Wie baut der vCISO ein SOC auf? (Security Operation Center)

COGWHEEL

Individuelles Sicherheitskonzept für Ihr Unternehmen

Gerne entwickeln wir ein individuelles Sicherheitskonzept passend zu Ihrem Unternehmen und Ihrem Bedarf an Cybersicherheit.

Inhaltsverzeichnis

Ein Security Operation Center dient zur Erkennung von Cyberangriffen im Unternehmen. Wie man ein solches SOC aufbauen sollte und wie ein virtueller CISO dabei vorgeht, darüber spreche ich in diesem Video.
SOC-Aufbau mithilfe eines vCISO

Ein Security Operation Center dient zur Erkennung von Cyberangriffen im Unternehmen. Wie man ein solches SOC aufbauen sollte und wie ein virtueller CISO dabei vorgeht, darüber spreche ich in diesem Video.

Wenn ein Unternehmen ein Security Operation Center oder kurz SOC aufbaut, dann betrifft dies nicht nur die IT-Security, sondern das gesamte Unternehmen. Damit ein SOC richtig effektiv funktionieren kann, muss es sinnvoll in das Unternehmen integriert werden. Die Integration muss so erfolgen, dass sich die SOC Ziele an den Zielen des Unternehmens ausrichten. Wie das geht und wie ein virtueller CISO dabei vorgeht, erkläre ich jetzt.

Der virtuelle CISO oder auch vCISO ist ein Experte für IT-Security, der über ein breites Wissen und viel Branchenerfahrung verfügt. Über die Vorteile eines vCISO spreche ich in einem anderen Video, welches ich hier verlinke.

IST-Analyse: Nachdem der vCISO nun im Unternehmen angekommen ist, wird er als erstes eine IST-Analyse durchführen. Bei der IST-Analyse wird zunächst geklärt, welche Ziele das Unternehmen mit dem SOC verfolgt. Was ist die Motivation ein SOC aufzubauen? Gibt es regulatorische Vorgaben, hat es einen kritischen Sicherheitsvorfall gegeben oder will das Unternehmen seine IT-Security verbessern. Diese Fragen müssen klar sein. Es ist wichtig zu wissen, wer die Hauptstakeholder für den Aufbau des SOCs sind. Hierbei muss der vCISO darauf achten, dass die Ziele der einzelnen Stakeholder in die gleiche Richtung laufen. Tun sie das nicht, so muss einen Konsens herbeiführen. Er sollte hier mit seiner Expertise beratend zur Seite stehen, wenn darum geht welche Priorität was hat.

Der vCISO beginnt mit der Analyse der bestehenden IT-Infrastruktur und auch der bestehenden IT-Security. Jedes Unternehmen ist anders und nutzt andere Prozesse und Tools. Daher finde ich es wichtig erst einmal zu verstehen, auf was man aufbauen kann und was vielleicht noch fehlt.

Nachdem nun klar ist, was die Ziele des SOCs sind und ein Konsens unter den Stakeholdern geschaffen wurde, befasst sich der vCISO mit den vorliegenden Prozessen.

Hierbei versucht er zu verstehen an welche Vorgaben und Prozessen und Richtlinien die IT-Security gebunden ist und inwiefern dies den Aufbau des SOCs beeinflusst und natürlich was bereits genutzt werden kann und was Anpassung erfordert.

Veränderung ist immer unangenehm und stößt häufig auf Widerstand. Mir ist immer wichtig bestehende Strukturen im Unternehmen soweit es geht zu behalten und darauf aufzubauen. Wenn man erfolgreich etwas umsetzen will, dann sollte man nicht mit der Holzhammer-Methode kommen. Da ein SOC Schnittstellen zu sehr vielen Bereichen im Unternehmen haben kann, ist es wichtig die Menschen mitzunehmen und die Notwendigkeit von Anpassungen aus ihrer Sicht herauszuarbeiten.

Je nachdem festgelegten SOC Zielen müssen neue Prozesse beschreiben werden. Für das SOC ist es in den meisten Fällen mindestens der Security Monitoring und der Security Incident Management Prozess. Weitere SOC-Prozesse werden nach Bedarf eingeführt.

Ein Security Operation Center dient zur Erkennung von Cyberangriffen im Unternehmen. Wie man ein solches SOC aufbauen sollte und wie ein virtueller CISO dabei vorgeht, darüber spreche ich in diesem Video.

YouTube player

Der Aufbau eines Security Operations Center

Ein SOC besteht allerdings nicht nur aus Prozessen und Richtlinien. Die Mitarbeiter, die das SOC betreiben, benötigen auch einstrechende Tools. Eines der zentralen Tools, die in den meisten SOCs zum Einsatz kommen ist ein SIEM. Ein SIEM ist eine Art Datenbank die, welche sowohl Logs verschiedener Systeme als auch Meldungen von Security Tools zentral durchsuchbar macht. Mehr zum Thema SIEM habe ich in einem anderen Video erklärt. Das Video verlinke ich hier oben.

SOC Tools: Damit ein SOC Tools wie ein SIEM nutzen kann, muss es auch betrieben und gewartet werden. Dafür braucht das SOC die Unterstützung des IT-Betriebs. Der IT-Betrieb ist einer der wichtigsten Stakeholder für ein SOC. Daher muss der vCISO dafür sorgen, dass die Ziele, die das Management mit dem SOC verfolgt mit den Zielen des IT-Betriebs in Übereinstimmung sind.

Auswahl des geeigneten SIEM: Hier muss der vCISO bewerten, ob es vielleicht schon eine SIEM Lösung im Unternehmen gibt, die zum Beispiel für den IT-Betrieb und die Entwicklung von Software eingesetzt wird. Kann dieses SIEM auch für das SOC verwendet werden? Muss es erweitert werden? Erfüllt es die Anforderungen? All diese Fragen müssen in Abstimmung mit den betroffenen Stellen beantwortet werden. Es gibt eine große Auswahl an SIEM Anbietern, die bewertet werden müssen. Auch die Art wie ein SIEM betrieben werden soll, also intern, extern oder hybrid. All das muss geklärt werden. Neben all dem Nutzen von einem SIEM muss die Analyse sorgfältig durchgeführt werden, da dem Unternehmen hierbei erhebliche Kosten entstehen und die Entscheidung für die Art des SIEM eine Tragweite über viele Jahre hat. Siehe auch SIEM was ist das? (Security Information and Event Management) 

Security Tools Integrieren: Damit das SOC möglichst kostengünstig Sicherheitsvorfälle identifizieren kann, sollten bestehende Security Tools integriert werden. Wenn im Netzwerk Antiviren Systeme vorhanden sind, dann sollten Alarme dieser Tools an das SIEM weitergeleitet werden. Das gleiche kann man mit IDS/IPS Alarmen machen. Die Integration bestehender Tools hat den Vorteil, dass man die Alarme zentral verwalten kann und systemübergreifend überwachen kann. Mit diesem Vorgehen kann man zügig dafür sorgen, dass ein SIEM eine gute Basissichtbarkeit erreicht.

SIEM Use Cases: Da jedes Unternehmen unterschiedlichen Risiken ausgesetzt ist, müssen auch die SIEM Use Cases je nach Risiko gewählt werden. Ein SIEM Use Case beschreibt ein Angriffsmuster, welches man mit einem SIEM überwachen will. Wenn das SIEM ein solches Angriffsmuster findet, dann erzeugt es einen Alarm, der die Mitarbeiter im SOC über ein ungewöhnliches Verhalten informiert. Über SIEM Use Cases spreche ich in einigen anderen Video, welche ich auch hier verlinke. Was versteht man unter einem SIEM Use Case?  oder 5 SIEM Use Cases für privilegierte Accounts (privilegiertes Accounts Monitoring) und Top 10 SIEM Use Cases (Was sind die wichtigsten SIEM Use Cases 2021?)

Anbindung von Logs: Nachdem die ersten SIEM Use Cases ausgewählt wurden, müssen die notwendigen Logdaten im SIEM bereitgestellt werden. Der vCISO unterstütz dabei die passenden Lösungen für die Anbindung zu finden und koordiniert die Aktivitäten der Anbindung zwischen IT-Betrieb, Fachbereichen und IT-Security.

Testen und Optimieren der SIEM Use Cases: Damit ein SOC kosteneffizient arbeiten kann, müssen SIEM Use Cases getestet und optimiert werden. Testen ist wichtig, um zu prüfen, ob die Alarme für die Angriffsmuster wirklich ausgelöst werden. Die Optimierung hilft dabei Fehlalarme, sogenannte „false positives“ zu reduzieren. Das spart Ressourcen, da die Analysten im SOC weniger mit Tätigkeiten gebunden sind, die keinen Bezug zu Angriffen haben. Mit weniger Fehlalarmen können sich die Analysten auf die tatsächlichen Alarme konzentrieren und denen nachgehen.

Runbooks: Eine sehr gute Möglichkeit, um wiederkehrende Alarme zu behandeln sind Runbooks. Runbooks sind eine Art Prozesse bezogen auf spezielle Alarme. Wenn ein Alarm auftaucht und es für diesen ein Runbook gibt, dann kann die Bearbeitung des Alarms standardisiert nach dem entsprechenden Runbook erfolgen. Runbooks dienen außerdem dazu, Mitarbeitern mit wenig oder gar keinem IT-Security Know-How die Möglichkeit zu geben an der Bearbeitung von Sicherheitsvorfällen mitzuwirken. Es können dadurch bereits Security Incidents mit zusätzlichen Informationen angereichert werden, damit die SOC Analysten bei der Bearbeitung weniger Zeit benötigen.

Schulungen: Damit das SOC im live Betrieb auch zuverlässig Security Incidents erkennen kann und die Behandlung über verschieden Bereiche des Unternehmens funktioniert, müssen die beteiligten Mitarbeiter geschult werden. Dabei unterstüzt der vCISO ebenfalls. Hier ist besonders wichtig, dass der HelpDesk weiß, was zu tun ist, wenn es zu Security Inicidents kommt. Es bietet sich an einzelne Alarme auszulösen und zu testen, wie schnell darauf von verschieden Stellen im Unternehmen reagiert wird. Daran sieht man sehr schön, ob alle neu eingeführten Prozesse so laufen, wie gewünscht und welche Stellen noch verbessert werden müssen.

Wenn Ihnen dieses Video gefallen hat, dann hinterlassen Sie einen Like und abonnieren Sie meinen Kanal:

Blog-Artikel teilen

Sie interessieren sich für Sicherheits­konzepte?

Gerne beraten unsere Experten Sie zu unseren Produkten und passenden Lösungen für den Ausbau Ihrer Unternehmenssicherheit.

Dr. Michael Gorski
Kennen Sie schon unseren YouTube Kanal?