Lange war IT-Security von der Annahme geprägt, dass sich Sicherheitsvorfälle verhindern lassen, wenn man nur genügend Ressourcen in die Konzeption und Implementierung von Schutzmaßnahmen investiert. Um Angreifer daran zu hindern, die eigenen Netze zu infiltrieren, haben Unternehmen in großem Maßstab in technische Einzellösungen investiert. Das große Ziel: sich einzuigeln. Angreifer würden schon irgendwann aufgeben und ohne Beute abziehen. Wie sich in den letzten Jahren zeigte, war dies eine fatale Fehleinschätzung.

Unbestritten ist die Minimierung von Angriffsflächen durch den Einsatz präventiver Schutzmaßnahmen immer noch ein Grundsatz jeder tragfähigen Sicherheitsstrategie. Doch was passiert, wenn diese Schutzmaßnahmen versagen oder Angreifer sie umgehen? Auf diese Frage reagieren viele Unternehmen mit offenkundiger Verzweiflung und Resignation. Denn auch der beste Schutzwall muss in der heutigen, von Flexibilität und Agilität geprägten Geschäftswelt geregelt durchlässig sein: keine Kommunikation, kein Business. Das eröffnet Angreifern Möglichkeiten, diese Kommunikationswege für ihre Zwecke zu missbrauchen. In einer Cloud- und netzbasierten Welt finden Angreifer letztlich immer einen Weg.

Je offener Unternehmen ihre IT-Infrastruktursysteme gestalten müssen, um ihren unternehmerischen Erfolg zu steigern, je mehr Schnittstellen sie zu anderen Unternehmen besitzen, desto weniger kann Prävention sie dauerhaft vor Schaden bewahren. Hier müssen zukunftsorientierte Sicherheitsstrategien ansetzen. Die zentrale Frage lautet: Wie kann man die Umgehung von Sicherheitsmaßnahmen erkennen und unterbinden?

Incident Detection and Response, die Erkennung von Sicherheitsvorfällen und die Reaktion darauf, sind Fähigkeiten, über die Unternehmen heute verfügen müssen. Viele sind davon aber noch sehr weit entfernt. Gerade mittelständische Unternehmen scheuen davor zurück, sie zu entwickeln. Es herrscht die Annahme vor, dass nur ein SOC (Security Operations Center) derartige Leistungen liefern kann. Dafür fehlt aber das notwendige Budget. Doch auch mit sehr begrenzten finanziellen Mitteln lassen sich Maßnahmen realisieren, die das Risiko eines massiven Schadens durch einen Cyberangriff beträchtlich senken.

Taktischer Vorteil
Unternehmen sollten eine auf ihre Anforderungen und Bedürfnisse abgestimmte Sicherheitsstrategie erarbeiten. Zunächst ist zu bewerten, welche Informationen, Prozesse und Systeme für die Firma essenziell sind. Ist dies klar, kann man unter Einbeziehung einer vernünftigen Risikoabwägung die Sicherheitsstrategie festlegen.

Deren Umsetzung beginnt mit der Betrachtung des Ist-Zustands. Oft nutzen Unternehmen nicht alle Ressourcen, die ihnen zur Verfügung stehen. Doch „Cyber Defense“ – die Abwehr IT-gestützter Angriffe – ist weit mehr als die Beschaffung von Tools. Es geht um die effiziente und wirkungsvolle Verknüpfung von Technologie, Prozessen und Menschen mit den richtigen Fähigkeiten.

Spurensuche im Datenberg
Je mehr Informationen nutzbar sind, desto besser ist der Überblick über die Bedrohungslage und desto größer ist die Chance, Angriffe zu erkennen und abzuwehren. Manche Unternehmen sammeln Ereignisdaten in großem Umfang, jedoch zu unterschiedlichen Zwecken und damit leider auch in verschiedenen Datentöpfen. Diese Datensilos behindern die optimale Nutzung des Datenbestands zur effektiven Verteidigung – Zeit also, sie niederzureißen.

Die Konsolidierung von Datenbeständen ist der erste Schritt, Daten auswertbar zu machen der zweite. Entscheidend dabei ist, dass die verwendete Technologieplattform die Handhabung großer Datenmengen unterstützt. Dies ermöglicht eine Verdichtung der Informationen, um die wichtigen Ereignisse vom Grundrauschen zu trennen.

Ereignisse müssen miteinander verknüpft sein, damit man sie in einen gemeinsamen Kontext setzen kann. Dies ist Aufgabe einer Analyseplattform. Die Herausforderung liegt hier in derFülle der Datenformate und der Vielschichtigkeit der Analysemethoden. Neben konventionellen deterministischen Verfahren sollte sie auch verhaltensbasierte Ansätze beinhalten, um das volle Potenzial entfalten zu können.

Bis hierhin ist alles Technik. Dann kommt der Faktor Mensch ins Spiel, denn die von der automatisierten Analyse generierten Erkenntnisse münden in Alarme, die einer Untersuchung und Behandlung durch entsprechend geschultes Personal bedürfen – besonders dann, wenn Verdachtsfälle auf sogenannte APTs (Advanced Persistent Threats: gezielte, langanhaltende Angriffe) hindeuten.

Für weniger komplexe Szenarien, die gut zu definieren sind und eine sehr geringe Fehlerquote (False Positives) aufweisen, kann eine IT-Organisation auch automatisierte Response-Maßnahmen ergreifen. Fällt auf einem Laptop beispielsweise die Ausführung von Schadcode auf, kann man den betroffenen Client ohne manuelle Intervention per Integration von Erkennungsplattform und NAC-System (Network Access Control) unter Quarantäne stellen. Gerade bei Ransomware-Vorfällen kann diese Automation den zeitlichen Vorsprung verschaffen, der verhindert, dass Schaden durch die Verschlüsselung von Unternehmensdaten auf zentralen Laufwerken entsteht.

SOC – Netz und doppelter Boden
Die folgende Grafik zeigt, welche Aspekte die Gesamtheit eines Security Operation Centers ausmachen und in welche Reifegrade sich ein SOC einordnen lässt.

Reifegrad-Roadmap eines Security Operations Centers (SOCs). Bild: IT-Cube Systems

Reifegrad-Roadmap eines Security Operations Centers (SOCs). Bild: IT-Cube Systems

Die Konzeption eines SOCs lässt sich in folgende Kategorien unterteilen, die wiederum einzelne Funktionsbausteine beinhalten:

* Security und Design: Definition der strategischen Ausrichtung und der Mission des SOCs. Sie richten sich an der Gesamtstrategie des Unternehmens oder der Organisation aus und unterstützen diese. Daraus leitet man die Funktionsdefinitionen im Detail ab.
* Governance: Definition der für die Steuerung des SOCs notwendigen Metriken und Kennzahlen (KPIs), anhand derer auch die Weiterentwicklung des SOC erfolgt.
* Commercial: Betriebswirtschaftliche Betrachtung des SOCs und Definition von Verrechnungsmodellen.
* Processes: Die Basis eines SOCs bildet ein Prozessgerüst, das die Messbarkeit und Reproduzierbarkeit von Ergebnissen sicherstellt.
* People: Definition der zu besetzenden Rollen und zugehörigen Fähigkeitsprofile sowie die zur Leistungserbringung notwendige Ressourcenplanung.
* Tools und Applications: Definition der Anforderungen an die Tool-Landschaft sowie Auswahl und Integration der entsprechenden Lösungen.
* Infrastructure: Spezifikation der Anforderungen an die SOC-Infrastruktur sowie deren Umsetzung. Dies umfasst neben Gebäuden und RZ-Ressourcen jegliche weitere Infrastruktur, die nicht Teil von Tools und Applikationen ist.
* Relationships: Vernetzung und Informationsaustausch ist für ein SOC essenziell, um Änderungen der spezifischen Bedrohungslage erkennen zu können Hier wird spezifiziert, mit welchen Organisationen ein Informationsaustausch erfolgt.

Die Etablierung eines leistungsfähigen und auf den Bedarf der Organisation abgestimmten SOCs ist ein schrittweiser Prozess. Anhand möglicher Bausteine aus der Kategorie Tools und Applications lässt sich der Weg innerhalb des Reifegradmodells gut aufzeigen. Als Basis für den Bau eines SOCs stehen Lösungen wie ein zentrales Log-Management oder ein zentrales Security-Device-Management zur Wahl. Die technischen SOC-Basisfunktionen bilden darauf aufbauend ein SIEM-System (Security-Information- und Event-Management) und Lösungen zur Visualisierung des Netzwerks und der Bedrohungen. Ist das Basis-SOC in den Regelbetrieb überführt, kann man die Tool-Landschaft um Lösungen zum Schwachstellen-Management und zur verhaltensbasierten Erkennung von Bedrohungen ergänzen. Ein abschließender Schritt auf dem Weg zu einem fortschrittlichen SOC ist die Integration von Plattformen für automatisierte Response-Maßnahmen.

Aufbau eines fortschrittlichen SOCs mit automatisierter Incident Response. Bild: IT-Cube Systems

Aufbau eines fortschrittlichen SOCs mit automatisierter Incident Response. Bild: IT-Cube Systems