Security Operation Center[Gesponsert]

Gefahr erkannt, Gefahr gebannt

Das Security Operation Center (SOC) betrachtet die Cybersecurity im Unternehmen immer als ein Gesamtkonstrukt, das mehr ist als die Summe seiner einzelnen Sicherheitsfunktionen
Das Security Operation Center (SOC) betrachtet die Cybersecurity im Unternehmen immer als ein Gesamtkonstrukt, das mehr ist als die Summe seiner einzelnen Sicherheitsfunktionen (© Airbus)

Bereitgestellt von

Angesichts der heutigen Bedrohungslage muss eine IT-Security-Strategie sämtliche Infrastruktur-Komponenten und den gesamten Datenverkehr nonstop überwachen.

Laut dem aktuellen BSI-Bericht (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland werden täglich ca. 380.000 neue Schad­programmvarianten gesichtet. Diese gelangen oft über einzelne Rechner ins Unternehmensnetzwerk, denn zu den häufigsten Einfallstoren gehören schädliche ­E-Mail-Anhänge, Drive-by-Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert sind (Malvertising). Besonders der jüngste Ransomware-Vorfall (Not)Petya hat noch einen weiterführenden Infektionsweg offenbart: die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte Schnittstellen in industrielle Umgebungen.

Für eine langfristige Überwachung der IT-Infrastruktur ist die Integration eines Security Operation Centers (SOC) ratsam. Es stellt quasi die sicherheitsbezogene Kommandobrücke dar und koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz. Unternehmen, die nicht über die nötigen Ressourcen zum Betreiben eines eigenen SOC ­verfügen, können ein solches auch als „SOC-as-a-Service“ nutzen.

Sicherheitszentrale SOC

Die Konzeption eines SOC beginnt mit dem Definieren von unternehmensspezifischen Prioritäten hinsichtlich IT-Infrastruktur, Informationsfluss und Geschäftsbereichen. Hier sind Fragen zu klären wie: Gibt es Netzwerksegmente mit unterschiedlichen Schutzbedarfen, so dass die Netzübergänge durch ein Security Exchange Gateway gesichert werden müssen? Darf der Datenaustausch bidirektional erfolgen? Ist eine Zonierung von Office-IT und industrieller Steuerungsumgebung zu beachten? Wird hier ein separates industrielles SOC benötigt?

Ein Beispiel, um die Relationen zu verdeutlichen: Täglich fließen 50 Millionen Logzeilen durch ein System. Um diese Flut von Informationen zu verarbeiten, werden hochsensible Filter benötigt, welche die eigentlich wichtigen 1.000 Datensätze erkennen. Dabei muss gewährleistet sein, dass die ausgefilterten 49.999.000 Datensätze keine relevanten Informationen mehr ­enthalten. Die verbliebenen 1.000 Datensätze enthalten wiederum Indikatoren für ca. 100 reale Probleme, von denen dann 10 letztendlich so relevant sind, dass sich daraus ein Ticket ableiten lässt.

Auf die richtige Kombination kommt es an

Security Services in einem SOC sind immer eine Kombination aus Technologien, Prozessen und menschlicher Expertise. Das SOC betrachtet die Cybersecurity im Unternehmen immer als ein Gesamtkonstrukt, das mehr ist als die Summe seiner einzelnen Sicherheitsfunktionen.

Tiefgreifendes Know-how und langjährige Erfahrung bei der Erkennung von Netzwerkanomalien, der Malware-Analyse, Digitalen Forensik und dem entsprechenden Incident Response sind unabdingbar, um ein SOC betreiben zu können. Nur mit der Expertise beim Aufbau von Use Cases und dem Wissen, welche Regeln und Algorithmen integriert werden müssen und wie dabei auch die IT-Sicherheitsrichtlinien des jeweiligen ­Unternehmens Berücksichtigung finden, lassen sich später auto­matisierte Security-Prozesse entwickeln, die ein Unternehmen auf Netzwerkebene und darüber hinaus­ schützen.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45054588 / Solutions)