Gastbeitrag
14.11.2019, 09:20 Uhr
Spezialisten machen den Unterschied
Im Security Operation Center (SOC) entsteht hochprofessionelle Unternehmenssicherheit. Beim Aufbau eines SOC gilt es, wichtige und langfristige Entscheidungen zu treffen. Eine zumindest anfängliche Outsourcing-Strategie entlastet und bringt wesentliche Vorteile.
Schaltzentrale für die Sicherheit: In einem Security Operation Center laufen alle Informationen für den Schutz der IT zusammen
(Quelle: ISPIN)
Für sicherheitsbewusste Unternehmen ist das Security Operation Center (SOC) das Herzstück aller Sicherheitsmassnahmen. Hierin laufen die Informationen der Security-Monitoring-Systeme zusammen. Sie werden von Analysten beurteilt und ausgewertet. Basierend auf den gewonnenen Erkenntnissen, leiten die Expertenteams entsprechende Handlungen ab. Grundsätzlich unterscheidet man beim Monitoring zwei Typen. Wenn Systeme berechenbares Verhalten repräsentieren, etwa bei Verfügbarkeitsmessungen, sind ein hochautomatisiertes Monitoring und eine verlässliche Alarmierung möglich. Das System erkennt Anomalien schnell, automatisiert und mit hoher Verlässlichkeit. Präventive Massnahmen werden dann aufgrund realitätsnaher Trendberechnungen unmittelbar ausgelöst. Anders sieht es beim zweiten Fall aus, den nicht systembedingten Anomalien im Informations-Sicherheits-Bereich. Dahinter stehen bewusste oder unbewusste Handlungen einzelner Menschen und Gruppen oder Systemangriffe. Im Angriffsfall wollen Eindringlinge möglichst lange unerkannt im IT-System des Unternehmens respektive in dessen Umgebung bleiben und laufend Daten manipulieren oder stehlen.
Unberechenbare Angriffe
Solche von Menschen verursachten Angriffe und die daraus folgenden Anomalien sind unberechenbar, dynamisch und nicht vorhersehbar. Rein technische Alarmierung reicht hier bei Weitem nicht aus: Erfahrene Analysten, SOC-Analysten, sind gefordert: Sie müssen aufgrund hochspezialisierter und extrem leistungsfähiger Technik die richtigen Schlüsse aus den ihnen vorliegenden Informationen ziehen. Mit jahrelanger Erfahrung und entsprechend trainierten Fähigkeiten interpretieren sie systemgenerierte Alarme richtig.
Hierzu zählen etwa die Vermeidung von «False Positive»-Alarmen und Kritikalitätsbewertung einer angezeigten Gefahr. Diese Schlüsselkompetenzen im Security-Monitoring-Umfeld können nur geschulte Analystenteams erbringen. Auf deren Können und Erfahrung kommt es an – die dahinterstehenden, komplexen Technologien und Prozesse sind eine wichtige Basis und Mittel zum Zweck. Ziel der Analysten ist immer, die Wahrscheinlichkeit erfolgreicher Angriffe zu minimieren und im Angriffsfall die Schäden so gering wie möglich zu halten.
Schlüsselkompetenz der Analysten
Berechtigte Alarme, sogenannte True Positives, erkennt man unter anderem durch Sammlung aller Kenntnisse zum Alarm, dem Wissen über bekannte Bedrohungen (Threat Intelligence) und aufgrund von Informationen aus zusätzlichen Log-Quellen und deren Korrelierung. Für die Analysten gilt, den Angriff schnellstens zu stoppen und einzudämmen – wobei sie sozusagen gleichzeitig verhindern müssen, dass ein ähnlicher Angriff Erfolg haben kann.
Sie unterstützen die Personen vor Ort und sichern Beweise wie Speicher- oder Festplattenkopien und helfen, soweit möglich, die betroffenen Systeme wieder in ihren Ursprungszustand zurückzusetzen, etwa durch ein Backup oder eine Neuinstallation. Ist ein Alarm als Fehlalarm identifiziert worden, gilt es, sofort die Regeln, die den Alarm generiert haben, zu optimieren. Dieses Regel-Tuning ist abhängig von der verwendeten Security-Monitoring-Technologie und setzt grosse Erfahrung in der Analyse, im Scripting und in der Programmierung voraus.
Grundlegende Entscheidungen
Security Monitoring auf hohem Niveau verlangt die Einrichtung eines SOC. Hier wird professionell die Unternehmenssicherheit überwacht – man kann sogar sagen, hochqualifizierte Experten «erzeugen» mittels entsprechender Technik Sicherheit. Das Können und die Erfahrung dieser Spezialistenteams bestimmt die Qualität des SOC. Jedes Unternehmen muss individuell entscheiden, welcher Weg zum SOC richtig ist. Wird das SOC intern betrieben (Make) oder wird es als Outsourcing-Komponente von einem geeigneten Managed Security Service Provider (MSSP) bezogen (Buy)? Möglich ist auch, bestimmte Teile intern zu erbringen, während man andere Leistungen von extern bezieht (Hybrid). Generell setzt die Make-or-Buy-Entscheidung voraus, dass man einen umfangreichen Katalog von Anforderungen prüft. Dazu gehören die Überlegungen, welche Dienstleistungen das SOC realisieren muss, zum Beispiel Anomalie-Detektion, Incident Response, aktuelle Sicherheitsinformationen etc. Ebenso ist festzulegen, welche Standards und Normen für das SOC gelten sollen, beispielsweise ISO
27001/2, ISAE 3402, PCI-DSS oder das NIST Cyberframework. Extrem wichtig ist die Prüfung, welche Mitarbeiter es mit welchen Spezialkenntnissen zu gewinnen gilt.
27001/2, ISAE 3402, PCI-DSS oder das NIST Cyberframework. Extrem wichtig ist die Prüfung, welche Mitarbeiter es mit welchen Spezialkenntnissen zu gewinnen gilt.
Organisatorisch sind eventuell Service Level Agreements (SLA) bzw. Operational Level Agreements (OLA) zu erstellen. Als wichtige Randbedingung gilt stets: Fundamentale Veränderungen beim Betrieb eines internen SOCs (Make) sind aufwendig und teuer. Somit ist Flexibilität bei SOC-Services mindestens in den ersten Jahren notwendig: Nur so kann die Veränderung von SOC-Diensten, ein Neuaufbau oder gar ein Abbau überhaupt kosteneffizient erfolgen. Generell zeigen sich in solchen Fällen massive Defizite der Make-Strategie.
Lange Vorlaufzeiten
Ein SOC-Projekt ist der Weg zu einer transparenten und somit realen Einschätzung der Bedrohungslage. Aus den Anforderungen und den langfristigen finanziellen Festlegungen ergeben sich in der Regel Vorlaufzeiten von zwei bis drei Jahren. Dabei sind Meilensteine und Strategieziele über Jahre hinweg zu definieren. Dreh- und Angelpunkt ist die Mitarbeitersituation. Kann man zumindest in Teilen auf interne Mitarbeiter zurückgreifen oder ist man auf externe Spezialisten angewiesen, die man noch rekrutieren muss? In beiden Fällen ergeben sich langwierige Prozesse, bis die Personen geschult oder gefunden und eingestellt sind.
“Mit der Buy-Strategie verliert man keine Zeit bei der Angriffsüberwachung„
Oliver Locher
Zu bedenken ist: Ein SOC benötigt, neben anlernenden Kollegen, vor allem Mitarbeiter mit jahrelanger Erfahrung. Das SOC muss sich stetig an die Entwicklung des Unternehmens, der Kunden und an die allgemeine Bedrohungslage anpassen. Daher sind alle Strategieziele regelmässig zu überprüfen und bei Notwendigkeit zu modifizieren.
Grosse Vorteile der Buy-Strategie
Die Buy-Strategie bedeutet, möglichst schnell und zumindest teilweise produktiv werden zu können. Der Aufbau eines SOC-Services verlangt dabei nur noch Vorlaufzeiten von Monaten anstatt von Jahren. Auch wenn grundsätzlich eine Make-Strategie verfolgt wird, empfiehlt sich, mit einem Hybrid-Modell oder einer reinen Buy-Strategie zu starten. In diesem Fall greifen grosse, unmittelbare Vorteile: Das Unternehmen kann die relevanten Services aus einem existierenden Servicekatalog des Providers auswählen. Qualifizierte Expertenteams mit entsprechenden Erfahrungen hält der Dienstleister vor, Lern- und Anlaufprobleme gibt es nicht. Das mindert den allgemeinen Zeitdruck: Die Leistungen und Mehrwerte eines SOC stehen sofort zur Verfügung, wobei ein Eigenaufbau weiterverfolgt werden kann. Das Unternehmen macht sich also von vielen belastenden und zeitkritischen Problemstellen frei. Langfristige Investitionsentscheidungen können somit auf besserer Erfahrungsbasis getroffen werden. Weiterhin lassen sich die SOC-Dienstleistungen über angemessene Zeit hinweg vom Serviceerbringer zum Servicebezieher transformieren. Zusätzliche Flexibilität ergibt sich, wenn sich der Fokus anfänglich definierter Aufgaben über die Zeit verändert: Man kann sie weiterhin beim Serviceerbringer beziehen. Über die Buy-Strategie ist die Fokussierung auf das Kerngeschäft möglich – und alle Wege bleiben offen.
Der Autor
Oliver Locher ist Product Manager Cyber Defense Services bei ISPIN. www.ispin.ch