritischen Daten besser und rund um die Uhr vor Hackerangriffen zu schützen. Aber auch Großunternehmen profitieren von dem umfassenden Schutz von Security-as-a-Service, den sie in Eigenregie oft nur mit zusätzlichem, kostenintensivem Personal stemmen könnten.