Das Security Operations Center: Effektiver Schutz vor Cyberangriffen

Immer häufiger sehen sich Unternehmen und Organisationen mit Advanced Persistent Threats (APTs) konfrontiert. Gleichzeitig gestaltet sich die frühzeitige Erkennung und Abwehr solcher zielgerichteten Angriffe auf IT-Infrastrukturen immer schwieriger.

Das hat mehrere Ursachen. Zum einen professionalisieren sich Cyberkriminelle zunehmend. Längst hat sich Cyberkriminalität zu einem ernstzunehmenden Wirtschaftszweig entwickelt. Zu den rein monetär ausgerichteten Akteuren kommen Gruppierungen, die sich in den Dienst von Regimen stellen und darauf aus sind, mit groß angelegten Cyberangriffen politische Machtinteressen durchzusetzen.

Erschwerend hinzu kommt, dass IT-Systeme heute wesentlich komplexer sind als noch vor zehn Jahren. Das bedeutet leider auch, dass die Angriffsfläche und die Zahl möglicher Eindringungspunkte zugenommen haben. Entsprechend vielfältig und innovativ sind die Methoden der Angreifer – tagtäglich kommen neue hinzu. Daraus ergibt sich eine sich stetig verändernde Bedrohungssituation, der sich eine herkömmliche IT-Abteilung nicht mal so nebenher stellen kann.

Immer häufiger bleiben die Erstzugriffe der Angreifer zudem lange Zeit unbemerkt. Cyberkriminelle können sich dadurch ungestört in der Infrastruktur ihrer Opfer umsehen und in aller Ruhe Vorbereitungen treffen, um manchmal erst Monate später zum großen Schlag auszuholen.

Mangelnde Ressourcen zur frühzeitigen Cyberabwehr

Dabei können solche Zugriffe frühzeitig erkannt werden, wenn IT-seitig entsprechende Vorkehrungen getroffen werden. Einerseits werden dazu Technologien benötigt, die den Datenverkehr innerhalb des gesamten IT-Verbundes überwachen. Denn erst die Erfassung und Analyse von Daten wie beispielsweise System-Logs versetzt IT-Verantwortliche in die Lage, verdächtige Vorgänge frühzeitig zu erkennen. Zudem müssen umfassende Kompetenzen aufgebaut werden, um Bedrohungen einschätzen und entsprechende Gegenmaßnahmen einleiten zu können.

Wichtig dabei: IT-Abteilung und Cyber Security müssen streng voneinander getrennt betrachtet werden. Der IT-Mitarbeiter, in erster Linie verantwortlich für den reibungslosen Betrieb der Systeme, sollte keinesfalls für die Überwachung seiner Systeme verantwortlich sein. Auch weil der effektive und reibungslose Betrieb und notwendige Sicherheitsmaßnahmen mitunter in direktem Gegensatz zueinanderstehen und zu Interessenskonflikten führen können.

Es braucht also ein unabhängiges Cyber Security Team, das sich ganz der Cybersicherheit widmet und über ein umfassendes Know-how zur Erkennung, Analyse und Abwehr von Angriffen verfügt. Den meisten Unternehmen fehlt es dafür allerdings an Fachkräften, Zeit und Geld. Eine mögliche Lösung: Die Auslagerung an ein Security Operations Center.

Aufgaben eines Security Operations Center

Erst durch ein Security Operations Center (SOC), das die gesamte IT-Infrastruktur rund um die Uhr überwacht, umfassende Security-Kompetenzen bündelt und sich ausschließlich der Cybersicherheit widmet, werden Gefahren beherrschbar.

Unabhängig davon, ob ein SOC im Unternehmen selbst aufgebaut oder als Service von einem Dienstleister erbracht wird, sollte ein SOC mehrere Kernaufgaben erfüllen.

Umfassende Bestandsaufnahme

Auch wenn es logisch erscheint, ist zu erwähnen, dass zur Netzwerküberwachung zunächst sichergestellt werden muss, dass alle relevanten Endpunkte auch tatsächlich erfasst werden. Daher ist es besonders wichtig, dass ein SOC bei einer Bestandsaufnahme jeden Server, jeden Router, jede Firewall sowie alle aktiv eingesetzten Sicherheitstools identifiziert.

Logdaten-Erfassung

Die Grundlage jeder Auswertung bilden Daten. Für ein SOC sind Protokolle die wichtigste Informationsquelle, mit der Netzwerkaktivitäten beurteilt werden. Eine automatisierte Echtzeit-Datenerfassung zur Bewältigung der Vielzahl an Informationen ist dabei unerlässlich.

Durch den Einsatz eines Security Information and Event Managements (SIEM) können diese Informationen kontinuierlich zusammengeführt, analysiert und gespeichert werden. Das ermöglicht die frühzeitige Erkennung verdächtiger Vorgänge und das schnelle Einleiten von Gegenmaßnahmen. Die umfassende Speicherung von Ereignis- und Protokolldaten bildet außerdem die Grundlage für retrospektive Analysen, zum Beispiel im Falle eines Incidents.

Bei der automatisierten Erfassung und Analyse kommen heute immer häufiger Machine-Learning-Algorithmen zum Einsatz, die z. B. nur scheinbar von der Norm abweichendes Nutzerverhalten erkennen, als solches kategorisieren und so die False-Positive-Rate senken.

Schwachstellenmanagement

Um potenzielle Sicherheitslücken vor ihrer Ausnutzung zu erkennen und zu schließen, setzt ein SOC idealerweise auf ein Schwachstellenmanagement, mit dem die gesamte IT-Infrastruktur auf Sicherheitslücken überwacht wird. Effektiver als gelegentliche Schwachstellenscans ist dabei ein kontinuierliches Vulnerability Management as a Service. In regelmäßigen Reports wird den IT-Administratoren dabei Bericht über das Sicherheitsniveau der Systeme erstattet, und zwar mitsamt Maßnahmenempfehlungen kategorisiert nach Kritikalität. So können IT-Verantwortliche Schwachstellen priorisiert abarbeiten – entweder durch Einspielen geeigneter Patches oder durch entsprechende Workarounds.

Ein weiterer wichtiger Punkt in Sachen Prävention ist die umfassende Überwachung von Systemkonfigurationen, insbesondere bei kritischen IT-Systemen. Hier entstehen die meisten Ausfälle durch fehlerhafte Konfigurationsveränderungen. Durch den Einsatz von Change- und Configuration Management Tools können sicherheitsbezogene Konfigurationsprobleme basierend auf etablierten Benchmarks bewertet, gemeldet und behoben werden.

Kontinuierliche Überwachung

Eine 24/7-Überwachung der Infrastruktur ist für mittelständische Unternehmen und Großkonzerne heutzutage unerlässlich. Sie versetzt ein Unternehmen überhaupt erst in die Lage, schnell auf Cybersicherheitsvorfälle zu reagieren und Angriffe zu blockieren, bevor es zu Ausfällen kommen kann. Durch den Einsatz unterschiedlicher Erkennungs- und Überwachungstechnologien ist ein SOC in der Lage, einzelne Systeme direkt zu isolieren und gemäß vordefinierter Incident-Response-Pläne umfassende Abwehrmaßnahmen einzuleiten.

Alarmmanagement

Überwachungstools wie ein SIEM geben täglich eine Vielzahl an Alarmen aus, darunter auch False Positives. Erst durch die zusätzliche Analyse von automatisierten Warnmeldungen entfaltet ein SOC seine volle Wirksamkeit. Bei der Bewertung ausgegebener Alarme kommt profundes Expertenwissen zum Einsatz. Im Ernstfall können direkt aus dem SOC Abwehrmaßnahmen eingeleitet werden.

Ursachenanalyse

Auch die Analyse von Angriffen oder eingetretenen Sicherheitsvorfällen gehört zum Aufgabengebiet eines SOC. IT-forensische Untersuchungen dienen dabei allerdings nicht nur der gerichtsverwertbaren Beweissicherung nach erfolgreichen Cyberangriffen. Durch eine detaillierte Analyse können eingesetzte Erkennungstechnologien kontinuierlich weiterentwickelt und verbessert werden.

Gute Gründe für das Security Operations Center

Bereits im Jahr 2012 sagte der damalige Chef des FBI, Robert Mueller: „Es gibt zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch werden.“ Zehn Jahre später hat der Satz nichts an seiner Bedeutung verloren. Im Gegenteil: Die Bedrohungssituation hat sich von Jahr zu Jahr weiter verschärft. Die Schäden, die der Wirtschaft weltweit durch erfolgreiche Cyberangriffe entstehen, sind kontinuierlich gestiegen. Immer mehr Unternehmen und Behörden mussten seither Erfahrungen mit Cyberangriffen machen, manche sogar mehrfach. Laut Verizon Data Breach Investigations Report hat sich die Zahl sicherheitsrelevanter Vorfälle im Jahr 2020 allein im Vergleich zum Vorjahr verdoppelt. Die Wahrscheinlichkeit, Opfer zu werden, nimmt zu.

Grund genug also, auf ein Security Operations Center zu setzen, um für mehr Sicherheit zu sorgen. Die erforderlichen Investitionen sollten dabei immer den Kosten für die zu erwartenden Schäden durch Betriebsausfälle und -unterbrechungen, Datenverluste sowie Wiederherstellungskosten gegenübergestellt werden. Hinzu kommen nicht bezifferbare Reputationsverluste – erst recht, wenn Möglichkeiten zum Schutz nicht ausreichend ausgeschöpft wurden.

In welchem Umfang Unternehmen und Behörden Schutzleistungen eines Security Operations Centers benötigen, muss selbstverständlich immer individuell betrachtet und auch betriebswirtschaftlich abgewogen werden. Dabei gilt zu klären, welche Technologien zum Einsatz kommen sollten, welche Service-Umfänge sinnvoll sind, ob ein eigenes SOC aufgebaut oder ein Managed Security Service Provider beauftragt werden sollte.

8com SOC