Im Zeitalter der Digitalisierung werden Cyberattacken nicht nur immer gezielter durchgeführt und langfristiger geplant, auch die Vorgehensweisen der Cyberkriminellen verändern sich laufend. Die bisherigen Sicherheitskonzepte reichen oftmals nicht mehr aus, um ein Unternehmen und seine Daten vollumfänglich zu schützen. Eine ganzheitliche Möglichkeit, um die eigene Organisation vor Cyberangriffen zu bewahren, kann ein Security Operations Center bieten.
Bislang basieren IT-Sicherheitskonzepte in der Regel auf der Annahme, dass ein Angreifer in ein Netzwerk eintauchen kann, indem er auf Anwendungs- oder Betriebssystemebene eine Softwareschwachstelle ausnutzt. Man nennt dies einen «Vulnerability-centric Approach» – einen schwachstellenbasierten Ansatz. Der Fokus liegt dabei auf den verwendeten Tools und darauf, diese entsprechend zu konfigurieren, um Bedrohungen zu vermeiden. Allerdings greifen dieses Konzept und die reine Prävention angesichts der vielfältigen Bedrohungsszenarien heute zu kurz. Denn ein motivierter Angreifer wird immer einen Weg ins Netzwerk finden. Ein gutes Sicherheitskonzept sollte also darauf basieren, Angriffe möglichst schnell zu erkennen und darauf reagieren zu können – und das rund um die Uhr.
Ein schwachstellenbasierter Ansatz reicht nicht aus
Die Messung des Erfolgs oder Misserfolgs beim schwachstellenbasierten Ansatz konzentriert sich auf die Fähigkeit, Bedrohungen zu vermeiden. Spätestens wenn die Prävention fehlschlägt, wird klar, dass dies der falsche Ansatz ist. Die Erfolgsmessung sollte stattdessen belegen, wie effektiv eine Bedrohung erkannt, analysiert und mit einer entsprechenden Reaktion eskaliert wird.
Sobald Unternehmen erkennen, dass es letztendlich keine Rolle spielt, wie sie angegriffen werden, können sie ihre Ressourcen von reinen Vorsorgemassnahmen hin zu einer «Threat-centric Security» (bedrohungszentrierten Sicherheit) verlagern. Hier kommt das Security Operations Center ins Spiel. Ein Security Operations Center ist einfach gesagt ein Dienstleister, der einem Unternehmen ein rund um die Uhr von erfahrenen und kompetenten Sicherheitsanalysten besetztes Team zur Bewahrung der IT-Sicherheit zur Verfügung stellt.
Dabei spielen Tools zwar immer noch eine wichtige Rolle, der Fokus in einem Security Operations Center (SOC) liegt jedoch auf den Menschen – und damit auf den kompetenten Analysten, die Bedrohungen aufspüren und gezielt darauf reagieren.
Ein erfolgreiches SOC braucht eine Experten-Task Force
Diese Analysten müssen über ein umfassendes Wissen in verschiedensten Bereichen der IT und Informationssicherheit verfügen. Neben erfahrenen Sicherheitsexperten sollten im SOC-Team zusätzlich junge Fachkräfte tätig sein, die die Fähigkeiten zur Auswertung heutiger Bedrohungen besitzen und noch weiter ausbauen können. In einem SOC teilen sich die Analysten meist in drei verschiedene Level ein:
Level 1: Fundamentales Verständnis der Basisfähigkeiten unerlässlich
Der Level 1-Analyst besitzt im Prinzip alle Basisfähigkeiten. Allerdings ist er nicht auf bestimmte Bereiche spezialisiert. Seine Aufgabe ist es, Alarme und Protokolle zu überprüfen sowie auf der Basis dieser Ergebnisse eine Analyse durchzuführen. Sein Ziel ist es, laufend weitere Kompetenzen zu erlangen. Je mehr Protokolle, Pakete und Ereignisse ein Analytiker betrachtet, desto grösser wird sein Verständnis für die Bedrohungen in seinem Umfeld. In den meisten Unternehmen gehört die Mehrheit der Analysten zu diesem Level 1.
Level 2: Das SOC effizienter gestalten
Die Level 2-Analysten hingegen arbeiten auch daran, das SOC zu verbessern und effizienter auszurichten. Sie nehmen aktiv an der Gestaltung der Erkennungs- und Reaktionsprozesse im SOC teil. Dazu gehören Aufgaben wie das Erstellen von Signaturen, die auf Netzwerkereignissen und/oder Malwareanalysen basieren, sowie die taktische Erforschung von Bedrohungen, Techniken und Vorgehensweisen potenzieller Angreifer.
Darüber hinaus entwickelt der Level-2-Analyst auch Kompetenzen, um verschiedene Datenquellen manuell zu analysieren sowie Angriffe und Bedrohungen zu identifizieren, anstatt sich nur auf automatisierte Werkzeuge zu verlassen.
Level 3: Senior-Analytiker mit umfassendem Know-how
Der Level 3-Analyst ist der Senior-Analytiker im SOC. Er besitzt in allen oben genannten Bereichen Erfahrung und in mindestens zwei Fachgebieten eine Qualifizierung. Es handelt sich hierbei um Führungskräfte des Security Operations Center. Sie befassen sich mit dem Mentoring der anderen Analysten, entwickeln Schulungen, stellen diese bereit und untersuchen komplexe, forensische Vorgänge.
Sie sind in erster Linie für die Entwicklung und Verbesserung der Erfassungs- und Erkennungsfunktionen des SOC verantwortlich. Dazu gehören sowohl die Bewertung bestehender SOC-Tools als auch die Konzeption und Entwicklung neuer Werkzeuge. Zudem arbeiten sie eng mit den Mitarbeitern zusammen, die für die Tool-Verwaltung zuständig sind. So stellen sie sicher, dass diese Werkzeuge im SOC optimal genutzt werden.
Eine Kultur des Lernens schaffen
Von besonders grosser Bedeutung im SOC ist eine «Kultur des Lernens». Ideen und Innovationen sind die Basis für Motivation und Bildung. Die Arbeitskultur eines SOC sollte jedoch nicht nur auf dem Lernen selbst basieren, sondern das Lernen auch erleichtern, fördern und belohnen. Darüber hinaus spielt das Teambuilding eine wichtige Rolle und erfordert von allen beteiligten Analysten ein entsprechendes Engagement. Analysten, die einander vertrauen und gerne Zeit miteinander verbringen, sind bei der Erkennung und Bekämpfung von Bedrohungen deutlich effektiver. Zudem trägt ein engagiertes Team dazu bei, eine Kultur des Lernens zu fördern.
Manpower erforderlich
Um ein Security Operations Center kontinuierlich betreuen zu können, sind laut Einschätzung des Sicherheitsexperten Ed Ray mindestens 17 Mitarbeiter erforderlich. Gerade kleinere und mittelgrosse Unternehmen haben intern meist nicht genügend Ressourcen, um ein solches ganzheitliches Security Operations Center auszustatten und die Mitarbeitenden unentwegt aus- und weiterzubilden.
Um die Bedrohungen von heute und morgen bekämpfen zu können, ist es jedoch unerlässlich, einem bedrohungszentrierten Ansatz zu folgen. Unternehmen können sich nicht mehr ausschliesslich auf schwachstellenbasierte Technologien verlassen und sollten eine Kosten-/Risikoanalyse durchführen, um zu bestimmen, in welchen Bereich sie mehr investieren wollen.