Anforderungen an ein SOC

Security-Leitstelle

27. April 2018, 7:00 Uhr | Tim Cappelmann

WannaCry, Meltdown, Spectre - Cyber-Angriffe werden komplexer, die Folgen teils gravierender. Laut aktuellen Umfragen stufen deutsche Unternehmen Cyber-Vorfälle langfristig als die größte Bedrohung für ihr Geschäft ein. Ein Security Operations Center (SOC) wird so im Ernstfall zum echten Wettbewerbsvorteil.

Sicherheitsvorfälle haben viele Gesichter. DDoS-Angriffe, DNS-Spoofing oder Phishing - Angriffe nutzen unterschiedliche Vektoren, immer häufiger sind sie zielgerichtet. IT-Security-Werkzeuge wie Firewall, Schadcode-Scanner oder IDS (Intrusion-Detection-System) reichen nicht mehr aus, um einen umfassenden Schutz zu gewährleisten. Die Einführung eines Security Operations Centers ist ein wirksames Mittel, um die IT-Sicherheit zu erhöhen: In der rund um die Uhr besetzten Schaltzentrale haben Sicherheitsexperten die Bedrohungslage im Blick. Kurze Reaktionszeiten verhindern, dass sich gezielte Angriffe im System ausbreiten und Schaden anrichten können.

Doch viele Verantwortliche haben Vorbehalte. Sind Datenschutz- und Betriebsvereinbarungen mit dem Betrieb einer solchen Einrichtung konform oder können Konflikte auftreten? Diese Bedenken stehen einer SOC-Einführung ebenso im Weg wie ein zu starker Technikfokus oder ausgeprägtes Hierarchiedenken. Getreu dem Motto "Viele Köche verderben den Brei" kommt es zu Interessenskonflikten, wenn zu viele Interessensvertreter beteiligt sind. Während sich beispielsweise ein Security Officer vor allem dafür einsetzt, dass Compliance-Vorgaben eingehalten werden, stehen für den CIO Organisationsrisiken und Security-Trends im Vordergrund. Nicht zuletzt deshalb ist es sinnvoll, ein SOC als eigene Organisationseinheit zu implementieren, im Idealfall als Stabsstelle. Denn die Erfahrung zeigt, dass Schwierigkeiten auftreten, wenn man in bestehenden Hierarchien neue Ablauforganisationen einführt.

In der Regel entsteht ein SOC nicht auf der "grünen Wiese". Deshalb gilt es, die bestehenden Prozesse und IT-Gewerke zu integrieren. Dies führt anfangs womöglich zu einigen Stolpersteinen, wenn verschiedene Systeme aufeinandertreffen. Nicht selten steht deshalb zunächst das Angleichen von Sprachumgebungen oder Dateiformaten auf der Agenda.

Natürlich müssen sich Kosten und Nutzen bei Einführung und Betrieb eines SOCs immer die Waage halten. Besonderen Stellenwert hat deshalb der Fokus des Teams auf einige wenige Kernaufgaben, jedoch mit einem hohen Qualitätsanspruch. Das Aufgabenspektrum reicht vom Monitoring von Datenquellen über das Erheben von Kennzahlen und die Echtzeitanalyse von Einbrüchen bis zum Reporting des Security-Status. Nur ein 24/7-Betrieb gewährleistet maximale Effizienz und Sicherheit. Ein SOC-Team setzt sich im besten Fall aus First- und Second-Level-Analysten zusammen. Ist es einem Unternehmen nicht möglich, diese selbst zu stellen, lohnt es sich gegebenenfalls, einen Dienstleister hinzuzuziehen.

Absolute Transparenz sowie revisionssicheres Agieren sorgen für Akzeptanz und vermeiden Konflikte, etwa mit dem Datenschutzbeauftragten. Voraussetzung dafür ein Regelwerk, das die Verantwortlichen im Vorfeld festlegen: Das Team muss jeden Arbeitsschritt sauber dokumentieren, und eine Verschwiegenheitsvereinbarung hält jeden einzelnen dazu an, keine Informationen an Unbefugte weiterzugeben. Das gilt für interne wie auch für externe Mitarbeiter. Gegebenenfalls sind Berechtigungen auf ein Minimum zu beschränken. Auch die Anonymisierung gewisser Daten sollten die Beteiligten in Betracht ziehen. All diese Maßnahmen erarbeitet das Team im Schulterschluss mit dem Datenschutzbeauftragen.

Erfolg oder Misserfolg eines SOCs hängen auch von der Kommunikation im Falle eines Incidents ab. Sie muss klar geregelt und vor allem der Situation entsprechend professionell sein. Im Zweifelsfall lohnt es sich, ein Computer Emergency Response Team (CERT) zu implementieren. Das CERT als separate SOC-Einheit konzentriert sich auf die umgehende Reaktion auf Angriffe, während im SOC die Überwachung der Bedrohungslage im Vordergrund steht.

Beim Aufbau eines SOCs ist es sinnvoll, ein Leitbild (Mission Statement) zu formulieren. Darin festgehalten: das zentrale Ziel der Organisationseinheit und wie dieses erreichbar ist. Jedes SOC hat als Kernaufgabe das Erkennen und Verhindern von Cyber-Angriffen. Dazu bedarf es kontinuierlicher Bedrohungsanalysen, Scans von Hosts und Netzwerk auf Verwundbarkeiten und eines Monitorings von Datenquellen wie IDSs oder Firewalls. Dafür kommen verschiedene Tools zum Einsatz. Im Zentrum stehen die SIEM- (Security-Information- und Event-Management) und die Risiko-Management-Konsole.

Der SOC-Betrieb ohne ein SIEM ist heute nicht möglich. Das SIEM lässt sich zusätzlich mit Meldungen von öffentlichen CERTs, CVE-Datenbanken, bekannten Exploits etc. bestücken. Darüber hinaus stehen, zum Beispiel von Kaspersky, zahlungspflichtige sowie kostenfreie Informationskanäle (Feeds) zur Verfügung. Der IoC-Austausch (Indicator of Compromise, Kompromittierungsindikator) kann automatisiert durch das SIEM und angeschlossene Feeds erfolgen.

Rundumsicht

Die Kollegen des SOCs sind außerdem dafür zuständig, das CERT-Team auszusteuern: Gewisse Aufgaben wie etwa einen vollständigen Antivirenscan delegieren sie, um sich voll auf die aktuelle Bedrohungslage zu konzentrieren. Die Analysten des SOC-Teams sind im Angriffsfall diejenigen, die Handlungsempfehlungen aussprechen.

Ein Risiko-Management-Werkzeug erhöht die Effizienz eines SOCs. Jede Analyse findet im Kontext der betroffenen IT-Assets statt. Dazu müssen die Spezialisten die Angriffsfläche der zu schützenden Architektur kennen. Ein derartiges Werkzeug verarbeitet unter anderem Asset-Daten, Daten des Schwachstellenscanners, Patches und Releases sowie weitere Angaben zu Schwachstellen und Exploits. Der Vorteil eines solchen Tools, wie es beispielsweise Skybox Security anbietet, ist die Ende-zu-Ende-Sicht auf das gesamte System. Es überblickt sämtliche Kommunikationsbeziehungen und deren Wechselwirkungen. Ein Ampelsystem macht Schwachstellen sofort sichtbar und klassifiziert sie nach Relevanz.

Ein Operator hat die beiden Kernbausteine stets im Blick. Zu seinen Aufgaben zählt es, die Event-Daten des SIEM-Systems zu korrelieren. Das System ordnet einen Angriff zunächst als kritisch oder unkritisch ein. Ist er kritisch, überprüft der Operator, ob er grundsätzlich zum Ziel passt: Ist der beteiligte Kommunikationspartner verwundbar gegen diese Angriffsart? Dann gilt es, verdächtige Folgeaktivitäten zu prüfen. In diesem Fall ist der Operator in der Pflicht, umgehend die entsprechenden Mitarbeiter zu informieren und eine Handlungsempfehlung zu schreiben.

Ein externes SOC muss dabei wirkungsvoll priorisieren und eine vollständige Root-Cause-Analyse durchführen. Nur so bleiben interne Ressourcen der IT-Abteilungen vor zu vielen Rechercheaufträgen und Fehlalarmen (False Positives) verschont.

Zentrales Element für den SOC-Betrieb ist ein Ticketsystem. Es bildet IT-Management-Prozesse ab und erleichtert es, SOC-Bausteine darauf aufzubauen. Eine weitere Kernaufgabe des SOCs ist die forensische Beweissicherung. Die Experten im SOC-Team sichern nach einem Vorfall umgehend relevante Daten, die idealerweise gerichtsverwertbar sind. Um forensisch immer auf dem aktuellen Stand zu sein, empfiehlt es sich, einen PDCA-Zyklus (Plan, Do, Check, Act) einzuführen: Das Team baut ein Management-System auf, implementiert es, überprüft es durch laufende Überwachung und optimiert es oder beseitigt auftretende Mängel.

Weitere SOC-Aufgaben sind das ISMS-Reporting (Information-Security-Management-System) sowie die Überprüfung der wichtigsten Leistungsparameer (Key-Performance-Indikatoren, KPIs) und dementsprechend auch der SOC-Performance. Der ISMS-Betrieb ist obligatorisch und als strategische IT-Security-Maßnahme zu begreifen. Die gelieferten Kennzahlen sorgen dafür, dass ein SOC steuerbar bleibt.

Tim Cappelmann ist Leiter Managed Services bei AirITSystems, www.airitsystems.de.