Security Operation Center (SOC) FAQ
Was Unternehmen über Security Operation Center wissen müssen
Unsere FAQ beantwortet die wichtigsten Fragen zum Thema SecuritySecurity Operation Center (SoC), darunter auch SoC as a Service. Alles zu Security auf CIO.de
Was ist ein SOC?
SOC steht für Security Operation Center und gilt als eine entscheidende Entwicklung im Bereich Security, um den zunehmend komplexen und raffinierten Cyber-Attacken zu begegnen. Ein Security Operation Center überwacht zentral bestimmte IT-Ressourcen und Daten, sucht nach Anzeichen für Angriffe und steuert die Reaktion auf IT-Bedrohungen. In einem SOC werden Security-Maßnahmen und Security-Kompetenz gebündelt. Den geballten Cyber-Angriffen wird geballte Security entgegengesetzt.
- Security Operation Center
So sieht es in einem SOC aus. Im Fokus stehen Monitoring und Analytics von Security und IT-Assets. - SOC der CGI Group
Ein weiteres Beispiel für ein Security Operation Center, hier das SOC Toulouse der CGI Group. - SOC für Industrieanlagen
Mit einem Security Operation Center können die IT- und Steuerungsanlagen eines ganzen Industriekomplexes überwacht werden. Siemens hat die Cyber Security Operation Center (CSOC) zum Schutz von Industrieanlagen eröffnet. Sie haben ihren Sitz in Lissabon und München sowie Milford (Ohio) in den USA. - Security-Tacho
In einem SOC werden zahlreiche Informationsquellen zentral ausgewertet, um die aktuelle Sicherheitslage zu ermitteln und um Prognosen für mögliche Attacken abgeben zu können. Wie dies aussehen kann, zeigt zum Beispiel der Sicherheitstacho der Telekom. - SOC Schulung
Security-Analysten können speziell für den SOC-Einsatz geschult und trainiert werden. - Chatbots und Actionbots
Spezielle Chat- und ActionBots wie Artemis können in Zukunft Teile der Aufgaben im SOC automatisieren. Sie sind dann Assistenten der Security-Analysten. - SOC - Nachholbedarf
Studien wie „2017 State of Security Operations“ von HPE zeigen, dass es noch einiges an Verbesserungsbedarf in SOCs gibt. - KI und Security
KI-Systeme wie IBM Watson werden Security-Analysten in den Security Operation Center (SOC) bei der Aufdeckung intelligenter Cyber-Attacken unterstützen.
Man kann sich ein SOC als Kommandobrücke der Security vorstellen; tatsächlich sehen Security Operation Center so aus, mit ihrer Vielzahl an Displays, vor denen Security-Analysten sitzen, und den Großbildschirmen, auf denen die große Lage der Security präsentiert wird. Ticker-Meldungen zu Security-Ereignissen laufen über die Bildschirme, an dem einen oder anderen Display leuchtet ein Security-Alert, eine Warnung, auf, die sich der Security-Analyst sofort genauer ansieht.
Automatisierte Verfahren suchen dazu aus der Vielzahl der Sicherheitsmeldungen die für die zu schützenden IT-Systeme relevanten Meldungen heraus, der Security-Analyst erhält die kritischen Meldungen zur Entscheidung vorgelegt und kann die notwendigen Abwehrmaßnahmen einleiten. Je nach Auftrag informiert ein SOC zuerst den Kunden oder die verantwortliche Stelle, bevor die Abwehr beginnt, oder das SOC übernimmt direkt den kompletten Prozess von der Erkennung über die Bewertung bis hin zur Abwehr der Attacken.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Ein Security Operation Center kann innerhalb eines Unternehmens oder einer Behörde betrieben werden, es kann sich aber auch an einem separaten Ort befinden. In jedem Fall ist die zu schützende IT mit dem SOC eng über Schnittstellen verknüpft. Ein SOC kann parallel für mehrere Unternehmen oder Behörden aktiv sein, die sich dann die Aufwände für das Security Operation Center teilen.
Wer braucht ein Security Operation Center?
Im Prinzip könnte jedes Unternehmen von einem SOC profitieren, denn Security ist keine Aufgabe für "Einzelkämpfer". Security kann nur im Team geleistet werden, wie es in einem Security Operation Center bereitgestellt wird.
Ein Blick auf die Entwicklung der Cyber-Attacken macht dies deutlich: Auch die Angreifer sind in aller Regel keine Einzeltäter mehr, die Internetkriminalität ist inzwischen hochorganisiert und hat industriellen Charakter erlangt. Es gibt eine Aufgabenteilung wie die Programmierung von MalwareMalware, den Versand von Spam und die kriminelle Suche nach Sicherheitslücken. Es gibt Auftraggeber, Angriffsteams, Erfolgsgarantien für Attacken und Supportverträge, wie in der IT-Industrie. Alles zu Malware auf CIO.de
Genauso muss es in der Security eine Aufgabenteilung und Teambildung geben. In einem Security Operation Center laufen alle Fäden der Erkennung, Analyse und Abwehr von IT-Angriffen zusammen. Erforderlich sind dafür Security-Experten, Security-Tools und nicht zuletzt ein Operation-Raum mit den notwendigen Arbeitsplätzen. Da die Attacken rund um die Uhr erfolgen, muss es auch im SOC einen Schichtbetrieb geben.
Der entsprechend hohe Bedarf an Security-Personal erschwert den Aufbau und Betrieb eines SOC. Für kleine und mittlere Unternehmen ist es kaum möglich, ein eigenes Security Operation Center zu betreiben, zu groß ist der Fachkräftemangel in der IT-Security und zu hoch sind die Erwartungen an die Gehälter bei vielen Security-Experten. Selbst größere Unternehmen können Schwierigkeiten mit einem eigenen SOC haben, so dass sich Security Operation Center as a Service, kurz SOC as a Service, anbietet.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Was bedeutet SOC as a Service?
Unter SOC as a Service versteht man die Dienstleistung eines Security Service Providers, im Kundenauftrag ein SOC zu betreiben. In der Regel wird SOC as a Service für mehrere Kunden parallel angeboten und geleistet. Es ist aber auch möglich, dass ein SOC für nur einen Kunden extern aufgebaut und betrieben wird.
Welche Leistungen genau unter die Bezeichnung SOC as a Service fallen, kann von Anbieter zu Anbieter variieren. Der Kern der Leistung ist immer die Überwachung des Security-Status (Monitoring) sowie die Suche nach Anzeichen für mögliche Attacken, die Auswertung sicherheitsrelevanter Informationen und die Berichte zur Security-Lage an den Kunden (Analytics).
Zusätzlich können auch weitere Security-Maßnahmen im SOC as a Service - Modell angeboten werden, darunter DDoS-Schutz, Firewall-Management, Management von Sicherheitsrisiken, Ereignis- und Protokollmanagement, Bearbeitung von Schwachstellen und ComplianceCompliance, mobile Sicherheit, Erkennung und Abwehr von Angriffen von außen und innen, Informations- und Ereignismanagement (SIEM), Identitäts- und Zugriffsmanagement, Anwendungssicherheit, E-Mail- und Websicherheit, Analyse von Sicherheitsbedrohungen oder Web-Gateway-Management, also die ganze Palette an Managed Security Services. Alles zu Compliance auf CIO.de
Die Security-Aufgaben können zwischen dem Provider und dem Kunden aufgeteilt werden, die interne Security-Abteilung kann somit alle Aufgaben übernehmen, die möglich und sinnvoll sind. Das SOC kann auch beim Kunden selbst betrieben und vom Dienstleister verwaltet werden.
Beispiele für SOC as a Service sind:
8com Managed Security Solutions
Cisco Security Service for Managed Threat Defense
Telekom Cyber Defense as a Service