Alarm! Und niemand reagiert? Es braucht ein SOC!

Wenn auf einen Alarm niemand reagiert, nützt auch die grösste Investition in Schutztechnologien nichts. Wer sicher sein will, braucht ein SOC (Security Operations Center), das auf jeden Sicherheitsvorfall schnell reagiert. Der entscheidende Faktor dabei sind Spezialisten mit dem neusten Wissensstand.

Eine Alarmanlage geht los und niemand hört es. Entsprechend regiert niemand. Es ist so, als wäre die Alarmanlage nie losgegangen. Daher ist auch nicht klar, ob eingebrochen wurde oder ob es ein Fehlalarm war. Dies gilt analog für Sicherheitssysteme von Computern. Ein ähnliches Problem wurde bereits im «first!» Nr. 55 angesprochen: Wieso lesen wir in den Medien immer häufiger von erfolgreichen Hackerangriffen und gestohlenen Daten, obwohl gleichzeitig die Investitionen in Schutztechnologien steigen?

Auch wenn viel Geld investiert wird für Systeme, die Gemeinsam-für-Cyber-Sicherheit-1wirklichen Schutz bieten, nützen sie nur, wenn jemand auf die Meldungen dieser Systeme reagiert. Dies ist die Aufgabe eines SOC (Security Operations Center). Das SOC ist verantwortlich dafür, die Sicherheitssysteme zu überwachen und bei Alarm zu reagieren. Nachfolgend wird beschrieben, wie die first frame networkers ag das SOC interpretiert, weshalb ein SOC längst nicht mehr nur für Grossbanken interessant ist und wie unsere Kunden vom SOC der first frame networkers ag profitieren können.

Ein Center of Excellence – auch remote

Ein SOC ist für den Betrieb (Operations) der IT-Sicherheitssysteme (Security) zuständig. Es kann diese Arbeiten von einem dedizierten Büro (Center) her erbringen. Dies ist aber keine zwingende Voraussetzung. Im Gegenteil, es kann ein Nachteil sein. Bei einem Sicherheitsvorfall möchte niemand noch viel Zeit verlieren mit der Anreise ins Büro. Zusätzlich sind das Remote-Arbeiten und das Homeoffice das neue Normal, daher muss ein SOC auch remote arbeiten können.

Aus diesem Grund interpretiert die first frame networkers ag das «Center» aus SOC mehr im Sinn von «Center of Excellence» als einen dedizierten physischen Standort.

Das Wichtigste: Spezialisten mit aktuellem Know-how

Ein SOC besteht aus Personen, Prozessen und Technologien. Diese Reihenfolge ist nicht zufällig gewählt. Das Wichtigste sind die Personen, welche die Prozesse ausführen, um die verschiedenen Technologien zu konfigurieren und zu überwachen. Gerade im Moment, wo es schwierig ist, Fachpersonal zu finden, kann es sinnvoll sein, diese Kompetenzen bei einem Partner einzukaufen. Die first frame networkers haben schon immer einen grossen Wert auf die Aus- und Weiterbildung der Mitarbeitenden gelegt. Allein für das Jahr 2024 sind mindestens zehn weitere Security-Ausbildungen geplant. Aufgrund der ISO-Zertifizierungen (9001 & 27001) können unsere Kunden sicher sein, dass sich die first frame networkers an standardisierte Prozesse halten. Auf der technischen Seite setzt die first frame networkers ag auf beste Partner wie:

  • Microsoft Defender XDR
  • Sophos MDR
  • Fortigate Firewalls

Im Juni 2024 habe ich in einem Live-Webinar einen detaillierten Überblick gegeben, wie die firstframe networkers ag das Thema Cybersicherheit angeht. Hier gelangen Sie zur Aufnahme.

Investitionskosten haben sich massiv reduziert

Ein weit verbreitetes Missverständnis betrifft die vermeintlich hohen Anschaffungskosten eines SOCs. Früher war es tatsächlich so, dass sich dies nur Grossbanken oder internationale Unternehmen leisten konnten. Doch heute sind mit dem technischen Fortschritt und neuen Möglichkeiten diese Investitionskosten massiv kleiner geworden. Bisher waren diese so hoch, weil ein SIEM (Security Incident and Event Management) System angeschafft werden Sicherheits-Investitionenmusste. Darin wurden die Logdaten von allen Systemen gesammelt. Danach mussten Regeln erstellt und gepflegt werden, welche diese immensen Logdaten durchsuchen. Es war die klassische Suche nach der Nadel im Heuhaufen. Der einfachere Ansatz ist, eine Next-Generation-Anti-Virus- oder eine EDR-Lösung mit vorgefertigten Regeln anzuschaffen. Allerdings sind dann Erkennungen auf einzelne Systeme, wie beispielsweise einen Computer, limitiert. Der vollständige Kontext, wie der Angriff per E-Mail angefangen hat, fehlt.

Was ein Security Operations Center kostet und 11 weitere gängige Fragen zum SOC beantworten wir in diesem Blogbeitrag.

Prävention, Erkennung, Untersuchung und Abwehr

Das SOC der first frame networkers ag basiert auf einer XDR-Lösung (Extended Detection and Response). XDR vereint Prävention, Erkennung, Untersuchung und Abwehr mit dem Ziel, die IT-Sicherheit zu optimieren und Bedrohungen abzuwehren. Dabei wird das Sammeln, Aggregieren und Durchsuchen der Logs über mehrere Systeme kombiniert. Zusätzlich werden diese Erkennungen vom Hersteller erstellt und müssen nicht auch noch gepflegt werden. Trotzdem erlaubt es eine XDR-Lösung, weiterhin eigene Erkennungen zu schreiben. Damit entfällt die Fehleranfälligkeit und gleichzeitig hat man eine gewisse Flexibilität, um trotzdem eigene Abfragen machen zu können.

Kalkulierbare Kosten für Sie als Kunde

Um Nicht-Microsoft-Logdaten ebenfalls auswerten zu können, kommt beim SOC der first frame networkers ag ein SIEM zum Einsatz. Allerdings drehen wir den klassischen SOC-Spiess um, indem wir zuerst auf XDR setzen und erstMicrosoft-Defender in zweiter Priorität auf die Daten aus einem SIEM. Die Kundschaft muss sich um all dies nicht kümmern. Sie können uns den sicheren Betrieb Ihrer Defender-Umgebungen zu kalkulierbaren Kosten überlassen. Sollten Sie noch keinen Defender im Einsatz haben, installieren wir diesen gerne im Rahmen eines Projekts. Für Kunden mit höchsten Anforderungen an die IT-Sicherheit können wir den Schutz, in Zusammenarbeit mit Sophos MDR, auch 24/7-überwacht anbieten.

Eine kurze Zusammenfassung

Die Aufgaben eines SOC sind sehr vielfältig. Deshalb ist es wichtig, mit Ihrem Anbieter zu besprechen, was alles übernommen werden soll und welche Leistungen explizit abgegrenzt werden. Das SOC der first frame networkers ag schützt Ihre Systeme proaktiv vor Bedrohungen und bietet unter anderem folgende Leistungen:

  • Betrieb des SOC durch ausgewiesene Security-Spezialisten
  • Zeitnahe Information bei Bedrohungen und Verwundbarkeit
  • Störungsbehebung innerhalb der Bereitschaftszeit der first frame networkers ag
  • Automatisiertes Beheben von Incidents, sofern möglich
  • Jährliches Audit der Sicherheitseinstellungen und der aktiven Ausnahmen
  • 7 x 24 h Überwachung bei Bedarf
  • Transparente Kosten

Philippe Hirzel

Philippe Hirzel's Aufgabe ist es, die Managed Security Services bei der first frame networkers ag auf- und auszubauen. IT-Sicherheit ist ein Prozess und nicht ein alleinstehendes Projekt. Aus diesem Grund ist ihm als Projektleiter die Kundenbetreuung auf dem Weg zu einer besseren IT-Sicherheit wichtig: «Die first frame networkers haben dazu schon diverse Komponenten und Services und meine Aufgabe ist es, diese zusammenzuziehen, in eine durchgängige Security Journey umzuwandeln und die Kunden auf dieser Security Journey zu begleiten.» So sollen Hacker keine Chance haben und die Kunden auch in Zukunft produktiv ihrem Business nachgehen können. Neben der Arbeit kocht Philippe Hirzel gerne, ist Jugend- und Sport-Leiter (Ski) und absolviert am SANS Technology Institute einen Master of Science in Information Security Engineering.

Philippe Hirzel