Tipps für den Aufbau eines Security Operations Center (SOC)
Mehr Intelligenz statt höhere Mauern
SOCs sind derzeit angesagt. Ohne eine differenzierte Betrachtung des Begriffes SOC gehen derzeit 70 bis 80 Prozent der Unternehmen davon aus, dass sie bereits ein solches Center für IT-Security betreiben, so die Einschätzungen von HP. Doch bei genauerer Betrachtung sinkt diese Zahl auf unter 10 Prozent. Denn in vielen Fällen wird unter einem SOC der Betrieb klassischer IT-Security-Tools wie Firewalls und Antiviren-Software verstanden.
In den vergangenen Jahren haben Unternehmen immer mehr in solche Werkzeuge investiert, haben die virtuellen Mauern um sich herum immer höher gezogen, um sich und ihre unternehmenskritischen Daten dahinter zu verschanzen. Doch die Sicherheit, in der sie sich wiegen, ist trügerisch: Die meisten Organisationen sind heute Ziel von Angriffen - merken es aber oft nicht einmal.
Laut dem 2013 Threat Report von Mandiant vergehen aktuell im Mittel 243 Tage, bevor Organisationen Angreifer in ihren Netzwerken entdecken. Das heißt, Angreifer haben alle Zeit der Welt, um Daten und Informationen abzugreifen. Dies liegt, nach der Meinung von HP, zu einem wesentlichen Anteil an den nicht erkannten Mehrwerten der Auswertung von Logdaten.
Statt des Aufbaus noch höherer Mauern um das gesamte Unternehmen empfiehlt es sich daher, mit intelligenten Methoden herauszufinden, wo sich potenzielle Schlupflöcher in der Mauer befinden, welche Hinweise es auf potenzielle Angreifer gibt - und aufgrund dieser Daten die für das Unternehmen wesentlichen Daten und Anwendungen zu schützen. Dies muss die Aufgabe eines SOC sein.
Eigenständigkeit der Organisation auf C-Level
SOCs sind dabei nicht nur ein Thema für große, bekannte Unternehmen. Als Faustformel lässt sich festhalten: Ein SOC empfiehlt sich für jedes Unternehmen, das über Informationen verfügt, die in seinen Märkten wegweisend und damit interessant für Außenstehende sind. Das kann zum Beispiel auch der Fall sein, wenn ein kleines Unternehmen einen neuen Geschäftsbereich mit großem Potenzial am Weltmarkt etabliert.
Welche Faktoren gilt es beim Aufbau eines SOC zu beachten? Wichtig ist zunächst das SOC als eigenständige Organisation außerhalb der Linie und Produktion zu begreifen - am besten auf CIO- beziehungsweise CISO-Ebene. Denn nur durch die operationelle Unabhängigkeit vom Kerngeschäft kann ein SOC echten Mehrwert für genieren, indem es die wirklich unternehmenskritischen Informationen schützt.
Welche dies sind, das gilt es im ersten Schritt zu identifizieren. Je nach Unternehmen kann dies sehr unterschiedlich sein: Bei einem produzierenden Unternehmen können dies Entwicklungsdaten sein, bei einem Telekommunikationsunternehmen die Kundendatenbanken, bei einem E-Commerce-Anbieter die Kreditkarteninformationen seiner Kunden.