Tipps für den Aufbau eines Security Operations Center (SOC)
Mehr Intelligenz statt höhere Mauern
Risiken identifizieren und Maßnahmen daraus ableiten
Unabhängig davon, um welche Informationen es sich handelt: Ein Unternehmen muss für sich individuell die größten Risiken festlegen - und welche IT-Systeme und Anwendungen damit verbunden sind. In vielen Fällen wird es als Konsequenz darum gehen, beispielsweise ein ERP-System, bestimmte Webserver oder auch Datenbanken gezielt abzusichern. Die Zusammenhänge und Abhängigkeiten zwischen kritischen Geschäftsprozessen und den darunter liegenden IT-Systemen lassen sich am besten über eine Configuration Management Data Base, kurz CMDB, erfassen. Sie ermöglicht einem SOC beispielweise, effizient darüber zu entscheiden, ob auffällige Vorkommnisse im Netzwerk oder Angriffe von außen als geschäftskritisch einzustufen sind. Denn genau darum geht es in einem SOC - auf Basis einer Vielzahl von Informationen und auch trotz einer Flut von Daten, einen kühlen Kopf zu bewahren, wichtiges herauszufiltern und die kritischen Assets im Unternehmen zu schützen.
Dass dafür IT-Security-Systeme zum Einsatz kommen, ist selbstverständlich. Dabei können vorhandene Systeme durchaus einbezogen werden. Doch ein SOC muss weit mehr als dies leisten: Diese Organisation braucht entsprechendes Personal mit dem nötigen Know-how und der entsprechenden Kompetenz im Unternehmen, um proaktiv Zusammenhänge zwischen Daten herstellen und um daraus gegebenenfalls schnell Notfallpläne umsetzen zu können.
Welche Aufgaben ein SOC konkret erfüllen sollte, ist im zweiten Schritt zu definieren. Bei der Definition des SOC-Service-Portfolios spielen interne organisatorische Gegebenheiten - sollen Aufgaben vorhandener IT-Security Fachbereiche übernommen werden, welche Überschneidungen mit anderen Bereichen wie CERTs gibt es - ebenso eine Rolle wie die personelle Ausstattung eines SOC. Nach Erfahrungen von HP ist der schrittweise Auf- und Ausbau eines SOC ratsam.
SIEM korreliert Log-Daten intelligent
Zu den Services, die ein SOC dem Business auf alle Fälle anbieten sollte, gehören Security-Information- und Event-Management (SIEM)- sowie Vulnerability-Management-basierte Dienste.
Mithilfe von SIEM lassen sich Log-Daten im Unternehmen zentral sammeln und intelligent auswerten, indem sie miteinander in Beziehung gesetzt und mittels zusätzlicher Informationsquellen angereichert werden. Firewalls registrieren, dass es eine Kommunikation zwischen Mitarbeitern im Unternehmen und externen Partnern gibt. Doch sie geben keinerlei Hinweis darauf, ob diese Kommunikation erwünscht, ob sie in der registrierten Häufigkeit üblich ist oder ob es Zusammenhänge zu anderen, nicht erlaubten oder gewünschten Kommunikationsformen gibt.
So kann ein SIEM-System intelligente Verbindungen herstellen zwischen den bei einem kritisch eingestuften Webserver registrieren Log-Daten und dem E-Mail-Verkehr besonders wichtiger Personen im Unternehmen. Dazu könnten der Entwicklungsleiter oder aber der Leiter Kundenservice gehören. Damit können die Mitarbeiter im SOC proaktiv Bedrohungsszenarien erkennen. Vorausgesetzt, es ist vorab festgelegt: Wo liegen die größten Risiken für das Unternehmen? Welche Situationen werden als kritisch eingestuft? Und welche Informationen aus der IT-Infrastruktur müssen dafür gesammelt werden?