Cybersecurity Entwicklung

IT-Security im Wandel: Vom Security Operations Center zum Cyber Fusion Center

, München, Palo Alto Networks | Autor: Herbert Wieler

IT-Security im Wandel: Vom Security Operations Center zum Cyber Fusion Center

Palo Alto Networks sieht Cybersicherheit im Wandel

Seit dem Beginn der Weltraumforschung in den 1960er Jahren weiß jedes Kind, dass der Erfolg einer Weltraummission nicht nur von den Astronauten abhängt, sondern auch von den Ingenieuren im Mission Operation Center. Alle komplexen Missionen oder Operationen sind mit einem hohen Risiko behaftet und unterliegen dem Risiko des Scheiterns. Diese Misserfolge sind zudem schwer vorhersehbar. Das Raumfahrtkontrollzentrum spielt wie das Security Operations Center (SOC) in modernen Unternehmen eine wichtige Rolle bei der Reaktion auf Ausfälle in Echtzeit, um deren Auswirkungen auf die Mission zu reduzieren. Wie nahezu „alles“ im Bereich der IT-Security, so hat sich auch die Rolle der SOCs geändert und es sind neue Konzepte entstanden.

Sergej Epp, Chief Security Officer (CSO) für Central Europe bei Palo Alto Networks , erläutert:

In der Welt der Informationstechnologie halten Betriebszentren den IT- und Netzwerkbetrieb aufrecht. Informationssicherheit (InfoSec)-Center und SOCs spielen eine ähnliche Rolle. Wie Rick Howard in seinen Cyber Security First Principles zusammenfasst, ist das Ziel von Sicherheitsoperationen, „die Wahrscheinlichkeit von materiellen Auswirkungen auf meine Organisation aufgrund eines Cyberereignisses zu reduzieren.“

Eine kurze Geschichte des Sicherheitsbetriebs

SOCs sind aus Networking-Operation-Centern (NOCs) hervorgegangen, die sich ursprünglich mit Fragen der IT-Sicherheitsüberwachung beschäftigten. Gleichzeitig schufen Unternehmen separate Gruppen wie Computer Emergency Response Teams (CERTs), die sich auf die Reaktion auf Sicherheitsvorfälle und Forensik konzentrierten, oder Cyber Defense Centers (CDCs), die sich auf die Analyse und Bewertung von Bedrohungen konzentrierten.

Unabhängig davon, welche operativen Gruppen geschaffen wurden, mussten alle Verantwortlichen zwei Realitäten anerkennen: Erstens können sich SOCs nicht auf jede denkbare Bedrohung vorbereiten, daher müssen sich die InfoSec-Verantwortlichen auf Bedrohungen beschränken, die in freier Wildbahn beobachtet werden. Zweitens werden die Zusammenarbeit, der Austausch von Fachwissen und letztendlich die Reaktionszeit auf Vorfälle behindert, wenn verschiedene Gruppen für die Überwachung, die Reaktion auf Vorfälle, die Analyse und die Forensik zuständig sind. Was kommt also als nächstes?

SOC-Mehrwert im nächsten Jahrzehnt der Herausforderungen

SOCs werden im nächsten Jahrzehnt vor großen Herausforderungen stehen. Ihr Erfolg hängt von der Anpassungsfähigkeit an die folgenden Trends ab:

  • Nahezu jedes Unternehmen ist anfällig für Cyberkriminalität: Mit der Digitalisierung von Branchen und Geschäftsprozessen werden Cyberkriminalität und -betrug allgegenwärtig. In den meisten Industrienationen hat die Cyberkriminalität die traditionelle Kriminalität überholt. Cyberkriminalität bietet ein attraktiveres Risiko-Ertrags-Verhältnis. Laut Verizon Data Breach Report 2020 waren 86 Prozent der Sicherheitsverletzungen finanziell motiviert. InfoSec-Führungskräfte und SOCs müssen daher ihren Fokus über die IT hinaus erweitern und in die einzelnen Geschäftsabteilungen integrieren.
  • Die Integration von Sicherheit in der Produktionsphase ist zu zaghaft und zu spät erfolgt: Public-Cloud-Umgebungen und DevOps haben die Art und Weise verändert, wie Unternehmen zentralisierte Funktionen wie Qualitätssicherung und Sicherheitsoperationen ausführen. Sicherheit muss daher so früh wie möglich in den Entwicklungslebenszyklus integriert werden, wobei Prinzipien wie „Shift Left“ und „Security by Design“ zu beachten sind. Leider haben die meisten SOCs immer noch nicht herausgefunden, wie sie mit dem DevOps-Team kommunizieren können.
  • Automatisierung wird Cyberkriminalität und -betrug revolutionieren: Cyberkriminelle nutzen bereits die Automatisierung, um Geld von Online-Banking-Kunden zu stehlen, indem sie Phishing betreiben oder deren Festplatten verschlüsseln und Geld fordern. Was passiert, wenn Cyberkriminelle die Automatisierung für gezielte Angriffe nutzen? Dies führt zu großen Problemen, wie der NotPetya-Ransomware-Angriff 2016 zeigt. Kann ein traditionelles SOC mit der Fähigkeit eines Hackers mithalten, 60.000 Geräte in sieben Minuten zu übernehmen?

Das traditionelle, zentralisierte SOC wird es schwer haben, angesichts dieser Trends einen Mehrwert zu liefern. Es ist wieder einmal ein anderes Modell nötig. Ein Cyber Fusion Center könnte die Lösung sein.

Cyber Fusion Center als alternatives Konzept

Ein Cyber Fusion Center bringt die SOC-Strategie voran. Es verkörpert das SOC, aber auch die physische Sicherheit, das Anti-Fraud-Management, den IT-Betrieb und andere Funktionen. Das Konzept entstand in der US-amerikanischen Strafverfolgungsbehörde nach den Terroranschlägen vom 11. September. Analysten aus verschiedenen Behörden wurden in zahlreichen Fusionszentren zusammengeführt, um Informationen effektiver und effizienter auszutauschen.

Große US-Banken waren die ersten, die diesen Ansatz verfolgten. InfoSec-Führungskräfte lernten, dass groß angelegte digitale Raubüberfälle, wie auf die Bangladesh Bank 2016, durch einen stärker integrierten Informationsaustausch vermieden oder zumindest abgeschwächt werden konnten. Einige Banken reagierten darauf, indem sie Verbindungsbeamte aus der Transaktionsüberwachung in ihre Cyber Operation Units aufnahmen.

Fusion Center oder Fusionszentren können für Unternehmen jeder Größe in nahezu jeder Branche von Nutzen sein, wie einige Beispiele zeigen:

  • Finanzwesen: Die Finanzbranche hat auf die harte Tour gelernt, dass der Austausch von Informationen zwischen verschiedenen Gruppen entscheidend ist. Geldautomaten-Hacks aus dem Internet, SWIFT-Transaktionsmanipulation, M&A-Insiderspionage sind nur einige Beispiele. Heutzutage ist eine Bank ein Technologieunternehmen. Oft gibt es zehn oder mehr operative Gruppen, die weder viele Schnittstellen noch eine Plattform oder einen Mechanismus zur Zusammenarbeit haben. Die Zusammenführung von SOC-, Transaktionsüberwachungs-, Betrugsbekämpfungs- und physischen Sicherheitsgruppen könnte ein großer Vorteil für das gesamte Risikomanagement und den Betrieb der Bank sein.
  • Energie: Jeder, der Marc Elsbergs „Blackout“ gelesen hat, versteht, was auf dem Spiel steht, wenn das Stromnetz betroffen ist. Die Ukraine hat zum Beispiel zwei Blackouts durch Cyberangriffe erlebt. SOCs und Abteilungen für OT-Überwachung müssen in diesem Sektor integriert werden.
  • Transportwesen: Niemand möchte in einem gehackten Flugzeug, Auto, Zug oder Schiff mitfahren. Angesichts der modernen Architekturen von Antriebs-, Navigations- und anderen Transportsystemen liegt es auf der Hand, dass die Abteilungen für InfoSec, Betrieb und physische Sicherheit tief integriert werden müssen.

DevOps in ein Fusion Center integrieren, um Cybersicherheitsabläufe zu beschleunigen

DevOps (Development Operations) hat schon seit einiger Zeit die Prinzipien von Fusionszentren übernommen, was zu einer besseren Zusammenarbeit, Widerstandsfähigkeit und Markteinführungszeit führt. InfoSec-Führungskräfte wären daher gut beraten, dieses Modell zu übernehmen. DevOps bietet auch einen proaktiveren Ansatz für Resilienz und Bedrohungsmanagement, indem es Bedrohungsdaten und Überwachung zusammenführt. Fragen auf DevOps-Ebene wie „Steht diese blockierte Transaktion im Zusammenhang mit dem Bankangriff von letzter Woche?“ könnten das Situationsbewusstsein eines Fusion-Centers verbessern, aber auch dabei helfen, bessere Playbooks für die Betriebsteams zu entwerfen oder sogar zu automatisieren.

Die meisten operativen Teams nutzen bereits mehrere Funktionen und Technologien gemeinsam, z. B. Erkennungshygiene oder Präventionskontrollen, SLA- und KPI-Management und die Automatisierung von Reaktions-Playbooks. Diese gemeinsam genutzten Dienste könnten die Art und Weise, wie ein SOC oder Fusion Center organisiert ist, standardisieren und die Hygiene und Widerstandsfähigkeit des Unternehmens drastisch erhöhen.

Eine Blaupause für ein Cyber Fusion Center gibt es leider noch nicht. Unternehmen können diese Transformation in kleinen Schritten beginnen, indem sie in ihrem SOC Verbindungsanalysten aus anderen Funktionen einsetzen, oder sie können einen großen Schritt machen und alle operativen Funktionen zusammenführen. Letztendlich ist es wichtig, dass Unternehmen zuerst ihre Erfolgskriterien definieren und diese regelmäßig messen. So wie ein Raumfahrtkontrollzentrum die Anzahl der Risiken und Ausfälle vor einem Raketenstart und während der gesamten Mission misst, müssen Unternehmen ihre Cyber-Resilienz messen. So gelingt es, sich gegen bösartige Aktivitäten, sei es ein Cyberangriff, Cyberbetrug, Erpressung oder ein Köder, zu behaupten.