Was ist eigentlich ein SOC?

SOC steht für Security Operations Center und ist grundsätzlich vergleichbar mit einem Operations Center, also quasi ein Leitstand oder eine Einsatzzentrale. Der Fokus liegt beim SOC natürlich auf Security im Sinne von Informationssicherheit. Was sind die Aufgaben eines SOC?

Kurz gesagt: Die Aufgabe eines SOC ist, ein aktuelles Lagebild zur Informationssicherheit abzubilden, Gefährdungen oder aktuelle Sicherheitsvorfälle zu erkennen, sowie eine angemessene Reaktion darauf einzuleiten und zu koordinieren.

Ähnlich wie bei einer Feuerwehr (Retten, Löschen, Bergen, Schützen) , werden durch ein SOC verschiedene Tätigkeiten ausgeübt mit dem Ziel die Schutzziele der Informationssicherheit sicherzustellen:

  • Verfügbarkeit
  • Vertraulichkeit
  • Integrität

Die Tätigkeiten eines SOC sind im wesentlichen:

  • Darstellung der Geräte: Welche Geräte gibt es? Wie ist deren Vertrauenswürdigkeit?
  • Überwachung der Verfügbarkeit und Erstellung von Prognosen
  • Ermittlung von Schwachstellen und Empfehlung von Gegenmaßnahmen
  • Use-Case-basierte Überwachung von sicherheitskritischen Ereignissen – auch auf Basis der aktuellen Bedrohungslage
  • Alarmierung im Bedarfsfall und angemessene Reaktion (Abwehrmaßnahmen) auf sicherheitsrelevante Ereignisse
  • Unterstützung von forensischen Maßnahmen im Nachgang eines Vorfalls
  • Reporting über all diese Tätigkeiten

Das hört sich nach jeder Menge Arbeit an…

Nun ja, da ist schon was dran. Ganz ohne Einsatz lässt sich sowas nicht realisieren. Aber die gute Nachricht ist: Alle dieser Tätigkeiten lassen sich durch geeignete Tools automatisieren oder unterstützen.

Für eine umfassende Inventarisierung und Gruppierung aller Geräte bietet sich eine NAC-Lösung an (Network Access Control). Diese Lösungen liefert entweder bereits der Infrastrukturlieferant oder man nutzt Systeme wie z.B. Macmon. Diese können einen schnellen Überblick bekannter Geräte ermitteln, bei neuen (unbekannten) Geräten alarmieren und eine Einschätzung zur Vertrauenswürdigkeit abgeben.

Ein modernes Monitoring System überwacht natürlich nicht nur Uptime und Service-Verfügbarkeit. Es erstellt Graphen über die Laufzeit und bildet diese in einem modernen Dashboard ab. Dadurch kann zum Beispiel eine Performance-Auslastung betrachtet und prognostiziert werden. Durch solche Prognosen und Schwellwert-Alarmierungen wird die Verfügbarkeit signifikant gesteigert.

Ein System, mit dem zyklische Schwachstellen-Scans durchgeführt werden, ist in einem Sicherheitskonzept für Unternehmen heutzutage nicht mehr wegzudenken. Ein solches System ermittelt bekannte Schwachstellen und Konfigurationsfehler für alle wichtigen Systeme. So entsteht Sichtbarkeit und Transparenz. Es können direkt Gegenmaßnahmen empfohlen und umgesetzt werden.

Wie werden Angriffe erkannt?

Um laufende Angriffsversuche oder Anomalien zu erkennen, sollten sicherheitsrelevante Ereignisse protokolliert werden. Diese werden zueinander korrelliert und bekannte Angriffsmuster, aktuelle Angriffsszenarien und ungewöhnliche Ereignisse können dadurch erkannt und aufgedeckt werden.

Um auf einen Alarm des SOC angemessen zu reagieren sind eigentlich keine speziellen Systeme notwendig. Natürlich sind aber Dinge wie Workflows, Runbooks, Eskalations- und Meldewege abzustimmen und zu proben. Diese Prozesse werden in der Regel auch von Systemen unterstützt. Diese liegen aber zumeist bereits vor. Sei es in Form eines Servicemanagement-Tools oder als Handbuch.

Mit all diesen Maßnahmen unterstützt ein SOC somit dadurch vor allen Dingen dabei, das allgemeine Sicherheitsniveau anzuheben und Angriffe zu erkennen.

Wie sollte man beginnen um ein SOC zu etablieren?

Die Bilder von Leitständen mit wandgroßen Monitoren und Control Tower-Infrastrukturen wie zum Beispiel das Mission Control Center der NASA sind zwar cool, für die allermeisten Unternehmen allerdings völlig überzogen und ebensowenig finanzierbar.

NASA Mission Control

Quelle: „Johnson Space Center’s Mission Control Center“ – https://www.nasa.gov/content/johnson-space-centers-mission-control-center-1/

Zum Glück ist das auch gar nicht nötig, um einen ersten Schritt in Richtung eines SOC zu gehen. Und, naja um Konfuzius zu bemühen:

Der längste Weg beginnt mit dem ersten Schritt.

Auf dem Weg zum SOC sollten sie sich die folgenden Fragen stellen und schrittweise beantworten:

  1. Kenne ich alle unternehmenskritischen Assets?
  2. Kann ich fremde (unerwünschte) Geräte erkennen oder abwehren?
  3. Sehe ich den Zustand meiner kritischen Assets?
  4. Kann ich eine Prognose über deren Zustand abgeben?
  5. Kenne ich die technischen Schwachstellen meiner Assets?
  6. Begegne ich diesen Schwachstellen planvoll und angemessen?
  7. Kann ich sicherheitsrelevante Ereignisse über Systemgrenzen hinweg nachvollziehen?
  8. Ist klar, welche Ereignisse zu einem Alarm führen und ist klar was bei einem Alarm passiert?

Alle diese Fragestellungen können sehr zügig und eben ohne den Aufbau eines Security-Leitstandes, wie im Bild oben, gelöst werden.

Das Sicherheitsniveau steigt dadurch signifikant und es ist für Angreifer wesentlich schwieriger hier Schaden anzurichten.

Warum helfen diese Maßnahmen bei der Abwehr von Cyberangriffen?

Ich will an dieser Stelle eine von vielen Veröffentlichungen dazu zitieren. Die Kernbotschaft ist dabei bei allen sehr ähnlich.

Insgesamt wird der Erfolg von Cyber-Angriffen vor allem durch folgende Faktoren begünstigt:

•  In vielen Fällen nutzen Täter technische Schwachstellen aus […]
• In dem Zeitraum zwischen dem Bekanntwerden einer Schwachstelle und dem Erscheinen eines entsprechenden Patches sind viele betroffene Systeme ungeschützt.[…]
• Neu veröffentlichte Updates und Patches werden bei vielen Institutionen erst nach Tagen, Wochen oder überhaupt nicht eingespielt. […]
• Informationstechnik und die damit verbundenen Sicherheitsaspekte sind heute so komplex, dass viele Benutzer trotz Sensibilisierung und Schulung mit der Einhaltung der Sicherheitsrichtlinien überfordert sind- aus „Cyber-Bedrohungen – ein Einstieg“ vom Bundesamt für Sicherheit in der Informationstechnik

Fazit

Natürlich werden auch immer wieder sog. APT (Advanced Persistent Threat) Angriffe angeführt. Diese zu erkennen und erfolgreich abzuwehren ist ohne Frage sehr aufwendig. Aber diese sind eben auch die absolute Ausnahme. Die meisten erfolgreichen Cyberangriffe sind auf eine möglichst hohe Opferzahl ausgelegt. Es werden eben sehr viele potentielle Opfer gleichzeitig angegriffen und das passiert über bekannte technische Schwachstellen und nachvollziehbare, weil automatisierte, Angriffsmuster. Durch die Maßnahmen wie sie oben beschrieben sind, können solche Angriffe zuverlässig abgewehrt werden.


MVSStestdrive – Schwachstellen-Scan aus Überzeugung
Durch die zuverlässige und regelmäßige Risikoeinschätzung, die 
der Schwachstellen-Scan ermöglicht, wird eine Transparenz zu Risiken 
erreicht, die die Erkennungs- und Reaktionszeiträume auf ein Minimum 
reduziert.
-  Kostenlose Testphase
-  Einmaliger Scan von 8 IPs
-  Ergebnisbesprechung mit Handlungsempfehlung
-  Nach Behebung der Schwachstellen erfolgt ein Re-Test mit Besprechung

Jetzt kostenfreien TO MVSStestdrive starten!

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *