Sicherheit aus neuer Perspektive - Teil 4
Security Operation Center im Einsatz
Die wachsende Zahl sicherheitsrelevanter Meldungen und Logfiles in einer Organisation und der Zwang, notfalls schnell reagieren zu müssen, legen den Aufbau eines zentralen Sicherheitsleitstands mit angegliedertem Projektmanagement-Team nahe.
Ein Sicherheitsleitstand oder "Security Operation Center" (SOC) verarbeitet die
sicherheitsrelevanten Meldungen und Vorkommnisse ("Events") in einer Organisation zentral und
korreliert sie, um die richtigen Reaktionen zu veranlassen. Die Funktion ähnelt der der Leitstelle
eines Rettungsdienstes, dessen Aufgaben von der Entgegennahme der Notrufe über das Heranführen der
zuständigen Spezialkräfte bis zur Koordinierung mit anderen Dienststellen reichen. So lässt sich
für einen Sicherheitsleitstand folgendes Aufgabenprofil festlegen:
Sammeln der Security-Events aus diversen Quellen,
Korrelieren und Priorisieren der Events,
Kategorisieren und Auswahl geeigneter Abwehrmaßnahmen,
Information der beteiligten Abteilungen und Heranführung des zuständigen
Eingreifpersonals, wobei die Infrastrukturpläne des logischen und physikalischen Netzes
herangezogen werden müssen,
Einschalten von Cyber Emergency Response Teams (CERTs) und IT-Forensikern bei
Anzeichen von kriminellen Aktivitäten, Vandalismus oder bewusster Schädigung,
Verwaltung von Informationen über besondere Betriebszustände wie etwa
Wartungsintervalle,
Notfallübungen durchführen,
Security-Policies und Prozeduren erarbeiten und einführen und
Response-Zeiten bei Vorfällen messen und optimieren.
Wie die Mitarbeiter einer Rettungsleitstelle, die bei einem Unfall nicht vor Ort tätig werden,
übernehmen die Angehörigen eines SOCs keine Reparatur-, Installations-, Wartungs- oder
Pflegeaufgaben direkt am betroffenen Objekt - es sei denn, der Vorfall ist so schwerwiegend, dass
daraus Folgen für die gesamte Arbeit des Centers oder geschädigten Organisation erwachsen.
Die Mitarbeiter eines Sicherheitsleitstands müssen selbst über umfassendes und tiefgreifendes
Security-Know-how verfügen, und sie müssen Zugriff auf angegliederte Spezialkräfte haben, die auf
die denkbaren Vorfälle in der überwachten Organisation angemessen reagieren können.
Teams oder Spezialisten folgender Fachgebiete müssen deshalb ein SOC ergänzen:
Security Emergency Response Teams (CERT oder SERT),
Network- und Computer-Forensik-Spezialisten,
weisungsbefugte Projektmanagement-Teams zur Durchsetzung von
Sicherheitsprojekten und
ein Test-Team mit Labor zur Erprobung neuer Sicherheitsverfahren und
-einrichtungen.
Weisungsbefugnisse notwendig
Ein SOC mit seinen Spezialkräften ist ein Papiertiger, wenn es nicht über die notwendigen
Befugnisse seitens der Geschäftsleitung verfügt. Es muss daher nicht innerhalb der IT- oder
IT-Security-Abteilung aufgebaut, sondern direkt beim Chief Security Officer (CSO) angesiedelt
werden, der seinerseits unmittelbar dem Vorstand oder der Geschäftsleitung unterstellt sein sollte.
CSO und SOC müssen mit allen notwendigen Befugnissen ausgestattet sein, auch um andere Abteilungen
wie den Werkschutz um Hilfe bitten zu dürfen. Außerdem muss das SOC mit so viel Macht ausgestattet
sein, das es sicherheitsrelevante Vorfälle (Innentäter, Hacking, Wirtschaftskriminalität) oder
Vorhaben anderer Abteilungen (Einführung neuer Techniken, ohne auf Verwundbarkeiten geprüft worden
zu sein) sofort bearbeiten oder sicherheitskritische Vorgänge ohne Einhaltung von
Entscheidungswegen sofort stoppen kann. IT-Projekte sollten beim Projekt-Management-Team des SOC
angemeldet werden, das sie auf mögliche Sicherheitsprobleme hin überprüft. Das Projektmanagement
gibt als "Legislative" außerdem Policies und Workflows für andere Abteilungen vor, während das SOC
die "Exekutive" vertritt - vergleichbar mit Polizeikräften, die bei Gefahr im Verzuge von vorher
festgelegten Befugnissen Gebrauch machen dürfen, um Schaden abzuwenden.
Technische Aspekte
Die für die Aufrechterhaltung eines gesicherten Netzwerks notwendigen Informationen nehmen in
vielen Fällen die Größenordnung von vielen GByte oder Millionen von Events an. Kein noch so großes
SOC ist in der Lage, diese Datenflut sinnvoll zu bewältigen. Zur Abhilfe gibt es
Security-Information-Managementapplikationen (SIM) wie das Computer Associates Security Command
Center (SCC) oder Arcsights ESM. Vom Workflow her orientieren sie sich an Verfahren, die im
militärischen Bereich als Network Centric Warfare (NCW) bekannt sind. Militärs nämlich kämpfen
ebenfalls mit einer Informationsflut aus unterschiedlichsten Quellen (AWACS, Aufklärung,
Geheimdienstinformationen, Elektronische Feedbacks etc.) und haben hierfür einen einfachen Workflow
entwickelt (siehe Abbildung).
Die Sensorenebene entspricht hierbei dem Output der Security-Assets, also den Logfiles. Da diese
von Asset zu Asset sowie in Inhalt, Format und Aussagekraft stark variieren, muss nach Empfang der
Events in der SIM-Applikation erst einmal dafür gesorgt werden, dass die Daten normiert werden und
revisionssicher im Urformat abgespeichert werden. Nach der Normierung der Daten werden irrelevante
Informationen herausgefiltert und eliminiert, die Daten werden "entrauscht". Danach müssen die
Daten ein Regelwerk durchlaufen, das entscheidet, wann ein Alarm ausgelöst wird. Dies kann
geschehen, wenn ein bestimmter Schwellwert überschritten wird, also zum Beispiel der Durchschnitt
herausgefilterter Viren oder die Rate fehlerhafter Logins sprunghaft ansteigt (Brute Force Attack),
prioritätsbehaftete Events auftreten (etwa IDS-Alarme höchster Priorität), bestimmte Aktivitäten
verstärkt geblockt werden müssen (etwa Portscans) oder wenn eine Kombination von Ereignissen zu
einem eigenen Event führt (beispielsweise Portscan plus IDS-Alarm).
Wissen schlägt Technik
Der Einsatz einer SIM-Applikation besteht aber nur zu 20 Prozent aus Technik, 80 Prozent sind
Wissen, Analyse und Planung. Selbst mit der Erarbeitung eines noch so klugen Regelwerks ist es
nicht getan, denn die SOC-Mitarbeiter müssen in die Lage versetzt werden, Ereignisse schnell zu
erkennen und festzustellen, woher sie stammen. Zusatzinformationen, die für die Steuerung der
Einsatzkräfte notwendig sind, sollten gleich mitgeliefert werden. Dies geschieht am besten durch
Webportale, die grafisch den Sicherheitszustand und die Alarme wiedergeben. Nur so lassen sich auch
unterschiedlichste Betrachtungsweisen für die unterschiedlichsten Rollen im Unternehmen
darstellen:
Vorstand/Geschäftsführung: globale, vereinfachte Sicht,
CSO: Übersicht der Gesamtsituation mit Trends und Statistiken,
SOC-Firewall-Leitstand: Übersicht aller Firewalls,
SOC-Intrusion-Leitstand: Übersicht aller IPS/IDS,
SOC-Malware-Leitstand: Übersicht aller Antivirensysteme,
SOC-Infrastruktur-Leitstand: Übersicht aller Assets und
SOC-Supervisor: Gesamtübersicht.
Um ein SOC erfolgreich zu betreiben, sind längerfristige Beratungen, Assessments und
detaillierte Planung notwendig. Schließlich muß das SOC auf eine Vielzahl von Information
zurückgreifen und reagieren können. Nicht nur die das Unternehmen betreffenden Informationen sind
hier relevant, sondern auch Informationen aus der Knowledgebase des SOCs (Best Practice, Incident
Handling Ticket System, Suchmaschinen und so weiter) und interne und externe Bedrohungen wie etwa
generell verfügbare Informationen aus der ganzen Welt (TV, Newsticker von Security-Herstellern und
ähnliches).
Beim Aufbau oder der Reorganisation eines bestehenden SOCs wird außerdem oft vieles an
vorhandenen Problemen erst aufgedeckt, und es werden eingespielte Verfahren in Frage gestellt.
Beides hilft, den Security-Level deutlich zu verbessern.
Lesen Sie mehr zum Thema
