Security Operations Center, was ist das?

Was ist beim Aufbau eines SOCs wichtig?

Ein Security Operations Center hilft einem Unternehmen sich besser vor Cyber-Angriffen zu schützen. Doch wie baut man ein solches SOC auf. Das alles erkläre ich in diesem Video.

Bevor ich darüber spreche, wie man ein Security Operations Center aufbaut, müssen wir zunächst einmal klären, was „Security Operations“ bedeutet.

„Security Operations“ dient zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen von einem Unternehmen. Es überwacht kontinuierlich die Zustände der IT-Infrastruktur und dient zur Erkennung von unerwünschten Aktivitäten und Zuständen von Systemen. Durch „Security Operations“ wird der Schaden, der aus unerwünschten Aktivitäten entsteht, minimiert.

Nachdem wir darüber gesprochen haben, was Security Operations ist, möchte ich erklären, warum man überhaupt ein „Security Operations Center“ oder kurz SOC haben sollte.

Eines der wichtigsten Argumente für ein SOC ist der Schutz vor Verlusten. Hierbei geht es um finanzielle Verluste und um Verluste von Daten, die durch Missbrauch oder Cyber-Angriffe entstehen können.

Die Verwendung eines SOC steigert die Effizienz von „Security Operations“. Warum? Das SOC bietet spezialisierte Services, wie Security Monitoring oder Security Incident Response an. Unter den zwei Links finden Sie noch zwei weitere Videos, die noch genauer auf diese Themen eingehen.

Durch die spezialisierten Services können alle Abteilungen auf die Expertise der SOC Services zugreifen und müssen diese nicht selbst bereitstellen. Die Zentralisierung von SOC Services verhindert doppelte Infrastrukturen und Tätigkeiten dieser Services.

Ein weiterer Punkt ist 24/7 Überwachung. Durch ein zentrales SOC ist es leichter 24/7 Überwachung bereit zu stellen. Die zentral organisierten Services können, entweder durch zusätzliche Security Analysten erweitert werden oder durch einen externen Dienstleister.

Es gibt auch die Möglichkeit eines hybriden Modells. Hierzu können interne SOC Mitarbeiter das Security Monitoring, während der normalen Arbeitszeit betreiben. In den verbleibenden Zeiten übernimmt dann ein externer Dienstleister die Überwachung.

Es gibt zwei Gründe, warum Unternehmen ein SOC aufbauen. Zum einen aus Compliance und zum anderen aus Security. Ein „Compliance SOC“ wird immer dann aufgebaut, wenn es rechtliche oder regulatorische Anforderungen gibt.

Ein SOC, welches mit der Motivation für Security erstellt wird hat meistens den Fokus pro-aktiv die IT-Infrastruktur auf Gefahren zu durchsuchen. Es verfügt oft über mehr technische Möglichkeiten und bessere technische Expertise, um die Security Aufgaben durchzuführen.

„Security Operations“ dient zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen von einem Unternehmen. Es überwacht kontinuierlich die Zustände der IT-Infrastruktur und dient zur Erkennung von unerwünschten Aktivitäten und Zuständen von Systemen. Durch „Security Operations“ wird der Schaden, der aus unerwünschten Aktivitäten entsteht, minimiert.

YouTube player

Der SOC Aufbau

Bevor man sich daran macht, das SOC aufzubauen, muss zuvor geklärt werden, welche Aufgaben vom SOC übernommen werden sollen. Hierbei müssen die Anforderungen aller Stakeholder berücksichtig werden, damit das SOC auch den erforderlichen buy-in, also die Legitimität, im Unternehmen erhält.

Auch die Finanzierung sollte geklärt sein und wie die Kosten für den dauerhaften Betrieb des SOCs aufgebracht werden.

Nach diesen Kriterien richtet sich, welche Rollen und Funktionen im SOC etabliert werden und in welchem Umfang.

Ein wichtiger Punkt ist, dass man die regulatorischen und rechtlichen Anforderungen ebenfalls berücksichtigt. Denn diese spielen beim Aufbau der SOC-Funktionen eine wichtige Rolle. Ein Unternehmen startet mit IT-Security selten auf der grünen Wiese. Daher gibt es meistens Richtlinien, Prozesse oder Tools, die sich sinnvoll und kostengünstig in das SOC integrieren lassen.

Das spart Zeit und Kosten, da weder neue Tools angeschafft werden noch Mitarbeiter für die bereits bestehenden Tools geschult werden müssen.

Ich möchte hier ganz besonders hervorheben, dass IT Security kein Selbstzweck ist. Daher müssen sich die SOC Ziele immer an den Geschäftszielen des Unternehmens orientieren.

Nur so kann dauerhafte Akzeptanz des Managements garantiert werden und damit auch eine fortlaufende Finanzierung des SOCs.

Wenn man ein SOC plant, dann sollte es eine SOC Charter geben. Das ist ein Dokument, welches in einer sehr abstrakten Form die Scope, Services und Verantwortlichkeiten des SOCs beschreibt. Es beschreibt die Visionen und Ziele, die mit dem SOC erreicht werden sollen. In diesem Dokument wird auch die Einbettung des SOCs in das Unternehmen klar formuliert. Handelt es sich um einen Teilbereich von IT, IT-Security oder wird es als komplett eigenständige Einheit aufgebaut?

Damit die SOC Charter im Unternehmen von allen Mitarbeitern akzeptiert wird, muss sie durch das oberste Management verabschiedet werden.

Eine der wichtigsten Funktion, die ein SOC ausführen sollte, ist das Security Monitoring. Hierzu verlinke ich hier noch ein anderes Video von mir Security Monitoring was ist das?

Security Monitoring hat Schnittstellen zu sehr vielen Bereichen im Unternehmen. Es muss darauf geachtet werden, dass die gespeicherten Informationen Datenschutz-konform sind.

Außerdem ist es wichtig bei der Beurteilung der SIEM Use Cases den Betriebsrat mit einzubinden. Durch die Analyse der internen IT-Infrastruktur kann es schnell passieren, dass man ungewollt Mitarbeiter überwacht. Dies versucht der Betriebsrat zu verhindern. Daher ist es wichtig, den Betriebsrat frühzeitig bei der Erstellung der SIEM Use Cases mit einzubinden, denn sonst kann das Security Monitoring ganz schnell zu Ende sein.

Security Monitoring ist also wichtig, um herauszufinden, welche Cyber-Angriffe stattfinden. Wenn es nun zu einem Cyber-Angriff kommt und die Security Analysten herausgefunden haben, dass es kein Fehlalarm war, dann muss dieser Spur nachgegangen werden.

Security Monitoring ist eine detektive Maßnahme. Das bedeutet, dass Angriffe erkannt werden, sobald sie auftreten oder wenn ungewöhnliche Aktivitäten festgestellt werden. Detektive Maßnahmen können einen Angriff nicht abwehren.

Das Ziel muss es daher sein, einen bevorstehenden Angriff möglichst frühzeitig zu erkennen und mit geeigneten Gegenmaßnahmen zu reagieren. Der Vorteil bei detektiven Maßnahmen ist es, dass diese keinen Einfluss auf den Geschäftsbetrieb haben.

Einen weitern interessanten Beitrag zu dem Thema SOC finden Sie hier.

Wie baut der vCISO ein SOC auf? (Security Operation Center)

Jetzt Kontakt aufnehmen!
Logo Allianz für Cybersecurity
BSI APT-Response Dienstleister