Unsere FAQ beantwortet die wichtigsten Fragen zum Thema Security Operation Center (SoC), darunter auch SoC as a Service.
Was ist ein SOC?
SOC steht für Security Operation Center und gilt als eine entscheidende Entwicklung im Bereich Security, um den zunehmend komplexen und raffinierten Cyber-Attacken zu begegnen. Ein Security Operation Center überwacht zentral bestimmte IT-Ressourcen und Daten, sucht nach Anzeichen für Angriffe und steuert die Reaktion auf IT-Bedrohungen. In einem SOC werden Security-Maßnahmen und Security-Kompetenz gebündelt. Den geballten Cyber-Angriffen wird geballte Security entgegengesetzt.
Man kann sich ein SOC als Kommandobrücke der Security vorstellen; tatsächlich sehen Security Operation Center so aus, mit ihrer Vielzahl an Displays, vor denen Security-Analysten sitzen, und den Großbildschirmen, auf denen die große Lage der Security präsentiert wird. Ticker-Meldungen zu Security-Ereignissen laufen über die Bildschirme, an dem einen oder anderen Display leuchtet ein Security-Alert, eine Warnung, auf, die sich der Security-Analyst sofort genauer ansieht.
Automatisierte Verfahren suchen dazu aus der Vielzahl der Sicherheitsmeldungen die für die zu schützenden IT-Systeme relevanten Meldungen heraus, der Security-Analyst erhält die kritischen Meldungen zur Entscheidung vorgelegt und kann die notwendigen Abwehrmaßnahmen einleiten. Je nach Auftrag informiert ein SOC zuerst den Kunden oder die verantwortliche Stelle, bevor die Abwehr beginnt, oder das SOC übernimmt direkt den kompletten Prozess von der Erkennung über die Bewertung bis hin zur Abwehr der Attacken.
Ein Security Operation Center kann innerhalb eines Unternehmens oder einer Behörde betrieben werden, es kann sich aber auch an einem separaten Ort befinden. In jedem Fall ist die zu schützende IT mit dem SOC eng über Schnittstellen verknüpft. Ein SOC kann parallel für mehrere Unternehmen oder Behörden aktiv sein, die sich dann die Aufwände für das Security Operation Center teilen.
Wer braucht ein Security Operation Center?
Im Prinzip könnte jedes Unternehmen von einem SOC profitieren, denn Security ist keine Aufgabe für "Einzelkämpfer". Security kann nur im Team geleistet werden, wie es in einem Security Operation Center bereitgestellt wird.
Ein Blick auf die Entwicklung der Cyber-Attacken macht dies deutlich: Auch die Angreifer sind in aller Regel keine Einzeltäter mehr, die Internetkriminalität ist inzwischen hochorganisiert und hat industriellen Charakter erlangt. Es gibt eine Aufgabenteilung wie die Programmierung von Malware, den Versand von Spam und die kriminelle Suche nach Sicherheitslücken. Es gibt Auftraggeber, Angriffsteams, Erfolgsgarantien für Attacken und Supportverträge, wie in der IT-Industrie.
Genauso muss es in der Security eine Aufgabenteilung und Teambildung geben. In einem Security Operation Center laufen alle Fäden der Erkennung, Analyse und Abwehr von IT-Angriffen zusammen. Erforderlich sind dafür Security-Experten, Security-Tools und nicht zuletzt ein Operation-Raum mit den notwendigen Arbeitsplätzen. Da die Attacken rund um die Uhr erfolgen, muss es auch im SOC einen Schichtbetrieb geben.
Der entsprechend hohe Bedarf an Security-Personal erschwert den Aufbau und Betrieb eines SOC. Für kleine und mittlere Unternehmen ist es kaum möglich, ein eigenes Security Operation Center zu betreiben, zu groß ist der Fachkräftemangel in der IT-Security und zu hoch sind die Erwartungen an die Gehälter bei vielen Security-Experten. Selbst größere Unternehmen können Schwierigkeiten mit einem eigenen SOC haben, so dass sich Security Operation Center as a Service, kurz SOC as a Service, anbietet.
Was bedeutet SOC as a Service?
Unter SOC as a Service versteht man die Dienstleistung eines Security Service Providers, im Kundenauftrag ein SOC zu betreiben. In der Regel wird SOC as a Service für mehrere Kunden parallel angeboten und geleistet. Es ist aber auch möglich, dass ein SOC für nur einen Kunden extern aufgebaut und betrieben wird.
Welche Leistungen genau unter die Bezeichnung SOC as a Service fallen, kann von Anbieter zu Anbieter variieren. Der Kern der Leistung ist immer die Überwachung des Security-Status (Monitoring) sowie die Suche nach Anzeichen für mögliche Attacken, die Auswertung sicherheitsrelevanter Informationen und die Berichte zur Security-Lage an den Kunden (Analytics).
Zusätzlich können auch weitere Security-Maßnahmen im SOC as a Service - Modell angeboten werden, darunter DDoS-Schutz, Firewall-Management, Management von Sicherheitsrisiken, Ereignis- und Protokollmanagement, Bearbeitung von Schwachstellen und Compliance, mobile Sicherheit, Erkennung und Abwehr von Angriffen von außen und innen, Informations- und Ereignismanagement (SIEM), Identitäts- und Zugriffsmanagement, Anwendungssicherheit, E-Mail- und Websicherheit, Analyse von Sicherheitsbedrohungen oder Web-Gateway-Management, also die ganze Palette an Managed Security Services.
Die Security-Aufgaben können zwischen dem Provider und dem Kunden aufgeteilt werden, die interne Security-Abteilung kann somit alle Aufgaben übernehmen, die möglich und sinnvoll sind. Das SOC kann auch beim Kunden selbst betrieben und vom Dienstleister verwaltet werden.
Beispiele für SOC as a Service sind:
8com Managed Security Solutions
Cisco Security Service for Managed Threat Defense
Telekom Cyber Defense as a Service
ThreatCloud Managed Security Service
Welche Vorteile bietet ein SOC?
Für den Einsatz eines Security Operation Center sprechen viele Vorteile:
Eigene Security-Engpässe können ausgeglichen werden: Fehlendes Security-Personal und fehlende Spezialwerkzeuge für Security-Monitoring und SIEM (Security Information and Event Management) können als Service (SOC as a Service) bezogen werden.
Cyber-Attacken können schneller erkannt werden, denn die Anzeichen für einen Angriff lassen sich über alle überwachten Systeme hinweg suchen und auswerten, mit Unterstützung durch spezielle Monitoring-Tools und Security-Experten. Werden Cyber-Attacken erst spät erkannt, steigt der mögliche Schaden, denn die Angreifer haben mehr Zeit, ihre Spuren zu verwischen, die Zugänge und Daten zu missbrauchen und Folgeangriffe zu starten. Gelingt es, die Zeitspanne zwischen Angriff und Entdeckung zu verkürzen, lassen sich die Schäden eindämmen und die Angreifer womöglich aufspüren.
Die Security-Maßnahmen können dynamisch auf die aktuelle Bedrohungslage angepasst werden: Ein SOC sucht gezielt nach möglichen Bedrohungen. Erkannte Angriffe werden bewertet, priorisiert und durch passende Abwehrmaßnahmen beantwortet. Die Security wird dynamisch auf die aktuelle Bedrohungssituation angepasst, sie ist nicht starr, sondern wird aktiv gesteuert.
Die Security kann fortlaufend optimiert werden: Ob die ergriffenen Security-Maßnahmen greifen oder nicht, kann im Security-Monitoring nachverfolgt werden. Erforderliche Anpassungen können zentral im SOC initiiert und kontrolliert werden.
Das Security-Monitoring im SOC hilft bei der Budgetierung: Im SOC kann der Security-Bedarf zentral bestimmt werden, Security-Maßnahmen lassen sich priorisieren und auswerten. Das Security-Budget kann dort eingesetzt werden, wo die Gefahren am ehesten zu erwarten sind, abhängig von der IT-Infrastruktur und den Security-Prognosen des Security Operation Centers.
Security-Entscheidungen erhalten eine detaillierte Grundlage: Die regelmäßigen Security-Berichte aus dem SOC helfen den verantwortlichen Stellen bei der Planung und Strategie für die Security. Über das SOC werden Security-Prognosen möglich, die dabei helfen, mit der Security nicht immer nur reagieren zu können, sondern auch Vorbereitungen auf wahrscheinliche Bedrohungen einzuleiten.
SOCs können bei Compliance-Nachweisen hilfreich sein: Die Security-Berichte aus dem SOC können dabei helfen, die ergriffenen Security-Maßnahmen zu dokumentieren. Dies ist aus Compliance-Sicht zwingend erforderlich, zum Beispiel im Datenschutz. Neben den Maßnahmen lassen sich auch die Security Service Level nachweisen, wenn dies vertraglich erforderlich ist.
Wie wird gegenwärtig der Einsatz eines Security Operation Center bewertet?
So vorteilhaft ein Security Operation Center auch klingt, noch ist der Status bei den SOCs nicht so, wie man es sich wünschen würde. Mitte 2016 hatte Intel Security eine Umfrage über SOCs bei 400 Sicherheitsexperten in unterschiedlichen Ländern, Industrien und Unternehmensgrößen durchgeführt. Die wichtigsten Ergebnisse waren:
SOCs sind überlastet bei Alarmmeldungen: Durchschnittlich können 25 Prozent aller Sicherheitswarnungen nicht ausreichend untersucht werden.
SOCs haben Selektionsprobleme: 93 Prozent aller Befragten gaben an, aufgrund der Überlastung nicht alle Bedrohungen sichten zu können.
SOCs sind zum Teil noch reaktiv: Der Großteil der Befragten gab an, eine proaktive Sicherheitsarchitektur anzustreben, doch 26 Prozent agieren immer noch reaktiv auf akute Bedrohungen und Vorfälle.
Eine Studie von HPE Security Intelligence and Operations Consulting (SIOC) zeigt ebenfalls Defizite. Untersucht wurden rund 140 SOCs aus aller Welt. Für jedes SOC wurden als Faktoren die Mitarbeiter, Prozesse, Technologien und Geschäftsfähigkeit bewertet. 82 Prozent der überprüften SOCs erfüllten die Kriterien nicht und hinken den Bedrohungen hinterher.
Diese Studien bedeuten nicht, dass sich der Einsatz eines SOC nicht lohnen würde, aber es besteht einiges an Verbesserungsbedarf.
Wie wird das SOC der Zukunft aussehen?
HPE Security Intelligence and Operations Consulting (SIOC) hat in der zuvor genannten Studie mehrere Empfehlungen ausgesprochen, was in Zukunft in einem Security Operation Center anders werden sollte:
Mehr Fokus auf Risikoidentifikation, Erkennung von Sicherheitsvorfällen und die Reaktion und nicht nur auf die Suche nach unbekannten Bedrohungen.
Aufgaben automatisieren, wo es möglich ist - etwa bei der Reaktion auf Angriffe oder der Sammlung und Korrelation von Daten -, um das Problem des Fachkräftemangels in den Griff zu bekommen.
Es gibt aber weiterhin viele Prozesse im SOC, die menschliches Eingreifen benötigen, Unternehmen müssen eine entsprechende Personalplanung betreiben.
Unternehmen, die keine Security-Mitarbeiter einstellen können, sollten eine hybride Personalplanung oder operative Strategie in Betracht ziehen, die sowohl interne Ressourcen als auch Outsourcing an einen SOC-Dienstleister umfasst.
Gerade der Hinweis, dass auch in Zukunft Security-Experten für SOCs benötigt werden, ist wichtig, denn es wäre verfehlt, alleine auf die Automatisierung der Security zu vertrauen und deshalb nicht in die Aus- und Weiterbildung von Security-Experten zu investieren.
"Es ist unrealistisch, dass ein Unternehmen einer Softwarelösung erlaubt, Applikationen selbständig zu stoppen oder gar Systeme vom Netz zu nehmen. Das könnte verheerende Auswirkungen haben", so Patrick Schraut, Director Consulting & GRC DACH bei NTT Security. Automatisierte Verfahren hätten in vielen IT-Bereichen ihre Berechtigung und brächten auch erhebliche Vorteile, "mitnichten aber bei der Incident Response, dort sind höchstens teilautomatisierte Lösungen denkbar", so Schraut. Anders sei der Fall allerdings bei der Incident Detection, also der reinen Erkennung von Vorfällen, gelagert.
Vollautomatische SOCs wird es also wohl nicht geben, doch es gibt bereits Lösungen mit Künstlicher Intelligenz, die die Security-Analysten unterstützen können, zum Beispiel Endgame Artemis. Hier sind weitere Fortschritte zu erwarten, die das SOC der Zukunft positiv beeinflussen werden.