10 Dinge, die ein funktionierendes Security Operations Center unbedingt können sollte

Wieso braucht man eigentlich ein Security Operations Center (SOC)?

Um zu verstehen, was ein funktionierendes, effizientes SOC unbedingt können sollte, muss man sich zuerst einmal vor Augen rufen, wieso ein Unternehmen überhaupt ein SOC braucht, wenn es doch bereits über entsprechende Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen verfügt. Leider ist es nämlich so, dass selbst die besten Security-Tools der Welt keinen 100prozentigen Schutz vor kriminellen Hackern bieten. Der Grund ist simpel, denn Security-Tools schützen immer nur vor bereits bekannten Bedrohungen, während Cyber-Kriminelle ihre Angriffe stetig weiterentwickeln und immer neue Schlupflöcher finden, um in Ihre Systeme einzudringen.

Mit Hilfe eines Security Operations Center können Sie sicherheitsrelevante Vorkommnisse unmittelbar nach deren Entdeckung überwachen, entsprechende Warnungen auslösen und darauf reagieren. Sicherheitsbedrohungen und -warnungen können rund um die Uhr überwacht werden, um Angriffe zu identifizieren und die Reaktionszeit zu verkürzen. Die Idee dahinter ist die Abkehr von einer auf Prävention ausgerichteten, Perimeter-basierten Verteidigung hin zu einer Bedrohungserkennung und -beseitigung in Echtzeit.

Ein SOC nutzt eine Reihe von Tools, die Daten aus dem gesamten Netzwerk und von verschiedenen Geräten erfassen, auf Anomalien überwachen und Mitarbeiter bei potenziellen Bedrohungen warnen. Die größte Herausforderung liegt dabei darin, überhaupt genügend geschulte Mitarbeiter zu finden, die die Masse an Tools bedienen und die Incidents, die in einem Unternehmen anfallen, auch analysieren können.

Ein modernes SOC sollte daher Transparenz im gesamten Unternehmen herstellen und eine gemeinsame Arbeitsoberfläche für alle Teammitglieder bieten. Mit einer einzigen Suite, in die Lösungen anderer Anbieter zur Erweiterung bestehender Funktionen nahtlos integriert werden können, müssen Analysten nicht mehr zwischen dutzenden Produkten hin- und herwechseln. Durch die gemeinsame Arbeitsoberfläche für alle Teammitglieder können diese mehr Zeit für wertschöpfende Tätigkeiten aufwenden. Eine solche Lösung sollte nicht ad-hoc zusammengesetzt werden. Die Sicherheitssuite sollte über leistungsstarke Analysefunktionen verfügen, welche die Fähigkeiten von kleinen bis mittelgroßen Teams optimieren und ihnen Erkenntnisse zu potenziellen Bedrohungen liefern, sodass sie keine Zeit mit Fehlalarmen vergeuden.

Was ein gutes SOC unbedingt können muss

1. Erfassen

Alle Daten sind sicherheitsrelevant. Sie sind der Sauerstoff, der einem SOC Leben einhauchen. Auch Analysen und Algorithmen werden erst durch Daten lebendig. Ebenso wichtig ist die Fähigkeit, Daten aus beliebigen Quellen, strukturiert oder unstrukturiert, und in beliebigem Umfang aufzunehmen. Außerdem müssen Sie diese Daten organisieren können, damit sie von Mensch oder Maschine ausgewertet und in Handlungen umgesetzt werden können.

2. Erkennen

Die Security Operations Suite muss unbedingt in der Lage sein, ein Ereignis zu erkennen, sobald es im System auftritt. Hier liegt der Schwerpunkt auf der Erkennung von Events – im Gegensatz zu herkömmlichen Lösungen, die sich auf Dateien oder den Netzwerkverkehr konzentrieren. Eine Security Operations Suite kann eine Kombination aus Korrelationsregeln, Machine Learning und Analyseberichten nutzen, um nur einige Aspekte zu nennen.

3. Vorhersagen

Stellen Sie sich vor, Sie könnten Warnmeldungen bereits 30 Minuten vor der eigentlichen Erkennung eines Sicherheits-Events erhalten. Ihr SOC würde massiv davon profitieren. Die Möglichkeit, ein Sicherheits-Event vorherzusagen, ermöglicht es dem SOC, Incidents proaktiv an einen Mitarbeiter zu eskalieren oder die Incident Response mit einem vordefinierten Prozess zu straffen. Vielversprechende, vorausschauende Technologien bieten Analysten Frühwarnungen, Hinweise und Indikatoren für großangelegte Angriffe und können zudem unbekannte Bedrohungen identifizieren, bevor sie zu einer größeren Gefahr werden.

4. Automatisieren

Automatisierungs-Tools verwandeln standardmäßige Betriebsabläufe in digitale Playbooks, um Sicherheitsbedrohungen schneller untersuchen, anreichern, aufspüren, eindämmen und beheben zu können. Ein SOC mit Automatisierungsmöglichkeiten kann mehr Events verarbeiten, da für Prozesse, die vorher bis zu 30 Minuten dauerten, dann beispielsweise nur noch 40 Sekunden nötig sind. Bei der Entwicklung eines SOC ist Automatisierung mittlerweile keine Option mehr, sondern ein Muss.

5. Orchestrieren

Die meisten dieser SOC-Tools dienen einem bestimmten Zweck und tragen zu Ihrem Schutz bei, lassen sich aber wahrscheinlich nicht anpassen. Das ist problematisch, da sich Bedrohungen weiterentwickeln und die Produkte zur Bedrohungsabwehr in einer API-gesteuerten Welt damit Schritt halten müssen. Hier kommt die Orchestrierung ins Spiel. Durch das Orchestrieren können Sie alles, was sich innerhalb und außerhalb Ihres SOC befindet, einsetzen und vernetzen. Sie müssen nicht mehr für jedes Produkt neue Browser-Tabs öffnen, sich separat anmelden oder Daten zwischen verschiedenen Lösungen hin und her kopieren. Wenn Sie alle Ihre Produkte orchestrieren können, verringert dies die Fixkosten, reduziert das Frustrationspotential und hilft Analysten, ihre Energie auf sinnvolle Aufgaben zu konzentrieren.

6. Empfehlen

An diesem Punkt wurden Events bereits von einer Maschine verarbeitet. Wäre es nicht großartig, wenn die Plattform Ihres SOC den Analysten nun die nächsten Schritte aufzeigen würde? Moderne SOCs können genau das: Sie geben Empfehlungen ab. Diese Empfehlungen liegen dann in Form empfohlener Einzelhandlungen oder ganzer Playbooks vor. Dies hat zwei Vorteile: 1. Neue Analysten lernen so, was zu tun ist, falls erneut eine ähnliche Bedrohung auftritt. 2. Erfahrenen Analysten dienen diese Empfehlungen als Sanity Check oder Gedächtnisstütze für die Maßnahmen, die sie bereits kennen sollten.

7. Untersuchen

Man kann davon ausgehen, dass 90 % der Arbeiten eines Tier-1-Analysten in der näheren Zukunft automatisiert sein werden. Doch was ist mit den restlichen 10 %? Es sind detaillierte, exakte Analysen durch Menschen notwendig, um wichtige Aufgaben abzuschließen. Intuitive Sicherheits-Tools unterstützen die menschlichen Fähigkeiten der Analysten und helfen ihnen zu priorisieren, was untersucht werden soll.

8. Zusammenarbeiten

Sicherheit ist Teamarbeit, für die ein hohes Maß an Koordination, Kommunikation und Kollaboration notwendig ist. In einer SOC-Umgebung darf nichts einfach ignoriert werden, Events müssen umfassend verarbeitet werden und Teams brauchen ChatOps-Einrichtungen bzw. die Möglichkeit zur Zusammenarbeit und zur Vernetzung von Tools, Menschen, Prozessen und Automatisierungslösungen in einer transparenten Arbeitsumgebung. Dadurch rücken Informationen, Ideen und Daten ins Zentrum. So können Security-Teams besser zusammenarbeiten, Personen außerhalb des SOC zur Unterstützung bei Warnmeldungen einladen, wichtige und zeitkritische Details mit Kollegen teilen und letztendlich als Branche kollaborieren.

9. Tickets verwalten

Incidents treten auf, auch wenn wir unser Bestes tun, um sie zu verhindern. Wichtig ist, dass im Fall eines Incidents Security-Teams mit allem ausgestattet sind, was für einen organisierten Incident Response-Prozess erforderlich ist. Die Teams müssen sicherstellen, dass sie über Response-Pläne, Workflows, Nachweiserfassungen, Kommunikationsmöglichkeiten, Dokumentationen und Zeitpläne verfügen. Aus diesem Grund hat sich das Ticket-Management als eine Kernfunktion für moderne SOCs erwiesen.

10. Berichten

Was man nicht messen kann, kann man nicht verbessern. Wir leben in einer datengesteuerten Welt – und das gilt auch für den Bereich Sicherheit. Aus diesem Grund sollten Sie alle Aspekte des Sicherheitsprozesses messen können. Mit den richtigen Reporting-Tools lässt sich die Performance bewerten, sodass Security-Teams genau beurteilen können, was der aktuelle Stand ist und was sie erreichen müssen. Die Herausforderung, vor der SOCs heute stehen, besteht darin, dass sie von zu vielen Plattformen abhängen, was ein genaues Reporting unmöglich macht.

Komplexität bändigen mit Splunk

Die Optimierung Ihres IT-Security-Stacks und die damit einhergehende Leistungsfähigkeit Ihres Teams erfordern eine einzige Plattform, die Ihren Mitarbeitern den Rücken für wichtige Maßnahmen freihält – von der Untersuchung und dem Monitoring bis hin zur Orchestrierung und Problembehebung. Es muss eine robuste Plattform sein, die das gesamte Unternehmen in die Lage versetzt, Daten durch eine einzelne, ganzheitliche Linse zu betrachten und effektiv zu nutzen.

SoftwareOne setzt in Sachen SOC auf Lösungen von Splunk wie Splunk Cloud oder Splunk Enterprise. Splunk ist eine anpassbare Datenanalyseplattform, die Maschinendaten in greifbare Geschäftsergebnisse verwandelt. Im Gegensatz zu Alternativen ermöglichen Ihnen Splunk Cloud und Splunk Enterprise, Ihre vorhandenen Technologieinvestitionen sowie die umfangreichen und stetig wachsenden Datenmengen – die Ihre IT-, Sicherheits- und Business-Systeme, Apps und Geräte generieren – zu nutzen, um Ihre Systeme nahezu in Echtzeit zu untersuchen, zu überwachen, zu analysieren und entsprechend zu handeln. Genauer gesagt vereint die Splunk Security Operations Suite die führenden SIEM-, UEBA- und SOAR-Technologien, die auf einer gemeinsamen Arbeitsoberfläche basieren und die Grundlage für ein modernes SOC bilden.

Splunk Partnerschaft mit SoftwareOne

SoftwareOne ist als Reseller weltweiter Elite Partner von Splunk. Damit können wir Ihnen nicht nur die besten Preise und Rabatte sondern auch besondere Beratungsleistungen im direkten Schulterschluss mit Splunk anbieten.
Darüber hinaus ist SoftwareOne Premier Managed Service Provider Partner von Splunk, indem wir erfolgreich Produkte von Splunk in unsere eigenen Managed Services einbinden und damit unseren Kunden einen außergewöhnlichen Mehrwert bieten.