Was Sie zum Security Operations Center wissen müssen: Die 12 gängigsten Fragen einfach und konkret beantwortet

Dieser Blogbeitrag beantwortet die 12 gängigsten Fragen zum Security Operations Center auf einfache und konkrete Art und Weise: Aufgaben, Technologien, Menschen, Kosten und Prozesse.

1. Wofür steht die Abkürzung SOC?

Die Abkürzung SOC steht für Security Operations Center.

2. Was ist ein Security Operations Center und was macht es?

Ein Security Operations Center ist eine Überwachungszentrale für IT-Sicherheit. Laufend wird die IT-Umgebung eines Unternehmens beobachtet und auf verdächtige Aktivitäten überprüft.

Häufig ist es schwierig, böswillige Verhaltensweisen klar und deutlich vom ganz normalen Userverhalten zu unterscheiden. Genau hier kommen die speziellen Kenntnisse und Fähigkeiten eines SOC-Teams zum Zuge.

Wenn sich das SOC-Team ausreichend sicher ist, dass gefährliche Aktivitäten mit Schadenpotenzial in der Unternehmens-IT im Gange sind, reagiert es. Hierzu werden vorgängig festgelegte Regeln, Abläufe und Kompetenzen genutzt, um rasch Massnahmen treffen und verdächtige Vorgänge unterbinden zu können.

3. Wie funktioniert ein Security Operations Center?

Ein SOC besteht aus Security-Spezialisten, Tools und Technologien sowie vorgängig vereinbarten Prozessen. Die Hauptaufgaben eines SOC sind die Erkennung von und die Reaktion auf Sicherheitsvorfälle.

Die Tools und Technologien überwachen die Unternehmens-IT, sammeln Millionen von Signalen und bewerten diese. Die zentrale Sicherheitsplattform oder auch die Security-Software auf Endgeräten kann von sich aus automatisch alarmieren, wenn verdächtiges Verhalten festgestellt wird.

Dann kommen die Security-Spezialisten zum Zuge: Sie analysieren und bewerten Vorfälle, entscheiden über Massnahmen und führen diese aus. Massnahmen können beispielsweise das Isolieren von Geräten sein, welche von Schadsoftware befallen wurde oder das Herunterstufen der Rechte von kompromittierten Useraccounts.

Die zuvor vereinbarten Prozesse sind die Grundlage der Überwachungs- und Reaktionsarbeit. Was wird in welchem Rahmen überwacht, mit welchen Kompetenzen darf reagiert werden, wie findet die Kommunikation statt?

4. Wie reagiert ein SOC auf Vorfälle?

Kommt es zu einem Cybervorfall, durchläuft das SOC einen sogenannten Incident-Response Prozess.

Gemäss Lehrbuch umfasst ein Incident-Response Prozess 4 Schritte:

• Vorbereitung und Prävention: In dieser Phase geht es darum, technische Massnahmen zum Schutz umzusetzen, Know-How aufzubauen und zu schulen, einen Incident-Response Plan zu entwickeln und sicherzustellen, dass die notwendigen Werkzeuge und Ressourcen vorhanden sind.
• Erkennung und Analyse: Organisationen müssen Sicherheitssysteme implementieren und überwachen, um potenzielle Vorfälle zu erkennen und diese zu analysieren.
• Eindämmung, Beseitigung und Wiederherstellung: Sobald ein Vorfall bestätigt ist, liegt der Fokus auf der Eindämmung des Vorfalls, um weiteren Schaden zu verhindern, der Beseitigung der Ursachen und der Wiederherstellung betroffener Systeme.
• Nach-Vorfall-Aktivitäten: Nach der Bearbeitung des Vorfalls ist es wichtig aus der Erfahrung zu lernen, weitere technische Schutzmassnahmen umzusetzen und Incident-Response Pläne zu verbessern.

Wichtige Aspekte eines guten Incident-Response Prozesses sind:

• Klare Richtlinien darüber, wann ein Vorfall vorliegt und wann nicht
• Reaktionsplan mit Priorisierung der Vorfälle und entsprechenden Massnahmen
• Kommunikation an definierte verantwortliche Personen mit Sicherstellung, dass diese erreichbar sind
• Dokumentation des Incident-Response Prozesses

5. Was kostet ein Security Operations Center?

SOC-Dienstleistungen für KMU sind im managed Service zu monatlichen Preisen von rund CHF 1'200 – 2’500 erhältlich, abhängig vom Leistungsspektrum. Für die Anbindung und Initiierung kommen einmalige Kosten zu Beginn der Zusammenarbeit dazu.

Für den Aufbau und den Betrieb eines eigenen SOC ist es sehr schwierig, konkrete Zahlen nennen zu können. Anhaltspunkte bieten die umfangreichen Arbeiten, die beim Aufbau eines eigenen SOC anfallen:

SOC Aufbauphase:

• Absorption des CISOs zu mindestens 50% oder des CIOs eher zu 70% für die umfangreiche Planung und den Erstaufbau
• Externe Begleitung und Beratung
• Definition und Freigabe der Stellen, Prozesse, Aufgaben, Kompetenzen und Verantwortlichkeiten des neuen SOCs
• Anforderungsdefinition, Evaluation, Beschaffung, Inbetriebnahme und Integration des SOC-Technologie-Stacks
• Rekrutierung und Einarbeitung von mindestens zwei Cybersecurity-Spezialisten
• Troubleshooting und Unvorhergesehenes

Für die Aufbauphase fallen rasch Kosten von mehreren Hunderttausend Franken an.

SOC Betriebsphase:

• Laufende Jahressaläre für zwei Cybersecurity-Spezialisten
• Weiterbildungskosten für gesamtes Security-Team
• Laufende Lizenzkosten und Service-Level-Agreements für Software-Zulieferer
• Projektaufwände für Weiterentwicklung und verbesserte Integration des SOC

Für den laufenden Betrieb eines SOCs mit minimaler personeller Besetzung muss mit mindestens CHF 300'000 jährlich gerechnet werden.

6. Warum ist ein SOC für Unternehmen wichtig?

Ganz grundsätzlich: Cybervorfälle haben enormes Schadenpotenzial und stellen im Extremfall existenzielle Bedrohungen für Unternehmen dar. Die kontinuierliche Überwachung durch ein SOC erhöht die Resilienz der Unternehmens-IT deutlich. Darum ist ein SOC für Unternehmen wichtig:

• Frühzeitige Erkennung von Bedrohungen: SOCs überwachen die IT-Systeme kontinuierlich und erkennen Angriffe, bevor diese grösseren Schaden verursachen. Cyberkriminelle können sich nicht mehr unbemerkt in der IT ausbreiten.
• Schnelle Reaktion: SOC-Teams können sofort auf Vorfälle reagieren, um Datenverlust oder Betriebsunterbrechungen zu verhindern.
• Rund-um-die-Uhr-Überwachung: 24/7-Überwachung gewährleistet Schutz zu jeder Zeit.
• Schutz sensibler Daten: SOCs helfen, Datenschutzverletzungen zu verhindern und Compliance-Anforderungen zu erfüllen.
• Reduzierung von Geschäftsrisiken: Durch das SOC können Sicherheitsvorfälle schnell eingedämmt und unternehmensweite Schäden vermieden werden.

7. Wie wählt man einen geeigneten SOC-Anbieter oder Managed SOC Service?

Hier sehen wir 3 Hauptkriterien, die bei der Wahl eines SOC-Service-Anbieters bewertet werden müssen:

• SOC-Teams - Expertise und Erfahrung: Welche Qualifizierungen und Erfahrungslevels bringt das Security-Team mit? Wie gross ist das Team und wie gut kennt es sich mit den branchenspezifischen Sicherheitsanforderungen aus? Gibt es an der zu schützenden IT spezielle Aspekte, mit der sich das Security-Team besonders gut oder eben gar nicht auskennt?
• SOC-Service - Reaktionsfähigkeit uns Flexibilität: Bietet der SOC-Service den gewünschten Schutzumfang und eine schnelle Reaktionsfähigkeit? Können die Services an sich zukünftig verändernde Erwartungen angepasst werden?
• SOC-Technologie - Fortschrittlichkeit und Integration: Die Security-Technologien sollten einerseits möglichst alle Bereiche der IT-Umgebung abdecken können; Identitäten, Geräte, Netzwerk, Infrastruktur in der Cloud und on Premise, Daten und Applikationen, andererseits fortschrittlich sein, um mit der sich schnell weiterentwickelnden Bedrohungslandschaft klar zu kommen.

8. Woraus besteht ein SOC-Team?

In SOC-Teams sind typischerweise Personen mit den folgenden 5 Funktionen vertreten:

• SOC-Manager: Verantwortlich für die Gesamtleitung und die Strategie des SOC. Der SOC-Manager koordiniert das Team, legt Prioritäten fest und sorgt für eine wirksame Zusammenarbeit mit anderen Abteilungen des Unternehmens.
• Security Analysten (Level 1, 2, 3): Diese Analysten sind die «Frontline» im SOC.
  • Level 1 Analysten überwachen und analysieren Sicherheitsalarme in Echtzeit, erkennen potenzielle Bedrohungen und ordnen diese ein. Wenn nötig, eskalieren sie die Vorfälle.
  • Level 2 Analysten vertiefen die Analyse und bearbeiten komplexere Vorfälle, führen forensische Untersuchungen durch und ermitteln das Ausmass des Angriffs.
  • Level 3 Analysten (oft auch Senior Analysten genannt) konzentrieren sich auf tiefer gehende Untersuchungen, entwickeln Abwehrstrategien und verwalten schwerwiegende Vorfälle.
• Incident Responder: Diese Spezialisten leiten die Reaktion auf Cybersecurity-Vorfälle und ergreifen Massnahmen zur Beseitigung.
• Threat Intelligence Analyst: Überwacht Bedrohungsinformationen und analysiert neue Angriffsvektoren und Schwachstellen, um das SOC proaktiv auf mögliche Bedrohungen vorzubereiten. Threat Intelligence Analysten sorgen dafür, dass das Team über aktuelle Gefahren informiert ist.
• Security Engineer: Die Engineers im SOC verwalten und warten die sicherheitsrelevanten Tools und Systeme (bspw. SIEM, Firewalls, IDS/IPS). Sie sind verantwortlich für die Implementierung von Sicherheitslösungen und die Feinabstimmung der Technologien, um Bedrohungen zu erkennen und zu verhindern.

In der Praxis sind diese Rollen nicht so klar voneinander abgetrennt. Seltener sind in SOCs auch noch dedizierte Forensik-Spezialisten anzutreffen, Compliance- und Risikomanager oder Penetration Tester.

9. Welche Fähigkeiten und Qualifikationen benötigt ein SOC-Analyst?

Ein SOC-Analyst benötigt eine Kombination aus technischen Fähigkeiten, analytischem Denken und Soft Skills:

1. Technische Fähigkeiten:
   • Netzwerksicherheit: Verständnis von Netzwerkprotokollen und -infrastrukturen.
   • XDR- und SIEM-Tools: Erfahrung mit Security Incident- und Eventmanagement-Tools.
   • Angriffserkennung: Fähigkeit, gängige Angriffsmuster wie Command and Control oder Phishing zu erkennen.
   • Forensik und Betriebssysteme: Analyse von Logfiles und Kenntnisse über Windows, Windows Server.

2. Analytische Fähigkeiten:
   • Kritisches Denken und Problemlösung: Schnelle und fundierte Entscheidungen treffen.
   • Risikobewertung: Priorisierung von Vorfällen nach ihrer Kritikalität

3. Soft Skills:
   • Kommunikation und Teamarbeit: Effektiver Austausch mit anderen Teams.
   • Stressresistenz: Ruhe unter Druck bewahren.

4. Zertifizierungen:
   • Zertifikate wie CCD, GCIH oder Microsoft-Security-Operations-Analyst sind vorteilhaft.

10. Welche Technologien und Tools werden in einem Security Operations Center eingesetzt?

Nachfolgend die 7 gängigsten Technologien, welche in einem SOC eingesetzt werden:

• XDR - Extended Detection and Response: Die XDR-Plattform stellt das Herzstück eines Security Operations Centers dar. In dieser Plattform werden Ereignisse aus diversen Quellen aggregiert und bewertet. Ebenfalls kann eine automatische, KI gestützte, Reaktion erfolgen. XDR Systeme sind allerdings geschlossene Ökosysteme eines Herstellers oder bieten nur limitierte Erweiterungsmöglichkeiten.
  
  In unserem SOC-Service setzen wir auf Microsoft Defender XDR.
• SIEM - Security Information and Event Management: Die SIEM-Tools waren früher das Herzstück eines Security Operation Centers. Die Pflege eines SIEMs ist sehr teuer und aufwendig, dafür ist ein SIEM beliebig erweiterbar mit allen möglichen Logquellen. Durch diese Flexibilität ist das SIEM die ideale Ergänzung zu einer XDR Plattform.
• EDR - Endpoint Detection and Response: Diese Tools überwachen Endgeräte wie Notebooks oder Smartphones in Echtzeit und erkennen Bedrohungen, bevor diese eskalieren.
• NDR – Network Detection uns Response: Ein NDR System analysiert den Netzwerkverkehr auf Anomalien. Im Gegensatz zu einer Firewall mit IPS geht die Kommunikation nicht durch die NDR Lösung sondern nur eine Kopie der Kommunikation. Dadurch kann die NDR Lösung viel tiefer gehende Analysen durchführen ohne das sich dies negativ auf die Benutzererfahrung sprich die Geschwindigkeit z.B. beim Surfen auswirkt
• Firewall mit IDS/IPS - (Intrusion Detection/Prevention Systeme): Diese Systeme trennen verschiedene Netzwerke voneinander und analysieren die Kommunikation zwischen den Netzwerken in Echtzeit. Einerseits können diese Systeme damit sofort eingreifen und Angriffe unterbinden andererseits können zu viele Regeln und Kontrollen sich negativ auf die Benutzererfahrung auswirken. Daher sind Firewalls und NDR komplementäre Systeme.
• TIPs - Threat Intelligence Platforms: Dienste, welche Informationen zu externen Bedrohungen in gesammelter Form zur Verfügung stellen.
• SOAR - Security Orchestration, Automation and Response: Lösungen zur Integration von separaten Security-Tools, zur Vereinheitlichung von Workflows und zur Automatisierung von repetitiven Tasks.

11. Ein SOC selbst aufbauen oder SOC als Service beziehen?

Als Faustregel kann die Unternehmensgrösse von 500 Mitarbeitenden herangezogen werden. Für Unternehmen mit weniger als 500 Mitarbeitenden ist das SOC as a Service die richtige Wahl. Für Unternehmen mit 500 oder mehr Mitarbeitenden kann der Aufbau eines eigenen SOC in Betracht gezogen werden.

12. Was sind die Herausforderungen bei der Implementierung eines Security Operation Centers?

• Fehlende Verankerung für das Thema Security auf Management-Ebene – Die Bereichs- oder Unternehmensleitung muss hinter dem Entscheid für ein SOC oder einen SOC-Service stehen. Ansonsten wird das Security-Team konstant mit Gegenwind zu kämpfen haben.
• Hybride, fragmentierte, historisch gewachsene IT-Umgebungen – Sind für Security Teams eine Herausforderung, um eine flächendeckende Überwachung sicherstellen zu können.
• Festlegung eines angemesseneren Incident-Response Prozesses – Muss in ruhigen Zeiten in ausreichendem Detailierungsgrad ausgearbeitet werden. Die Herausforderung besteht in den gewährten Entscheidungskompetenzen an das Security-Team gegenüber der Wahrung eines wenig gestörten Unternehmensbetriebes.
• Tiefe Security-Awareness von Mitarbeitenden, fehlende Sicherheitskultur – Aufmerksame Mitarbeitende tragen massgeblich zur Sicherheit eines Unternehmens bei und können die Arbeit von Security-Teams unterstützen, indem sie verdächtige Aktivitäten melden und mit Vorsicht agieren.

Webinar-Aufnahme «Alarm - und niemand schaut hin?»

Im Sommer 2024 habe ich einen detaillierten Einblick gegeben, wie wir bei den firstframe networkers das Thema IT-Sicherheit betrachten und wie die Grenzen zwischen den Technologien immer weiter verschwimmen - auf Seiten der Angreifer wie auch bei uns auf der Abwehrseite.