Security Operation Center (SOC) FAQ

Was Unternehmen über Security Operation Center wissen müssen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Welche Vorteile bietet ein SOC?

Für den Einsatz eines Security Operation Center sprechen viele Vorteile:

  • Eigene Security-Engpässe können ausgeglichen werden: Fehlendes Security-Personal und fehlende Spezialwerkzeuge für Security-Monitoring und SIEM (Security Information and Event Management) können als Service (SOC as a Service) bezogen werden.

  • Cyber-Attacken können schneller erkannt werden, denn die Anzeichen für einen Angriff lassen sich über alle überwachten Systeme hinweg suchen und auswerten, mit Unterstützung durch spezielle Monitoring-Tools und Security-Experten. Werden Cyber-Attacken erst spät erkannt, steigt der mögliche Schaden, denn die Angreifer haben mehr Zeit, ihre Spuren zu verwischen, die Zugänge und Daten zu missbrauchen und Folgeangriffe zu starten. Gelingt es, die Zeitspanne zwischen Angriff und Entdeckung zu verkürzen, lassen sich die Schäden eindämmen und die Angreifer womöglich aufspüren.

  • Die Security-Maßnahmen können dynamisch auf die aktuelle Bedrohungslage angepasst werden: Ein SOC sucht gezielt nach möglichen Bedrohungen. Erkannte Angriffe werden bewertet, priorisiert und durch passende Abwehrmaßnahmen beantwortet. Die Security wird dynamisch auf die aktuelle Bedrohungssituation angepasst, sie ist nicht starr, sondern wird aktiv gesteuert.

  • Die Security kann fortlaufend optimiert werden: Ob die ergriffenen Security-Maßnahmen greifen oder nicht, kann im Security-Monitoring nachverfolgt werden. Erforderliche Anpassungen können zentral im SOC initiiert und kontrolliert werden.

  • Das Security-Monitoring im SOC hilft bei der Budgetierung: Im SOC kann der Security-Bedarf zentral bestimmt werden, Security-Maßnahmen lassen sich priorisieren und auswerten. Das Security-Budget kann dort eingesetzt werden, wo die Gefahren am ehesten zu erwarten sind, abhängig von der IT-Infrastruktur und den Security-Prognosen des Security Operation Centers.

  • Security-Entscheidungen erhalten eine detaillierte Grundlage: Die regelmäßigen Security-Berichte aus dem SOC helfen den verantwortlichen Stellen bei der Planung und Strategie für die Security. Über das SOC werden Security-Prognosen möglich, die dabei helfen, mit der Security nicht immer nur reagieren zu können, sondern auch Vorbereitungen auf wahrscheinliche Bedrohungen einzuleiten.

  • SOCs können bei Compliance-Nachweisen hilfreich sein: Die Security-Berichte aus dem SOC können dabei helfen, die ergriffenen Security-Maßnahmen zu dokumentieren. Dies ist aus Compliance-Sicht zwingend erforderlich, zum Beispiel im DatenschutzDatenschutz. Neben den Maßnahmen lassen sich auch die Security Service Level nachweisen, wenn dies vertraglich erforderlich ist. Alles zu Datenschutz auf CIO.de

Wie wird gegenwärtig der Einsatz eines Security Operation Center bewertet?

So vorteilhaft ein Security Operation Center auch klingt, noch ist der Status bei den SOCs nicht so, wie man es sich wünschen würde. Mitte 2016 hatte Intel Security eine Umfrage über SOCs bei 400 Sicherheitsexperten in unterschiedlichen Ländern, Industrien und Unternehmensgrößen durchgeführt. Die wichtigsten Ergebnisse waren:

  • SOCs sind überlastet bei Alarmmeldungen: Durchschnittlich können 25 Prozent aller Sicherheitswarnungen nicht ausreichend untersucht werden.

  • SOCs haben Selektionsprobleme: 93 Prozent aller Befragten gaben an, aufgrund der Überlastung nicht alle Bedrohungen sichten zu können.

  • SOCs sind zum Teil noch reaktiv: Der Großteil der Befragten gab an, eine proaktive Sicherheitsarchitektur anzustreben, doch 26 Prozent agieren immer noch reaktiv auf akute Bedrohungen und Vorfälle.

Eine Studie von HPE Security Intelligence and Operations Consulting (SIOC) zeigt ebenfalls Defizite. Untersucht wurden rund 140 SOCs aus aller Welt. Für jedes SOC wurden als Faktoren die Mitarbeiter, Prozesse, Technologien und Geschäftsfähigkeit bewertet. 82 Prozent der überprüften SOCs erfüllten die Kriterien nicht und hinken den Bedrohungen hinterher.

Diese Studien bedeuten nicht, dass sich der Einsatz eines SOC nicht lohnen würde, aber es besteht einiges an Verbesserungsbedarf.

Wie wird das SOC der Zukunft aussehen?

HPE Security Intelligence and Operations Consulting (SIOC) hat in der zuvor genannten Studie mehrere Empfehlungen ausgesprochen, was in Zukunft in einem Security Operation Center anders werden sollte:

  • Mehr Fokus auf Risikoidentifikation, Erkennung von Sicherheitsvorfällen und die Reaktion und nicht nur auf die Suche nach unbekannten Bedrohungen.

  • Aufgaben automatisieren, wo es möglich ist - etwa bei der Reaktion auf Angriffe oder der Sammlung und Korrelation von Daten -, um das Problem des Fachkräftemangels in den Griff zu bekommen.

  • Es gibt aber weiterhin viele Prozesse im SOC, die menschliches Eingreifen benötigen, Unternehmen müssen eine entsprechende Personalplanung betreiben.

  • Unternehmen, die keine Security-Mitarbeiter einstellen können, sollten eine hybride Personalplanung oder operative Strategie in Betracht ziehen, die sowohl interne Ressourcen als auch Outsourcing an einen SOC-Dienstleister umfasst.

Gerade der Hinweis, dass auch in Zukunft Security-Experten für SOCs benötigt werden, ist wichtig, denn es wäre verfehlt, alleine auf die Automatisierung der Security zu vertrauen und deshalb nicht in die Aus- und Weiterbildung von Security-Experten zu investieren.

"Es ist unrealistisch, dass ein Unternehmen einer Softwarelösung erlaubt, Applikationen selbständig zu stoppen oder gar Systeme vom Netz zu nehmen. Das könnte verheerende Auswirkungen haben", so Patrick Schraut, Director Consulting & GRC DACH bei NTT Security. Automatisierte Verfahren hätten in vielen IT-Bereichen ihre Berechtigung und brächten auch erhebliche Vorteile, "mitnichten aber bei der Incident Response, dort sind höchstens teilautomatisierte Lösungen denkbar", so Schraut. Anders sei der Fall allerdings bei der Incident Detection, also der reinen Erkennung von Vorfällen, gelagert.

Vollautomatische SOCs wird es also wohl nicht geben, doch es gibt bereits Lösungen mit Künstlicher Intelligenz, die die Security-Analysten unterstützen können, zum Beispiel Endgame Artemis. Hier sind weitere Fortschritte zu erwarten, die das SOC der Zukunft positiv beeinflussen werden.

Zur Startseite