Cybersecurity braucht eine neue Kommandozentrale
SOCs im Wandel
Die Reaktion auf Vorfälle bleibt für viele SOCs eine grosse Herausforderung, da die Security-Analysten Schwierigkeiten haben, auf Warnungen in Echtzeit zu reagieren, so der «Exabeam 2019 State of the SOC Report». Die gute Nachricht ist, dass kleinere SOCs ihre Reaktion auf Vorfälle 2019 deutlich verbessert haben, während grosse SOCs einen signifikanten Rückgang ihrer Reaktionsfähigkeit verzeichneten.
Auch Gartner hält Veränderungen bei SOCs für notwendig. Die Verlagerung der Sicherheitsinvestitionen von der Bedrohungsprävention hin zur Bedrohungserkennung erfordere auch Investitionen in Security Operations Center, da die Komplexität und Häufigkeit von Sicherheitswarnungen zunehme. Laut Gartner werden sich bis 2022 immerhin 50 Prozent aller SOCs in moderne SOCs mit integrierten Funktionen für die Reaktion auf Vorfälle, Bedrohungsinformationen und Bedrohungssuche verwandeln. 2015 waren es noch weniger als 10 Prozent. «Ein SOC, das Bedrohungsinformationen integriert, Sicherheitswarnungen konsolidiert und Reaktionen automatisiert, kann nicht überbewertet werden», findet Peter Firstbrook, Research Vice President bei Gartner.
“Security Operations Center werden nun mit Schwerpunkt auf Erkennung von und Reaktion auf Bedrohungen implementiert.„
Peter Firstbrook, Research VP bei Gartner
Der Bericht «2019 State of Security Operations Update» des Software-Unternehmens Micro Focus zeigt, dass es weltweit eine Lücke beim bestmöglichen Schutz gegen Cyberangreifer gibt, die immer ausgefeiltere Taktiken anwenden. «Mit 4,1 Milliarden kompromittierten Datensätzen, die in mehr als 3.800 öffentlich gemeldeten Verstössen allein in den ersten sechs Monaten aufgedeckt wurden, war 2019 ein Rekordjahr an Datenschutzverletzungen», erklärt Michael Mychalczuk, Director Product Management, Security Operations bei Micro Focus. «Unsere Auswertung der leistungsfähigsten SOCs zeigt, dass Unternehmen wie bei jeder Herausforderung mit den Grundlagen beginnen sollten. Bauen Sie eine starkes Fundament mit einem bewährten SIEM-System (Security Information and Event Management), gut ausgebildeten Mitarbeitern, standardisierten Prozessen und klarer Ausrichtung.»
Neue Technologien wie Künstliche Intelligenz (KI), maschinelles Lernen (ML), Verhaltensanalyse für Benutzer und Entitäten (UEBA) sowie Tools für die Orchestrierung und Automatisierung von Sicherheit (SOAR) werden immer beliebter. Um deren Wert zu maximieren, müssen SOCs zuerst relevante Sicherheitsanwendungsfälle identifizieren und dann die richtigen Tools auswählen, so die Empfehlung von Micro Focus. Mit Blick auf die Zukunft sollten Unternehmen mit dem Aufbau von SOCs der nächsten Generation beginnen. Das Arsenal dieser ausgereiften SOCs gehe über Kernfunktionen wie Protokoll- und Sicherheitsereignisverwaltung hinaus und umfasse auch die neuesten Technologien, um die Verteidigungslücken zu schliessen und die Erkennungseffizienz zu verbessern.
Varianten
Verschiedene SOC-Modelle
Ein Security Operations Center (SOC) bündelt Expertise, Prozesse und Werkzeuge in der IT-Sicherheit. Es dient der Vorbeugung, Erkennung und Bewertung von Cyberattacken und der Reaktion darauf. Ein SOC kann intern oder extern betrieben werden. Gartner unterscheidet folgende Modelle:
Virtual SOC: Keine feste Einrichtung, Teilzeit-Teammitglieder, reaktiv, wird aktiviert, wenn eine kritische
Warnung oder ein Vorfall auftritt
Warnung oder ein Vorfall auftritt
Distributed/Co-managed SOC: Teilweise fest zugeordnete Teammitglieder, in der Regel 5x8-Betrieb; Co-managed: bei Verwendung eines MSSPs
Multifunction SOC/Network Operations Center (NOC): Feste Einrichtung mit einem dauerhaft zugeordneten Team, das nicht nur Sicherheitsleistungen im engeren Sinn erbringt, sondern, um Kosten zu senken, auch andere kritische 24/7-IT-Aufgaben wahrnimmt
Fusion SOC: Klassische und neue SOC-Funktionen – wie Bedrohungsinformationen, Computer Incident Response Team (CIRT) und Betriebstechnologie (OT) – sind in einem SOC zusammengeführt