Was ist ein Security Operations Center?

Ein Security Operations Center, auch bekannt als SOC, ist ein zentraler Sicherheits-Hub innerhalb eines Unternehmens, der dafür verantwortlich ist, die Sicherheitsumgebung des Unternehmens kontinuierlich zu überwachen. Zu dieser Umgebung gehören beispielsweise die Sicherheitsinfrastruktur, Networking, Anwendungen, Unternehmensgeräte und alle anderen Technologien oder Services, die mit dem Unternehmen kommunizieren.

Neben der kontinuierlichen Überwachung, Bedrohungsanalyse und Abwehr von Sicherheitsbedrohungen gehört auch die Verbesserung bestehender Sicherheitsinitiativen zu den Aufgaben des Security Operations Center. So wird sichergestellt, dass der Sicherheitsstatus des Unternehmens möglichst robust und stark ist.

Um diesen Initiativen gerecht zu werden, erfasst und protokolliert das Security Operations Center kontinuierlich Daten aus zahlreichen Datenquellen im gesamten Unternehmen. Das SOC stellt Sicherheitsdaten in Echtzeit bereit, die ein Operations-Team für Sicherheitsanalysen in Echtzeit nutzen kann. Dabei beobachtet, analysiert und eliminiert das SOC-Team potenzielle Sicherheitsbedrohungen rund um die Uhr und leitet Informationen zu kritischen Sicherheitsbedrohungen an die Führungsebene weiter.

Eine der wichtigsten Komponenten eines erfolgreichen Security Operations Center ist die Verwendung eines Sicherheitsinformations- und Ereignismanagementsystems (SIEM). Dieses erfasst Echtzeitdaten von Services, die kritische Sicherheitsdaten von verschiedenen Geräten innerhalb des Unternehmensnetzwerks abfragen.

Die von einem SIEM erfassten Daten sind vielfältig nutzbar. Beispielsweise können anhand der vom SIEM erfassten verdächtigen Daten Warnungen generiert werden, die auf verdächtige oder ungewöhnliche Ereignisse hinweisen.

Mit einem SIEM werden sicherheitsrelevante Daten an Lösungen zum Schwachstellen-Assessment weitergeleitet, um weitere Sicherheitsoperationen an den Daten vorzunehmen. Zu diesen Lösungen gehören u.a. IPS (Intrusion Prevention-System), IDS (System zur Erkennung von Eindringversuchen, Intrusion Detection System), sicherheitsspezifische Datenbanken, Data Warehouses und TIPs (Threat Intelligence-Plattformen).

Einer der Hauptvorteile eines SOC ist der verbesserte Sicherheitsstatus, den ein Unternehmen durch diese Sicherheitsinitiative erhält.

Unternehmen, die in ein Security Operations Center investieren, profitieren von der kontinuierlichen Überwachung ihres gesamten Unternehmens, bei der rund um die Uhr Echtzeitdaten zu Netzwerk, Geräten und Anwendungen erfasst werden. Dadurch können Unternehmen wesentlich schneller auf einen erkannten Vorfall reagieren und so den potenziellen Schaden eines Angriffs erheblich reduzieren.

Unternehmen, die ein starkes SOC-Modell nutzen, erkennen bösartige Angriffe in der Regel frühzeitig und können Schäden durch potenzielle Cyber-Security-Angriffe eindämmen.

Security Operations Center stehen vor zwei großen Herausforderungen: Personalmangel und Qualifikationsdefizite.

Personalmangel:

Auf dem dynamischen Arbeitsmarkt von heute fällt es Unternehmen schwer, Spitzenkräfte anzuwerben und zu binden. Dies gilt insbesondere im Bereich Sicherheit. Angesichts von fast 500.000 offenen Stellen im Bereich Sicherheit zu Jahresbeginn und einem Mangel an qualifizierten Bewerbern für diese Positionen sind Sicherheitsteams weiterhin unterbesetzt und überlastet.

Qualifikationsdefizite:

Auch der Fachkräftemangel trifft die Sicherheitsbranche hart. Wenn der Personalpool begrenzt ist, können Unternehmen nur weniger qualifizierte Bewerber einstellen. Infolgedessen müssen Mitarbeiter intern weitergebildet werden oder vorhandene Mitarbeiter (manchmal aus einer ganz anderen Abteilung) müssen weitere Aufgabenbereiche übernehmen.

Ein Security Operations Center setzt eine Strategie zur Identifizierung und Eindämmung von Bedrohungen für moderne, technologieabhängige Unternehmen um. Um Bedrohungen einzudämmen und das Risiko eines Cyberangriffs zu reduzieren, sind zahlreiche Sicherheitsanwendungen, -services und -tools erforderlich.

Jedes Security Operations Center nutzt andere Sicherheitstools, mit denen es seine Sicherheitsumgebung härtet. Einige wenige Sicherheitsanwendungen, -services und -tools sind jedoch in den meisten SOCs zu finden.

Verhaltensüberwachungssystem
Verhaltensüberwachung ist ein Standardverfahren in modernen SOCs. Dabei werden verschiedene Unternehmensaspekte überwacht, um Anomalien zu erkennen, die auf eine Sicherheitsbedrohung hindeuten.

Aspekte, die von Verhaltensüberwachungstools häufig analysiert werden:

• Netzwerkaktivität
• Verdächtige Downloads
• Neustarts von Endpunkten
• Richtlinienverstöße
• Assessment von eingehendem/ausgehendem Datenverkehr anhand des Standorts der zugehörigen IP-Adressen
  
• Fehlermeldungen

Endpunktüberwachungssystem
Anwenderendpunkte gehören heute zu den anfälligsten Zielen für Cyber-Security-Angriffe. Leider öffnen Anwender immer wieder schädliche E-Mails oder fallen Social Engineering-Angriffen zum Opfer. Aktive Endpunktüberwachung ist heute in SOCs von höchster Wichtigkeit.

Sicherheitsinformations- und Ereignismanagement (SIEM)
Ein SIEM-System erfasst Sicherheitsdaten in Echtzeit aus zahlreichen Sicherheitsanwendungen, -services und -tools und generiert Warnungen zu verdächtigen Aktivitäten. Als zentraler Hub für die Datenerfassung ist ein SIEM eines der wichtigsten Tools in einem Security Operations Center. Von ihm hängen fast alle sicherheitsrelevanten Entscheidungen ab.

System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS)
Ein IDS ist eine weitere kritische SOC-Komponente. Es dient dazu, ein- und ausgehende Daten im Netzwerk zu überwachen sowie potenzielle Sicherheitsbedrohungen, die sich im Unternehmensnetzwerk bewegen, zu identifizieren und zu kennzeichnen.

System zum Schutz vor Eindringversuchen (Intrusion Protection System, IPS)
Ein IPS hat eine ähnliche Aufgabe wie ein IDS: Bedrohungen im Netzwerk eines Unternehmens abzuwehren. Anders als ein IDS, das verdächtige Pakete identifiziert und für weitere Maßnahmen durch ein Operations-Team kennzeichnet, identifiziert das IPS verdächtige Pakete und entfernt sie automatisch in Echtzeit aus dem Netzwerk.

Die Struktur heutiger Security Operations-Teams ist entscheidend für den Erfolg eines Unternehmens. Teammitglieder müssen nicht nur angemessen für ihre Rolle ausgebildet sein, sondern auch als Team harmonisch zusammenarbeiten, um die Sicherheit und Integrität des Unternehmens zu gewährleisten.

Chief Information Security Officer (CISO):

Der CISO gehört der Führungsebene an und trifft wichtige Entscheidungen über Sicherheitsinitiativen, die sich auf das gesamte Unternehmen auswirken.

Der CISO führt sicherheitsrelevante Strategien und Abläufe ein, über die auch die Führungsebene des Security Operations Center (z.B. der Director of Incident Response und der SOC-Manager) informiert wird. So wird ein einheitlicher Ansatz für den Sicherheitsbetrieb und die Cyberabwehr sichergestellt.

Senior Security Manager:

Der Senior Security Manager ist für die Überwachung aller Abläufe im SOC-Team zuständig. Er gibt allgemeine Direktiven vor, wie das Team arbeiten und im Falle einer ernsthaften Sicherheitsbedrohung reagieren soll. Der Senior Security Manager hat zudem die Aufgabe, den Chief Information Security Officer (CISO) über schwerwiegende Sicherheitsprobleme zu informieren.

Incident Responder:

Der Incident Responder ist für die Konfiguration und das Management von Sicherheitsüberwachungstools verantwortlich und muss über identifizierte Cyberbedrohungen Bericht erstatten. Diese Rolle überwacht täglich Hunderte von Sicherheitsbedrohungen und entscheidet in Echtzeit, wie potenzielle Sicherheitsbedrohungen gehandhabt werden sollen.

SOC-Analyst:

Der SOC-Analyst ist für die Überwachung von Sicherheitsereignissen und die Einordnung von Warnungen an L2/L3-Sicherheitsanalysten zuständig. Die Rolle untersucht alle verdächtigen Aktivitäten und reagiert auf Warnungen.

VMware unterstützt Sie mit einer Suite von Sicherheitslösungen dabei, Ihr Security Operations Center zu modernisieren. Mit VMware können Sie Ihre Maßnahmen zuverlässig, schnell und genau skalieren. Dank einer erstklassigen Plattform können Sie sofortige betriebliche Zuverlässigkeit sicherstellen und Probleme schneller lösen.