Security Operations Center

Was ist ein SOC?

01.04.2020 von Thomas Krause
Um ein funktionierendes Security Operations Center (SOC) zu betreiben, brauchen Unternehmen die richtigen Fachkräfte und Technologien. Erfahren Sie, wie ein SOC aufgebaut ist und wie sich typische Stolpersteine im Betrieb umgehen lassen.
Im Ernstfall kommt es im Security Operations Center auf Schnelligkeit und Kommunikation an.
Foto: Gorodenkoff - shutterstock.com

Ein Security Operations Center (SOC) ist ein Spezialisten-Team, das die IT des Unternehmens schützen soll. Meist ist es eine eigene Organisationseinheit und damit getrennt von anderen IT-Teams, die sich beispielsweise um Administration oder Entwicklung kümmern. SOCs müssen nicht notwendigerweise innerhalb eines Unternehmens angesiedelt sein. Sie können auch an Dienstleister für IT-Security ausgelagert werden (SOC as a Service), wenn im Unternehmen das Fachpersonal oder die Infrastruktur fehlt.

Knotenpunkt der IT-Security

Im SOC fließen alle sicherheitsrelevanten Informationen aller IT-Ressourcen zentral zusammen. Dazu zählen etwa Produkte für Endpoint Protection, Firewall, Intrusion Detection und Intrusion Prevention Systeme (IDS/IPS), Endpoint Detection und Response (EDR) oder Network Traffic Security Analytics (NTSA). Ebenso hat das SOC Zugriff auf alle Log-Dateien. Das zentrale Tool, mit dem das Team Sicherheitsvorfälle aggregiert, Tickets erstellt und verwaltet, ist meist eine Lösung für Security Information and Event Management (SIEM).

Da es bei einem großangelegten Angriff auf die Unternehmens-IT auf Schnelligkeit und Kommunikation ankommt, sind die Arbeitsplätze meist wie eine Einsatzleitstelle bei der Polizei oder Rettungsdiensten eingerichtet. Die SOC-Mitarbeiter sitzen in der Regel in großen Räumen beieinander mit mindestens drei Bildschirmen pro Arbeitsplatz. Zudem gibt es weitere Großbildschirme, die für den gesamten Raum unter anderem Security-Warnungen und neu entdeckte Schwachstellen anzeigen.

Organisatorischer Aufbau eines SOC

Ein kleineres SOC-Team hat rund acht Mitarbeiter, um 24/7-Service zu leisten. Der Arbeitsalltag ist darauf ausgerichtet, große Datenmengen zu verarbeiten und im Ernstfall schnell reagieren zu können. Ein typisches SOC unterscheidet zunächst drei Ebenen an Sicherheitsanalysten:

Tier-1-Analysten sind mit der Echtzeit-Überwachung betraut. Sie erhalten im SIEM Alarmmeldungen, die nach standardisierten Regeln zu untersuchen sind: "Wenn X passiert, untersuche Y." Auf diese Weise können sie Tickets meist in wenigen Minuten bearbeiten.

Tier-2-Analysten sind erfahrenere und höher qualifizierte Security-Ingenieure. Sie untersuchen die Vorfälle, die Tier-1-Analysten nicht lösen können. Wenn Bedrohungen zu schwerwiegend oder zeitintensiv sind, führen sie tiefere Analysen durch. Sie kümmern sich um Vorfälle, bei denen weitere Datenquellen angefragt oder IT-Verantwortliche konsultiert werden müssen. Dazu zählen zum Beispiel Kollegen, die für Firewalls oder die Desktop-PCs zuständig sind. Zudem dämmen Tier-2-Analysten die Folgen eines erfolgreichen Hacks ein.

Darüber hinaus gibt es Tier-3-Analysten, die oft auch als "Threat Hunters" bezeichnet werden. Ihre Rolle ist in erster Linie proaktiv. Sie sollen durch Penetrationstests oder auf der Basis neuer Bedrohungen und Schwachstellen vorbeugend Lücken in der Sicherheitsarchitektur finden. Sie beobachten zum Beispiel die Warnmeldung der Security-Hersteller. Zudem kommen Sie bei Advanced Persistent Threats (APTs) zum Einsatz, dämmen komplexe Attacken ein und betreiben IT-Forensik. Gelegentlich werden sie auch hinzugezogen, wenn Tier-2-Analysten einen Vorfall eskalieren.

Neben den Security-Analysten nehmen "Platform Engineers" oder "Content Authors" oft eine eigene Rolle ein. Sie werten den Input der Security-Analysten aus, um täglich die Regeln und Prozesse der IT-Systeme zu verbessern. Ziel ist es, Konfigurationen zu entwickeln, die genau auf das eigene Unternehmen, bestimmte Länder oder Standorte abgestimmt sind. Zudem optimieren sie das Patch-Management. Diese Aufgabe sollte nicht von den Security-Analysten übernommen werden, da es deren Job ist, auch in den verbesserten Konfigurationen Fehler zu finden.

Hinzu kommt mindestens ein Manager, der das SOC-Team anleitet und koordiniert. Die wichtigste Aufgabe dieser Rolle ist es jedoch, die komplexen technischen Ergebnisse aus dem SOC regelmäßig für das Top-Management aufzubereiten. Der Manager sollte der Geschäftsleitung die nötigen Impulse geben, um das Unternehmen dauerhaft sicher aufzustellen. Zudem dient er als Ansprechpartner für Anfragen rund um Compliance, zum Beispiel für den Datenschutzbeauftragten oder die Aufsichtsbehörden.

Herausforderung: Alert und Agent Fatigue

Viele SOCs berichten von Ermüdungserscheinungen aufgrund zu vieler potenzieller Datenverstöße, denen das Team nachgehen muss (Alert Fatigue). Zudem leiden sie häufig darunter, mit zu vielen unterschiedlichen Software-Agenten für die IT-Sicherheit arbeiten zu müssen (Agent Fatigue). Das kann dazu führen, dass komplexe oder zeitkritische Cyberattacken, die beispielsweise einen Zero Day Exploit ausnutzt, erst spät erkannt werden.

Diese Probleme können durch Automatisierung eingedämmt werden. EDR- und SIEM-Lösungen sind in der Lage, auf der Basis von Big-Data-Analysen und Machine-Learning-Komponenten Vorauswahlen zu treffen, welche Vorfälle welche Brisanz und Priorität haben und die wichtigsten herausfiltern. Auf diese Weise kann den Security-Analysten zu den Tickets bereits eine Interpretation der Lage und Anweisungen bereitgestellt werden, welche Standard-Prozeduren erfahrungsgemäß helfen.

Fehlalarme lassen sich verringern, indem die unterschiedlichen Security-Schichten miteinander kommunizieren und strukturierte Daten liefern. Zum Beispiel bietet das ATT&CK Framework (Adversarial Tactics, Techniques & Common Knowledge) von MITRE eine Basis, um Daten miteinander zu korrelieren. Darin trägt die Security-Forschungseinrichtung Informationen über IT-basierte Angriffsarten auf Unternehmen zusammen und systematisiert sie nach Angriffsvektor.

Den verschiedenen Attacken lassen sich Scores für das Bedrohungspotential für das Unternehmen zuordnen. Auf der Basis dieser strukturierten Daten kann beispielsweise via Machine Learning anhand hunderter von Faktoren das normale Verhalten von Nutzern und Geräten modelliert und Abweichungen festgestellt werden. Solche lernenden Systeme sind zudem in der Lage, während Vorfällen Gemeinsamkeiten mit bekannten Angriffsmustern oder Einzelattacken zu identifizieren. Somit lässt sich die Situation genauer einordnen, charakterisieren und anhand des zuvor vergebenen Scores im ATT&CK-Framework die Dringlichkeit eines Vorfalls definieren. (jd)