Managed Security Services
Axians: Cyber Security auf die leistungsstarke und weitsichtige Art
Axians erläutert die Vorteile eines SOCs
Die Bedrohungslage verschärft sich und wird immer komplexer. Von Unternehmen verlangt das, angemessen in Echtzeit zu reagieren und proaktiv zu handeln. Das gelingt ihnen mit einem Security Operations Center (SOC), das auf einem effizienten Zusammenspiel von Cyber-Security-Experten, Prozessen und speziellen Tools basiert. Damit die nötigen Automatismen auf höchstem Sicherheitsniveau greifen, stehen externe Experten parat, die auch den kompletten Betrieb übernehmen können.
Aktuell sorgen vor allem Spam-E-Mails mit Schadsoftware und Drive-By-Exploits, die auf Schwachstellen in Browsern, Browser-Plug-Ins oder Betriebssystemen zielen, für Gefahr. Daneben nutzen Cyberkriminelle Exploit-Kits, die Entwicklungsumgebungen für Schadsoftware bieten. Gegen diese verbreiteten Angriffsvektoren wappnen sich die meisten Unternehmen noch mit dem klassischen Perimeter-Schutz. Typischerweise kommen E-Mail-Gateways mit Content-Prüfung, Web-Proxys, Firewalls und Antimalware-Systeme zum Einsatz. Aber ihnen würde Folgendes entgehen: Innerhalb von zwei Minuten finden erfolglos Anmeldeversuche auf dem gleichen Account auf 30 Unternehmensservern statt, die vom selben Quellrechner ausgehen. Bei diesem Szenario handelt es sich mit hoher Wahrscheinlichkeit um einen Angriff, den ein Security Operations Center (SOC) registrieren würde. Denn das Sammeln und Korrelieren solcher Ereignisse bilden die Kernfunktionalität eines SIEM (Security Information and Event Management)-Systems, einem wichtigen SOC-Tool. Dieses errechnet aus unzähligen Parametern einen Score, der die Kritikalität eines Alarms angibt. Die Analysten im SOC arbeiten Alarme in der Reihenfolge ihrer Kritikalität ab und bewerten, ob ein False Positive vorliegt. Sobald sich dieses ausschließen lässt, öffnet der SOC-Analyst ein Security Incident Ticket und leitet es an den Tier 2 des SOC weiter. Der Analyst im Tier 2 untersucht den Fall weiter, erarbeitet sinnvolle Gegenmaßnahmen und stößt diese anschließend an.
In Echtzeit reagieren und proaktiv schützen
Prinzipiell lässt sich ein SOC als eine Leitstelle verstehen, die sich um alle sicherheitsrelevanten Services rund um die IT von Unternehmen und Organisationen kümmert. In Echtzeit spielen Cyber-Security-Experten, Prozesse und spezielle Tools zusammen, um IT-Infrastrukturen und Daten vor Bedrohungen zu schützen. Modern ausgelegt, verhindert die operative Einheit zudem proaktiv, dass es zu einem Sicherheitsvorfall kommt. Organisatorisch gliedert sich ein SOC in drei Ebenen, um die Phasen Prevent (verhindern), Detect (entdecken), Investigate (analysieren), Respond (reagieren) und Reflect (lernen und optimieren) zu realisieren. Im Tier 1 arbeiten Analysten, die auf das Erkennen und Anreichern von Vorfällen spezialisiert sind. Sie führen auch die False-Positive-Analyse und die Priorisierung durch. In den zwei weiteren Ebenen erfolgen die tiefergehenden Analysen, die im Aufstellen von Maßnahmenplänen münden.
BU: Modern ausgelegt, verhindert ein SOC proaktiv, dass es zu einem Sicherheitsvorfall kommt. (Quelle: Axians)
Automatisieren mit SOAR und SIEM
Ein SOAR (Security Orchestration Automation and Response)-Tool vereinfacht die Zusammenarbeit zwischen verschiedenen Teams. Es verbindet zum Beispiel mehrere SOC eines Anbieters, die Tier-2- und Tier-3-Teams eines SOC, dieses mit dem Hersteller oder ein externes mit dem Kundenunternehmen. Im nächsten Schritt automatisiert es Routine-Tätigkeiten (Runbooks), wodurch Prozesse schneller ablaufen und weniger Fehler auftreten.
Ein SOAR-Tool ergänzt beim Automatisieren ein leistungsstarkes SIEM wie IBM QRadar, das beispielsweise Funktionen zum automatisierten Erkennen verschiedener Angriffsmuster mitbringt. In der Ausführung „IBM QRadar Advisor with Watson“ enthält die Plattform eine KI-Komponente, die Analysten bei der gezielten Fallbearbeitung unterstützt.
SOC effizient auslagern
Obwohl der SOC-Ansatz eine lange Tradition besitzt, setzen ihn bislang fast ausschließlich große Unternehmen oder stark sicherheitsgefährdete Institutionen ein. Dies liegt an den hohen Personal- und Investitionskosten, die mit dem Betrieb eines SOC verbunden sind. Der Fachkräftemangel steht hier kleineren Unternehmen verstärkt im Weg, die die Vorteile eines SOC nutzen wollen. Hier bieten SOC-Dienstleister die entsprechende Expertise und Unterstützung: etwa bereits beim Definieren der Cyber-Security-Strategie und beim Ausarbeiten des SOC-Konzeptes, das detailliert Tools, Datenquellen, Incident-Response-Plan, Schwachstellenmanagement, Metriken sowie Regeln der Zusammenarbeit, Design und Betriebsmodell festlegt.
BU: SOC-Komponenten als Managed Service von Axians (Quelle: Axians)
Das Auslagern eines SOC erweist sich branchenübergreifend oft als der effizienteste Weg. Ein Unternehmen steht hier vor der Wahl, ob es die Infrastruktur erwirbt, die dann ein Managed Security Services Provider (MSSP) betreibt. Alternativ stellt der Dienstleister eine dedizierte Plattform bereit und übernimmt den kompletten SOC-Betrieb gegen eine Monatsgebühr. Ein MSSP wie Axians offeriert noch eine dritte Variante, bei der die SOC-Komponenten in der Public Cloud laufen und an die Gegebenheiten des Unternehmens angepasst werden.
Cyber Security für IT und OT
Insbesondere bei Industrie- und Fertigungsunternehmen ist Expertise gefragt, deren Produktionsumgebungen in die Sicherheitsleitstelle zu integrieren. Auf diesem Terrain bedarf es besonderen Fachwissens, das Axians aus bisheriger Projekterfahrung mitbringt. Zudem bietet dieser MSSP an, dass Unternehmen ihr SOC auf kleiner Basis starten können. In einem kontinuierlichen Verbesserungsprozess lassen sich danach sowohl der Umfang der SOC-Dienstleistungen als auch die Art und Menge der Datenquellen anpassen. Das SOC wächst also mit den Anforderungen und der spezifischen Bedrohungslage des Unternehmens.
Gewinn auf Sicherheitsebene
Die angemessene Reaktion auf die akute Bedrohungslage liefert ein SOC, in dem speziell geschultes Personal proaktiv und rund um die Uhr Sicherheitsereignisse überwacht. Dort erkennen die Experten Angriffe schnell und leiten ohne Zeitverzögerung Gegenmaßnahmen ein. In der Folge bleibt dem Angreifer deutlich weniger Zeit, Schaden anzurichten. Darin besteht der enorme Sicherheitsgewinn eines SOC.
Über den Autor
Volker Scholz ist Diplom-Wirtschaftsingenieur mit den Schwerpunkten Systemtechnik und Betriebswirtschaftliche Planungssysteme. Im Juni 2019 hat er die Leitung des Security Operations Center (SOC) bei Axians Deutschland übernommen. Seit mehr als zwölf Jahren arbeitet er im Bereich Cyber Security, davon neun Jahre in einem Industrieunternehmen und seit September 2016 bei Axians als Security Architect. Seine Schwerpunkte sind Security-Architekturen, organisatorische Cybersicherheit, Managed Security Services und Security-as-a-Service.
