Das Security Operation Center (SOC) oder auch die Line of Defense eines Unternehmens ist das Herzstück der Cyber Security. Ein SOC bedient sich dabei der drei Schutzziele (Verfügbarkeit, Vertraulichkeit und Integrität), um die Sicherheit in Unternehmen zu erhöhen und relevante Bedrohungen zu verringern oder zu lösen.
Das SOC ist die Sicherheitsleitstelle der IT-Infrastruktur von Unternehmen und Organisationen. Um die Aufgabe der Sicherheit gewährleisten zu können, integriert, überwacht und analysiert das SOC alle angeschlossenen Security-Lösungen, die ein Unternehmen in seiner Line of Defense aufgebaut hat. Im ersten Schritt erreichen Alarmmeldungen das SOC, die anschließend von zuständigen Analysten/innen untersucht werden. Falls notwendig folgen im Anschluss weitere Untersuchungen im Quellsystem der Alarmmeldung.
Aufbau und Prozesse
Ein etabliertes SOC besteht in der Regel aus Prozessen, die eine klar definierte Struktur umfassen und somit genaue Abläufe im Krisenfall ermöglichen. Das baut auf die technische Umsetzung von vorhandenen Security-Lösungen auf. Ohne ein SIEM kann ein SOC nicht funktionieren. Unternehmen setzen hierbei aber nicht nur auf SIEM, sondern auch auf andere Security-Lösungen, die in das SOC etabliert werden müssen. Die Analysten/innen benötigen Zugriff auf diese Lösungen, damit die etablierten Prozesse funktionieren. Die Königsklasse besteht darin, dass das SOC als Grundlage eine SOAR-Lösung besitzt. Dazu mehr im SOAR-Artikel (Erscheinungstermin: November 2022).
Automation in einem SOC
Mittlerweile werden alle Security-Lösungen bidirektional angebunden. Das bedeutet, dass SOC-Analysten/innen einen Client, der über eine Antivirenlösung einen Virenbefund meldet, mit nur einem Knopfdruck direkt vom Netzwerk in eine Quarantänezone verschieben können. Hierzu ist keine Anmeldung auf verschiedene Portale der einzelnen Security-Lösungen notwendig.
Den Analysten/innen stehen mit dem Alarm weitere Informationen aus einer Threat Intelligence Platform zur Verfügung, die den Alarm mit zusätzlichen Informationen anreichern. Zum Beispiel kann die gemeldete Malware eine Verbindung zu einem Server aufgebaut haben, um so Informationen aus dem gesicherten Netzwerk schleusen zu können. Solche Server sind in der Regel schnell bekannt und können mit Automationen vom internen Netz durch Firewall-Regeln abgeschottet werden.
Vorteile eines Security Operation Centers
Cyberangriffe werden laut Statistiken innerhalb von 315 bis 350 Tagen in einem Unternehmen bekannt. Ein SOC hat die Aufgabe, diese Dauer zu verringern und wenn möglich, auf null zu reduzieren. Erkennungsmaßnahmen werden dynamisch auf die Bedrohungslage angepasst. Die Bedrohungsszenarien werden somit im Vorfeld wirksam verhindert.
Da alle sicherheitsrelevanten Security-Lösungen im SOC zentral verwaltet werden, lässt sich das notwendige Budget einfach bestimmen. Gleichzeitig hat das Management zentrale Kontaktepersonen für Security-relevante Fragen. Hierbei werden kontinuierliche Informationen wie KPIs transparent dargestellt.
Ein weiterer Vorteil ergibt sich bei eventuell geforderten Compliance-Nachweisen. Ist ein Unternehmen zum Beispiel KRITIS-relevant, so hat dieses Unternehmen dafür zu sorgen, dass Bedrohungen überwacht und abgemildert werden.
Kontakt: security-experts@oediv.de