Wenn auf einen Alarm niemand reagiert, nützt auch die grösste Investition in Schutztechnologien nichts. Wer sicher sein will, braucht ein SOC (Security Operations Center), das auf jeden Sicherheitsvorfall schnell reagiert. Der entscheidende Faktor dabei sind Spezialisten mit dem neusten Wissensstand.
Eine Alarmanlage geht los und niemand hört es. Entsprechend regiert niemand. Es ist so, als wäre die Alarmanlage nie losgegangen. Daher ist auch nicht klar, ob eingebrochen wurde oder ob es ein Fehlalarm war. Dies gilt analog für Sicherheitssysteme von Computern. Ein ähnliches Problem wurde bereits im «first!» Nr. 55 angesprochen: Wieso lesen wir in den Medien immer häufiger von erfolgreichen Hackerangriffen und gestohlenen Daten, obwohl gleichzeitig die Investitionen in Schutztechnologien steigen?
Auch wenn viel Geld investiert wird für Systeme, die
Ein SOC ist für den Betrieb (Operations) der IT-Sicherheitssysteme (Security) zuständig. Es kann diese Arbeiten von einem dedizierten Büro (Center) her erbringen. Dies ist aber keine zwingende Voraussetzung. Im Gegenteil, es kann ein Nachteil sein. Bei einem Sicherheitsvorfall möchte niemand noch viel Zeit verlieren mit der Anreise ins Büro. Zusätzlich sind das Remote-Arbeiten und das Homeoffice das neue Normal, daher muss ein SOC auch remote arbeiten können.
Aus diesem Grund interpretiert die first frame networkers ag das «Center» aus SOC mehr im Sinn von «Center of Excellence» als einen dedizierten physischen Standort.
Ein SOC besteht aus Personen, Prozessen und Technologien. Diese Reihenfolge ist nicht zufällig gewählt. Das Wichtigste sind die Personen, welche die Prozesse ausführen, um die verschiedenen Technologien zu konfigurieren und zu überwachen. Gerade im Moment, wo es schwierig ist, Fachpersonal zu finden, kann es sinnvoll sein, diese Kompetenzen bei einem Partner einzukaufen. Die first frame networkers haben schon immer einen grossen Wert auf die Aus- und Weiterbildung der Mitarbeitenden gelegt. Allein für das Jahr 2024 sind mindestens zehn weitere Security-Ausbildungen geplant. Aufgrund der ISO-Zertifizierungen (9001 & 27001) können unsere Kunden sicher sein, dass sich die first frame networkers an standardisierte Prozesse halten. Auf der technischen Seite setzt die first frame networkers ag auf beste Partner wie:
Ein weit verbreitetes Missverständnis betrifft die vermeintlich hohen Anschaffungskosten eines SOCs. Früher war es tatsächlich so, dass sich dies nur Grossbanken oder internationale Unternehmen leisten konnten. Doch heute sind mit dem technischen Fortschritt und neuen Möglichkeiten diese Investitionskosten massiv kleiner geworden. Bisher waren diese so hoch, weil ein SIEM (Security Incident and Event Management) System angeschafft werden
Das SOC der first frame networkers ag basiert auf einer XDR-Lösung (Extended Detection and Response). XDR vereint Prävention, Erkennung, Untersuchung und Abwehr mit dem Ziel, die IT-Sicherheit zu optimieren und Bedrohungen abzuwehren. Dabei wird das Sammeln, Aggregieren und Durchsuchen der Logs über mehrere Systeme kombiniert. Zusätzlich werden diese Erkennungen vom Hersteller erstellt und müssen nicht auch noch gepflegt werden. Trotzdem erlaubt es eine XDR-Lösung, weiterhin eigene Erkennungen zu schreiben. Damit entfällt die Fehleranfälligkeit und gleichzeitig hat man eine gewisse Flexibilität, um trotzdem eigene Abfragen machen zu können.
Um Nicht-Microsoft-Logdaten ebenfalls auswerten zu können, kommt beim SOC der first frame networkers ag ein SIEM zum Einsatz. Allerdings drehen wir den klassischen SOC-Spiess um, indem wir zuerst auf XDR setzen und erst
Die Aufgaben eines SOC sind sehr vielfältig. Deshalb ist es wichtig, mit Ihrem Anbieter zu besprechen, was alles übernommen werden soll und welche Leistungen explizit abgegrenzt werden. Das SOC der first frame networkers ag schützt Ihre Systeme proaktiv vor Bedrohungen und bietet unter anderem folgende Leistungen: