Wie arbeitet ein Security Operations Center (SOC)?

Was genau ist ein SOC?

Ein Security Operations Center (SOC) ist der zentrale Ort für Informationssicherheitsteams, um die Cybersicherheit zu überwachen, Cybersicherheitsvorfälle zu erkennen, zu analysieren und zu beheben. Ein Team aus Sicherheitsanalysten und Ingenieuren überwacht alle Aktivitäten auf Servern, Websites, Datenbanken, Netzwerken, Anwendungen, Endpunkten und anderen Systemen mit dem Ziel, potenzielle Sicherheitsbedrohungen zu erkennen und sie so schnell wie möglich zu stoppen. Darüber hinaus überwachen die Mitarbeiter relevante externe Quellen (z. B. Bedrohungslisten), die sich auf die Sicherheitslage des Unternehmens auswirken können. Und das normalerweise rund um die Uhr, 365 Tage im Jahr.

Um zu verstehen, wie ein funktionierendes, effizientes SOC aufgebaut ist, muss man sich zuerst einmal vor Augen rufen, wieso ein Unternehmen überhaupt ein SOC braucht, wenn es doch bereits über entsprechende Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen verfügt. Leider ist es nämlich so, dass selbst die besten Security-Tools der Welt keinen 100prozentigen Schutz vor kriminellen Hackern bieten. Der Grund ist simpel, denn Security-Tools schützen immer nur vor bereits bekannten Bedrohungen, während Cyber-Kriminelle ihre Angriffe stetig weiterentwickeln und immer neue Schlupflöcher finden, um in Ihre Systeme einzudringen.

Mit Hilfe eines Security Operations Center können Sie sicherheitsrelevante Vorkommnisse unmittelbar nach deren Entdeckung überwachen, entsprechende Warnungen auslösen und darauf reagieren. Sicherheitsbedrohungen und -warnungen können rund um die Uhr überwacht werden, um Angriffe zu identifizieren und die Reaktionszeit zu verkürzen. Die Idee dahinter ist die Abkehr von einer auf Prävention ausgerichteten, Perimeter-basierten Verteidigung hin zu einer Bedrohungserkennung und -beseitigung in Echtzeit.

Was ist der Vorteil eines SOCs?

Cyberangriffe richten in Unternehmen zunehmend Schaden an. Im Jahr 2018 waren Milliarden von Menschen von Datenschutzverletzungen und Cyberangriffen betroffen und das Vertrauen der Verbraucher in die Fähigkeit von Unternehmen, ihre Privatsphäre und ihre personenbezogenen Daten zu schützen, ging zurück. Fast 70 Prozent der Verbraucher glauben, dass Unternehmen anfällig für Hacking und Cyberangriffe sind, und geben an, dass sie weniger wahrscheinlich Geschäfte mit einem Unternehmen machen, das eine Datenpanne erlebt hat.

Kurz gesagt, ein SOC gewährleistet die Erkennung und Vermeidung von Bedrohungen in Echtzeit. Im Großen und Ganzen bietet ein SOC folgende Vorteile:

• Schnellere Reaktion: SOC bietet eine einzige, vollständige Echtzeitansicht des Sicherheitsstatus der gesamten Infrastruktur, sogar über mehrere Standorte und Tausende von Endpunkten hinweg. Probleme können erkannt, verhindert und gelöst werden, bevor sie dem Unternehmen zu großen Schaden zufügen.
• Verbessern Sie das Vertrauen von Verbrauchern und Kunden: Verbraucher sind bereits skeptisch gegenüber den meisten Unternehmen und besorgt über den Schutz ihrer Privatsphäre. Durch die Einrichtung eines SOC zum Schutz von Verbraucher- und Kundendaten kann Ihr Unternehmen Vertrauen gewinnen. Durch die Verhinderung von Datenschutzverletzungen wird dieses Vertrauen erhalten und gestärkt.
• Kosten minimieren: Viele Unternehmen finden es unerschwinglich, ein SOC einzurichten. Allerdings sind Sicherheitsverletzungen – einschließlich Datenverlust, Datenbeschädigung und Kundenabwanderung – für Unternehmen kostspieliger.

Diese Vorteile sind von unschätzbarem Wert, weil sie Ihr Geschäft wirklich am Laufen halten. Aber ist SOC wirklich notwendig? Wenn Ihr Unternehmen behördlichen oder branchenspezifischen Vorschriften unterliegt, eine Sicherheitsverletzung aufgetreten ist oder sensible Daten wie Kundeninformationen speichert, lautet die Antwort „Ja“.

Was ist die Aufgabe eines SOCs?

SOCs spielen eine führende Rolle bei der Reaktion auf Vorfälle in Echtzeit, treiben Sicherheitsverbesserungen kontinuierlich voran und schützen Unternehmen vor Cyber-Bedrohungen. Durch die Überwachung und Verwaltung des gesamten Netzwerks mit einer ausgeklügelten Kombination aus den richtigen Tools und Mitarbeitern kann ein gut funktionierendes SOC:

• Netzwerke, Hardware und Software rund um die Uhr proaktiv überwachen zur Erkennung von Bedrohungen und Sicherheitsverletzungen sowie zur Reaktion auf Vorfälle
• Fachwissen zu allen Tools bereitstellen, die Ihr Unternehmen verwendet, einschließlich Tools von Drittanbietern, um Sicherheitsprobleme schnell zu beheben
• Softwareinstallationen, Updates auf Schwachstellen überprüfen
• Firewalls und Intrusion-Prevention-Systeme überwachen und verwalten
• Antiviren-, Malware- und Ransomware-Lösungen scannen und beheben
• E-Mail-, Sprach- und Videotraffic auf Anomalien überwachen
• Patch-Management und Whitelisting
• Sicherheitsprotokolldaten aus verschiedenen Quellen eingehen analysieren
• Sicherheitstrends analysieren, untersuchen und dokumentieren
• Sicherheitsverletzungen untersuchen, um die Ursache von Angriffen zu ermitteln und zukünftige Sicherheitsverletzungen zu verhindern
• Sicherheitsrichtlinien und -verfahren durchsetzen
• Sicherung, Speicherung und Wiederherstellung

Wer arbeitet in einem SOC?

In einem SOC sorgen hochqualifizierte Security-Analysten und -Architekten sowie Führungskräfte für einen reibungslosen Ablauf des Monitorings und Managements von Sicherheitsbedrohungen. Sie sind nicht nur geschult im Umgang mit einer Vielzahl von Security-Tools, sondern kennen auch die spezifischen Abläufe, die im Falle einer Verletzung der Infrastruktur zu befolgen sind.

CISO

Der Chief Information Security Officer (CISO) ist eine hochrangige Führungskraft, die für die Festlegung der Sicherheitsmaßnahmen des Unternehmens verantwortlich ist und die Strategie, Richtlinien und Verfahren festlegt. Sie sind an allen Aspekten der Cybersicherheit innerhalb des Unternehmens beteiligt, einschließlich, aber nicht beschränkt auf den Schutz der Unternehmenskommunikation, der Systeme und Vermögenswerte vor internen und externen Bedrohungen. Darüber hinaus können sie auch für die Einhaltung von Vorschriften zuständig sein.

• Leitung und Genehmigung des Entwurfs von Sicherheitssystemen
• Überprüfung und Genehmigung von Sicherheitsrichtlinien, Kontrollen und Reaktionsplänen bei Cybervorfällen
• Aufrechterhaltung eines aktuellen Verständnisses der IT-Bedrohungslandschaft in der Branche
• Sicherstellung der Einhaltung der sich ändernden Gesetze und geltenden Vorschriften
• Planung regelmäßiger Sicherheitsprüfungen
• Beaufsichtigung des Identitäts- und Zugangsmanagements
• Verwaltung aller Teams, Mitarbeiter, Auftragnehmer und Lieferanten, die an der IT-Sicherheit beteiligt sind, was auch die Einstellung von Mitarbeitern umfassen kann
• Schulung und Betreuung der Mitglieder des Sicherheitsteams
• Verwaltung des Sicherheitsbudgets

VP IT-Sicherheit / SOC-Manager

Der Leiter eines Security Operations Center, in der Regel SOC-Manager genannt, ist für den gesamten Sicherheitsbetrieb verantwortlich. Er beaufsichtigt und leitet die Mitglieder des SOC-Teams und koordiniert die Zusammenarbeit mit dem Unternehmen (Kunden) und den Sicherheitsingenieuren. Sie erstellt regelmäßige Berichte über die Sicherheitslage und bei Bedarf Berichte über Vorfälle für den CISO und andere Unternehmensbeteiligte.

• Beaufsichtigung des Tagesgeschäfts und direkte Leitung aller Mitglieder des SOC-Teams
• Verwaltung von Strategien zur Überwachung der allgemeinen Netzsicherheit
• Definieren und Implementieren neuer Strategien
• Beaufsichtigung und Leitung von Sicherheitsprüfungen
• Weitergabe von Berichten über Vorfälle an Führungsteams und Organisationspartner
• Schulung von Teammitgliedern und anderen Mitarbeitern in den besten Sicherheitspraktiken
• Bewertung der aktuellen Technologie und Definition der Architektur für neue Technologien
• Bewertung von Kosten und Budget für technologische Änderungen
• Rekrutieren, Einstellen und Beschaffen von Ressourcen für künftige Technologieanforderungen und -projekte
• Koordinierung von Schwachstellen-Patches innerhalb der IT-Abteilung
• Förderung der Einhaltung von Richtlinien innerhalb der Organisation

SOC-Analysten

Der SOC-Analyst ist für die Identifizierung, Untersuchung, Eindämmung und Behebung von Cyber-Bedrohungen zuständig. SOC-Analysten überwachen auch Anwendungen, um potenzielle Cyberangriffe oder Eindringlinge (Ereignisse) zu identifizieren und festzustellen, ob echte bösartige Bedrohungen (Vorfälle) im Spiel sind und ob das Geschäft beeinträchtigt werden könnte.

Die Aufgaben des Security Operations Center sind in vielen Unternehmen unterschiedlich stark ausgeprägt und können als Level 1, Level 2, Level 3 und Level 4 bezeichnet werden.

• Level 1: Dieses Level stellt gewissermaßen die erste Verteidigungsrichtlinie bei Incident Response dar. Security-Fachleute prüfen Warnmeldungen und legen die entsprechende Relevanz und Dringlichkeit fest. Außerdem bestimmen sie, in welchem Fall zu Level 2 eskaliert werden soll. Mitarbeiter in Level 1 haben außerdem die Aufgabe, diverse Sicherheitstools zu verwalten und regelmäßige Berichte zu erstellen.
• Level 2: Security-Fachleute in Level 2 verfügen in der Regel über mehr Fachwissen, sodass sie auftretenden Problemen schnell auf den Grund gehen und beurteilen können, welcher Teil der Infrastruktur angegriffen wurde. Dabei folgen Sie festgelegten Verfahren zur Problembehebung, räumen negative Folgen aus dem Weg und kennzeichnen Probleme, die einer weitergehenden Untersuchung bedürfen.
• Level 3: Bei Security-Mitarbeitern in Level 3 handelt es sich um hochqualifizierte Sicherheitsanalysten, die aktiv nach Schwachstellen im Netzwerk suchen. Dazu nutzen sie unterschiedliche Tools, um komplexe Bedrohungen zu erkennen, um Schwächen zu diagnostizieren und um Empfehlungen zur Verbesserung des allgemeinen Sicherheitsstandards im Unternehmen auszusprechen. In dieser Gruppe sind eventuell auch Spezialisten wie forensische Ermittler, Compliance-Auditoren und Cyber-Security-Analysten anzutreffen.
• Level 4: Dieses Level setzt sich aus hochrangigen Führungskräften mit langjähriger Erfahrung zusammen. Das Team überwacht sämtliche Aktivitäten des SOC und ist für die Einstellung und Schulung des Personals sowie für die Bewertung der individuellen und der Gesamt-Performance zuständig. Level-4-Mitarbeiter schreiten bei Krisen ein und fungieren insbesondere als Bindeglied zwischen dem SOC-Team und dem Rest des Unternehmens. Darüber hinaus sind sie verantwortlich für die Einhaltung von Unternehmens-, Branchen- und Regierungsrichtlinien und Vorschriften.

Betrugsanalytiker / Fraud Analyst

Ein Betrugsanalytiker ist auf das Aufspüren, Überwachen und Untersuchen verdächtiger Aktivitäten spezialisiert, bei denen es sich möglicherweise um Betrug handeln könnte, einschließlich Fälschungen und Diebstahl bei Kundenkonten und -transaktionen.

• Beobachten von Kundentransaktionen, um Verhaltens- oder Transaktionsanomalien wie Kontoübernahmen, Friendly Frauds, Diebstahl und andere ähnliche Risiken zu erkennen
• Rasche Rückabwicklung von Transaktionen durch frühe Erkennung von Betrug (innerhalb von Stunden)
• Bereitstellung eines rationalisierten Untersuchungs-Workflows zur Lösung von verdächtigen Transaktionen in der Warteschlange, um potenzielle Umsatzverluste zu reduzieren
• Interaktion mit Geschäftspartnern und Kunden zur Validierung von Informationen und zur Bestätigung oder Stornierung von Genehmigungen
• Lösung oder Vermeidung von Kundenproblemen im Rahmen der bestehenden Service Level Agreements (SLA)
• Pflege von Betrugsanalysemodellen zur Verbesserung der Effizienz und Effektivität der Unternehmenssysteme und -kontrollen
• Sicherstellung der Einhaltung gesetzlicher Vorschriften in Bezug auf die Vertraulichkeit und Integrität aller während einer Untersuchung gesammelten Informationen. (z.B. persönlich identifizierbare Informationen (PII) und globale Datenschutzanforderungen (GDPR))
• Zusammenarbeit mit der Technikabteilung, um Verbesserungsvorschläge für Echtzeit-Präventionskontrollen zur Verhinderung betrügerischer Aktivitäten zu unterbreiten.

Audit und Compliance Auditoren

Der Audit- und Compliance-Beauftragte ist für drei große Funktionsbereiche zuständig: Risikomanagement, Compliance und Innenrevision. Sie werden in der Regel an Informationssicherungsprojekten und Initiativen für Governance, Risiko und Compliance (GRC) beteiligt sein, die sich sowohl auf IT- als auch auf Prozess- und sogar rechtliche Belange beziehen. Zum Beispiel Datenschutzbelange im Zusammenhang mit staatlichen / lokalen Anforderungen oder GDPR; und/oder InfoSec-eigene Projekte wie Schwachstellenmanagement, Risikorahmen, kritische Infrastruktur usw.

Personen in solchen Funktionen können im Rahmen von Risikomanagement-Initiativen Governance-Unterstützung leisten, sie können Empfehlungen aussprechen, die sich direkt auf die Bewertung von Vermögenswerten und Kontrollen auswirken, und sogar bei Änderungen der Unternehmensrichtlinien beraten.

• Durchführung regelmäßiger interner Überprüfungen oder Audits, um sicherzustellen, dass die Compliance-Verfahren eingehalten werden
• Durchführung oder Leitung der internen Untersuchung von Compliance-Problemen
• Bewertung von Produkt-, Compliance- oder Betriebsrisiken und Entwicklung von Risikomanagementstrategien
• Verbreitung schriftlicher Richtlinien und Verfahren im Zusammenhang mit Compliance-Aktivitäten
• Beratung des internen Managements oder von Geschäftspartnern bei der Implementierung oder Durchführung von Compliance-Programmen
• Erstellung von Managementberichten über Compliance-Aktivitäten und Fortschritte
• Informieren Sie sich über anstehende Änderungen, Trends und bewährte Praktiken in der Branche und bewerten Sie die möglichen Auswirkungen dieser Änderungen auf organisatorische Abläufe.

Security Tools Engineer

Der Security Tools Engineer ist in der Regel für die Entwicklung, den Aufbau und den laufenden Betrieb von Sicherheitstechnologien zuständig. In kleineren Unternehmen kann diese Rolle mit der eines Sicherheitsanalysten kombiniert werden. Die Rolle ist wichtig für Splunk, weil der Security Tools Engineer ein technischer Verfechter und wichtiger Einflussnehmer für Kaufentscheidungen in einer Organisation ist.

• Entwicklung, Bereitstellung und Wartung von Werkzeugen zur Unterstützung von
• Security Recommendations
• Justierung von Suchen und Benachrichtigen von Ereignissen
• Überwachung von Sicherheitsinformationen und Ereignissen (SIEM)
• Analyse von Systemprotokollierung
• Bewertung/Verwaltung von Schwachstellen
• Erstellung des SOAR-Lösungen (Security Orchestration, Automation and Response) Regelwerkes
• Durchführung von Informationssicherheitsplänen und Einhaltung der Sicherheitsrichtlinien des Unternehmens
• Mitwirkung bei der Bewertung und Empfehlung von Neuanschaffungen von Sicherheitstechnologie

Herausforderungen eines SOCs

SOCs übernehmen ein immer komplexeres Aufgabenspektrum, das alle Aspekte der Cybersicherheit eines Unternehmens abdeckt. Der Aufbau und die Aufrechterhaltung eines effektiven Security Operations Centers ist für viele Unternehmen eine große Herausforderung. Zu den größten Herausforderungen gehören:

Informationsüberlastung durch zu hohe Zahl an Warnmeldungen

Für viele Unternehmen das größte Problem: eine Flut von Sicherheitswarnungen. Sie richtig zu sortieren, zu priorisieren und zu verarbeiten, erfordert oft komplexe Systeme und menschliches Eingreifen. Wenn die Alarmstufe hoch ist, können Bedrohungen leicht falsch klassifiziert oder nicht angemessen angegangen werden. Dies zeigt, wie wichtig ausgeklügelte Überwachungstools und Automatisierung sowie Teams aus hochqualifizierten Fachleuten sind.

Komplexität

Der Schutz von Unternehmen und die Reaktion auf Bedrohungen sind aufgrund einer globalisierten Wirtschaft, flexibler Arbeitsorte, der zunehmenden Nutzung von Cloud-Technologie und anderer Bedenken komplexer geworden. Relativ einfache Lösungen wie heutige Firewalls bieten nur unzureichenden Schutz vor digitalen Angreifern. Komplexe Lösungen, die Technologie, Menschen und Prozesse kombinieren, können jedoch schwierig zu entwickeln, zu integrieren und zu managen sein.

Kosten

Der Aufbau eines Security Operations Centers nimmt viel Zeit und Ressourcen in Anspruch. Da sich die Bedrohungslandschaft ständig ändert, kann der Unterhalt eine größere Herausforderung darstellen und häufige Aktualisierungen und Upgrades sowie eine kontinuierliche Schulung und Entwicklung des Personals erfordern. Darüber hinaus ist Cybersicherheit ein hochspezialisiertes Gebiet und nur wenige Unternehmen verfügen über die erforderlichen Fachleute, die alle Anforderungen des Unternehmens verstehen. Viele Unternehmen beauftragen Managed Security Service Provider wie SoftwareONE, um gute Ergebnisse zu erzielen, ohne viel in Technologie oder Personal investieren zu müssen.

Fachkräftemangel

Die Entwicklung eigener Sicherheitslösungen wird durch die begrenzte Verfügbarkeit geeigneter Experten erschwert. Cybersicherheitsexperten sind weltweit sehr gefragt, was es schwierig macht, sie zu finden und zu halten. Die Fluktuation von Sicherheitsteams kann die Unternehmenssicherheit gefährden