Cybersecurity braucht eine neue Kommandozentrale

SOCs und die Cloud

Quelle: Micro Focus
Tech-Giganten wie Alphabet und Microsoft verändern die Cybersicherheit, meint Joseph Blankenship, Vice President und Research Director bei Forrester Research. Chronicle  Backstory (Chronicle ist ein Alphabet-Unternehmen) und Microsoft Azure Sentinel sind cloudbasierte Sicherheitsanalyse-Tools, die die Herausforderungen bewältigen sollen, denen sich Security-Operations-Center-Teams gegenüber­sehen: Sicherheitsdaten aus Multi-Cloud- und lokalen Umgebungen, Analyse grosser Datenmengen, Alarm-Triage, Protokollverwaltung und -speicherung und Threat Hunting.
Chronicle und Microsoft begegnen diesen Herausforderungen mit praktisch unbegrenztem Rechen-, Skalierungs- und Speicheraufwand in der Cloud, so der Forrester-Analyst. Diese Lösungen hätten einen einzigartigen Vorteil gegenüber herkömmlichen lokalen Tools, da sie auch ihre Cloud-Infrastrukturen besitzen und nicht darauf angewiesen sind, Clouds zum Listenpreis von potenziellen Wettbewerbern zu kaufen. Durch Bereitstellung dieser Tools über vorhandene Marktplätze können sie nahtlose Implementierungen und eine schnelle Nutzung von Diensten bieten, während der Beschaffungsprozess für Kunden so einfach wie das Anklicken eines Kontrollkästchens ist, mit dem sie diese Funktionalität hinzufügen können. Sicherheitsverantwortliche sollten dies genau beobachten und ihre derzeitigen Anbieter auffordern, ähnliche Funktionen bereitzustellen, rät Joseph Blankenship.
“Die Zukunft der Cybersicherheit liegt ebenso wie die von ihr geschützten IT-Ressourcen in der Cloud.„
Joseph Blankenship, VP bei Forrester Research

Intern vs. extern

Damit das SOC den steigenden Ansprüchen entspricht und wirklich zum eigenen Unternehmen passt, könnte man auf die Idee kommen, selbst ein SOC aufzubauen. Doch hier tun sich zahlreiche Probleme auf. Die Einrichtung eines eigenen SOCs ist zunächst einmal kostenintensiv und zeitaufwendig und erfordert ständige Aufmerksamkeit, um effektiv zu sein, erklären die Analysten von Gartner.
Tatsächlich entscheiden sich sehr viele Unternehmen (einschliesslich einiger grosser Organisationen) dafür, kein eigenes SOC zu betreiben. Stattdessen wählen sie andere Optionen für das Security-Monitoring. Sie beauftragen zum Beispiel einen Managed Security Service Provider (MSSP) mit dem Betrieb eines externen SOCs. 
CISOs und Unternehmensentscheider, die über den Aufbau eines eigenen SOCs nachdenken, sollten die mit diesem Ansatz verbundenen Kosten- und Personalfolgen genau kennen, so Gartner. Es gebe viele verschiedene Möglichkeiten, ein internes Security Operations Center zu gestalten und mit Personal auszu­statten.
Gartner beschreibt die Vorteile und Nachteile von internen und externen SOCs folgendermassen:
Ein internes SOC profitiert von Mitarbeitern, die mit dem Unternehmen und seinen Herausforderungen bestens vertraut sind. Das ermöglicht häufig eine hohe Reaktivität beim Lösen von Sicherheitsproblemen. Ereignisprotokolle und alle Elemente zur Verfolgung von Alarmen und Vorfällen sind intern gespeichert. Dies verringert das potenzielle Risiko einer externen Datenübertragung. Ausserdem ist die Kommunikation im Fall eines Angriffs häufig schneller, da die firmen­eigenen Kommunikationsmittel verwendet werden. Und die implementierten Lösungen sind stark auf die Bedürfnisse des eigenen Unternehmens zugeschnitten.
Doch ein internes SOC hat auch Schattenseiten. So ein SOC benötigt SOC-Analysten und Sicherheitsexperten, und deren Rekrutierung ist heute eine echte Herausforderung und kann einige Zeit dauern. Und wenn man Personal hat, erfordert das Aufrechterhalten und Weiterentwickeln seiner Fähigkeiten in Bezug auf neue Technologien, Standards oder Prozesse Zeit und ein beträchtliches Budget.
Hinzu kommt: Das Managen des Unbekannten ist das komplizierteste Paradox beim Risikomanagement. Intern ist es möglicherweise schwieriger, Bedrohungen zu erkennen, die für ein Unternehmen, das sich auf die Erkennung von böswilligem Verhalten spezialisiert hat, offensichtlicher sind. Ein internes SOC braucht eine erste Konfrontation mit einer neuen Bedrohung, um zu einem späteren Zeitpunkt effektiv damit umgehen zu können. Ein weiteres Manko ist: Das Wissen in einem internen SOC basiert oft nur auf einer begrenzten Anzahl von Experten. Und:  Die Implementierung eines internen SOCs erfordert eine erhebliche Anfangsinvestition. Sein Aufbau führt deshalb häufig zur Zusammenfassung mehrerer Budgets, was die Darstellung der Ergebnisse erschwert.
Angesichts dieser Herausforderungen wird ein externes SOC zur lohnenden Alternative: Zunächst einmal ist es eine hervorragende Option, eine Implementierung mit kontrollierten Kosten durchzuführen, so Gartner. Das externe SOC begrenzt auch Interessenkonflikte zwischen Abteilungen innerhalb der Organisation. Im externen SOC stehen kompetente und einsatzbereite Mitarbeiter ohne langwierige Einstellungsprozesse sofort zur Verfügung. Zudem profitiert man von den Erfahrungen solcher Analysten, die andere Umgebungen überwacht und bewährte Prozesse befolgt haben.
Organisiert und ausgereift bietet diese Art von SOC auch den Vorteil, dass sie ein hohes Serviceniveau aufweist, und das optional rund um die Uhr. Darüber hinaus ist mit den Service Level Agreements (SLA) der gesamte Service definiert. Dies erspart dem Unternehmen unangenehme Überraschungen, insbesondere bei Angriffen. Ein externer SOC-Betreiber ist zudem in der Lage, viele externe und interne Informationsquellen zu konsolidieren. Und: Der Betrieb eines externen SOCs ist viel kostengünstiger, da die meisten Geräte, Lösungen und Experten gemeinsam mit anderen genutzt werden, erklären die Gartner-Analysten.
CIOs und CISOs jedenfalls bevorzugen laut PwC externe SOCs, weil sie sich der Komplexität der Implementierung eines solchen Systems bewusst sind: viele Tools einrichten, entsprechende Experten finden, die Tools beherrschen, Vorfälle analysieren.
Doch wie beim internen SOC stehen auch hier den Vorteilen Nachteile gegenüber. Zu akzeptieren, dass die Sicherheit des Unternehmens in den Händen Dritter liegt, ist nicht selbstverständlich. Daten werden bei diesem Modell ausserhalb des Unternehmens gespeichert und analysiert, was Risiken mit sich bringt, wenn keine passenden Sicherheitsmassnahmen ergriffen wurden.
Zudem kann das Kündigen und Beenden der Dienstleistung komplex sein, insbesondere wenn sich der Dienstanbieter auf pro­prietäre Lösungen verlässt. Selbst mit Marktlösungen und einer klaren Dokumentation bleibt die Interoperabilität eingeschränkt, und das Wiederherstellen von Fachwissen über vorhandene Erkennungsregeln und -verfahren kann darunter leiden.



Das könnte Sie auch interessieren