Security Operations Center
Das Security Operations Center (SOC) (deutsch etwa „Sicherheitsbetriebszentrum“) ist eine zentrale organisatorische Einheit, in der alle sicherheitsrelevanten Services im IT-Umfeld von Organisationen oder Unternehmen vor internen und externen Gefahren geschützt werden[1]. Die Aufgabe dieser Einheit ist eine Sicherheitsdienstleistung zur Vorbeugung gegen alle Cyberrisiken. Das beinhaltet die Hardware und Software zur Verwaltung des Sicherheitssystems (Technischer Bereich) ebenso wie das eingesetzte Personal (Organisatorischer Bereich). Während ein Network Operations Center (NOC) der zentralen Betriebsüberwachung und -unterstützung eines Netzwerks dient, schützt das SOC diese Systeme. Geschützt werden neben den Unternehmensnetzwerken, Servern und Arbeitsplatzrechnern zunehmend auch die Cloud- und Internetservices. SOC vereint die drei Teilbereiche Menschen, Prozesse und Technologien um die Sicherheitslage einer Organisation zu steuern und zu verbessern.[2]
Ein SOC kann sowohl innerhalb einer Organisation als eigenständige Einheit geführt werden, oder das SOC ist ein externer Dienstleister, der den Sicherheitsservice erbringt. SOC stellt kontinuierlich 24 Stunden am Tag und für 365 Tage im Jahr die Sicherheit der IT-Plattformen sicher und analysiert alle relevanten Informationen. Die operativen Verwaltungsprozesse, die das SOC steuern, analysieren ständig das Restrisiko und bieten auch Schutz vor Einbruch durch vorübergehende Sicherheitslöcher. Da die Verwaltung von Netzwerk-Sicherheit eine Tätigkeit ist, die viel Zeit und Personal erfordert, ziehen es Unternehmen oft vor, den Dienst auszulagern bzw. an andere Unternehmen zu übertragen, die im Bereich der Informationssicherheit spezialisiert sind. Solch einem Sicherheitspartner die Verwaltung der Sicherheit des eigenen Firmennetzwerks anzuvertrauen, führt zu einer erheblichen Kostensenkung, damit sich das Unternehmen auf das Kerngeschäft konzentrieren kann. Der Sicherheitspartner muss dazu besonders qualifiziertes Sicherheitspersonal bereitstellen. Die Dienstleistung besteht unter anderem aus dem kontinuierlichen Überwachen der Tätigkeiten der Firewall, IDS, der Analyse der Logfiles, Überwachung der Antivirusprogramme und das identifizieren kritischer Schwachstellen[3]. Es handelt sich hierbei um sehr spezielle Arbeitsvorgänge, daher ist es erforderlich, dass die Mitarbeiter ständig auf dem neuesten Stand bleiben, um das Wissen über Technologien und die angewandten Methoden zu erhalten und zu vertiefen.
Ein SOC alarmiert über das Sicherheitsproblem, sorgt aber selbst nicht für die Behebung, für die weiterhin der Kunde oder andere Einheiten verantwortlich sind.[4]
SOC-Dienstleistungen
BearbeitenFolgende Dienstleistungen werden von einem SOC angeboten:
- Analyse und Verwaltung der Systeme und Techniken der IT-Sicherheit
- Security-Device-Management
- Reporting und zentrales Log-Management
- Security-Alert
- Denial of Service DDoS-Schadensbegrenzung
- Security-Assessment
- Technische Hilfe
Analyse und Verwaltung der Systeme und Techniken der IT-Sicherheit
BearbeitenDieser Dienst hat die proaktive und dauerhafte Analyse der Systeme und Techniken der IT-Sicherheit zum Ziel (IDS, IPS, Firewall etc.). Die Anti-Intrusions-Systeme ermöglichen die zentrale Verwaltung von Informationssicherheits-Praktiken, damit potenzielle Angriffe auf den Computer und dem Internet und Intranet identifiziert werden können. Das hierfür beauftragte Personal ist in der Regel sehr spezialisiert und qualifiziert, daher müssen z. B. Sicherheitsanalysten nur die Funktionen der Monitoring-Tools kennen, statt die umfangreiche Gesamtausstattung der Sicherheitsvorkehrung. Die Skalierbarkeit der Hilfsmittel des SOC ist ein weiterer entscheidender Faktor; so ist es zum Beispiel relativ einfach möglich, ein neues IDS (Intrusion Detection System) zu den bereits bestehenden hinzuzufügen. Oft verwaltet das SOC auch einen Teil des Policy-Managements, das z. B. die Rekonfigurierung der Sicherheits-Ausrüstung berücksichtigt. Die ursprüngliche Konfiguration der Geräte und die Sicherheits-Politik müssen ständig aktualisiert werden, indem die Entwicklung des Netzwerks des Kunden verfolgt werden.
Security-Device-Management
BearbeitenDas Security-Device-Management (SDM) entwickelt sich insbesondere um die zwei wichtigsten Prozesse:
- Fault Management
- Configuration Management.
Fault Management
BearbeitenDas Hauptziel des Fault Management ist es, den optimalen und kontinuierlichen Betrieb der Sicherheitsinfrastruktur zu garantieren. Diese Aktivitäten umfassen:
- die ständige Überwachung der Sicherheitsausrüstung des Kunden durch das SOC
- Erkennung und Alarm bei Fehler (Faults)
- Ermittlung der nötigen Maßnahmen zur Abhilfe
- Umsetzung der entsprechenden Maßnahmen
- die Wiederherstellung für den Fall von Verlusten
Configuration Management
BearbeitenDas Hauptziel des Configuration Managements ist es, die stetige Anpassung der Firewall-Strukturen an die Bedürfnisse des Kunden zu gewährleisten. Es deckt alle Geräte ab, die vom SOC verwaltet werden. Das Configuration Management umfasst die Tätigkeiten der Konfigurierung und passt Policy-Filter oder Autorisierungen zum Fluss des Datenverkehrs von einer externen zu einer internen Quelle (oder umgekehrt) an. Dieses geschieht auf der Grundlage von:
- Adresse der Quelle
- Adresse der Bestimmungsstelle
- Netzwerk-Protokoll
- Service-Protokoll
- Protokollierung von Verkehrsdaten.
Reporting und zentrales Log-Management
BearbeitenDie Log-Dateien von Konsolen oder eingesetzten Geräten werden normalerweise sorgfältig analysiert und wiederaufbereitet, damit sie für den Kunden leicht verständlich gemacht werden. Dieses Reporting ist besonders wichtig, denn neben den Einzelheiten über eventuelle Eindringungsversuche von nicht berechtigten Einheiten oder über unvorhergesehene Schwierigkeiten, die im Reporting-Zeitraum sichtbar wurden, erlaubt es dem Kunden, Vorsorgemaßnahmen vornehmen zu können. Das zentrale Log-Management sammelt dazu Systemlogs der verschiedenen eingesetzten Systeme auf einer zentralen Loggingplattform ein. Dabei ist ein einfaches Weiterleiten benötigter Logs an Systeme wie SIEM möglich.
Security-Alert
BearbeitenDie Dienstleistung des Security-Alert wurde entwickelt, um den Kunden schnellstmöglich die Entdeckung neuer Sicherheitslücken mitzuteilen, damit diese zeitnah die erforderlichen Gegenmaßnahmen umsetzen können.
DDoS-Schadensbegrenzung
BearbeitenDie DDoS-Schadensbegrenzung hat zum Ziel, die Folgen eines Angriffs der Art „Distributed Denial of Service“ zu mindern. Die Aufgabe dieser Dienstleistung ist, die korrekte Einleitung von erforderlichen Maßnahmen zum Schließen der Sicherheitslücke zu gewährleisten, wenn ein Kunde ein Alarmanzeichen erhalten hat. Die anzuwendenden Gegenmaßnahmen werden bewertet und ein Bereinigungsprozess und eine eventuelle Umleitung des Datenverkehrs in die Wege geleitet.
Security-Assessment
BearbeitenEinige Elemente, die normalerweise Bestandteil der Aktivitäten des Security-Managements sind:
- das Vulnerability-Assessment
- der Penetrationstest.
Vulnerability Assessment
BearbeitenDas Vulnerability Assessment bzw. Schwachstellenmanagement ist entwickelt worden, um erkannte Schwachstellen der Systeme und der auf ihnen installierten Services zu identifizieren. Eine solche Aktivität erfolgt mit Hilfe spezifischer Technologien; sie werden für jedes Assessment einzeln konfiguriert, verbessert und personalisiert. Das Schwachstellenmanagement ist sehr wichtig, da fast alle Cyberangriffe Schwachstellen oder Fehlkonfigurationen ausnutzen, um ihr Ziel zu erreichen[5].
Penetrationstest
BearbeitenDer Penetrationstest wird durchgeführt, um bekannte oder noch unbekannte Schwachstellen des Systems, der Services und der Web-Anwendungen zu identifizieren. Penetrationstests sind in der Lage, auf sehr effektive Art und Weise das Niveau einer bestimmten Sicherheitsbedrohung sowie die entsprechende Einschätzung der Auswirkung hervorzuheben. Eine solche Aktivität wird mit Hilfe einer großen Anzahl von Technologien, die für jede Bewertung konfiguriert, verbessert und personalisiert werden, aber auch auf manuelle Art und Weise für jeden Service, jedes System und jede Anwendung durchgeführt[6].
Technische Hilfe
BearbeitenIm Allgemeinen kann das SOC dem Kunden auch spezielle technische Unterstützung für alle Funktionsprobleme, Systemverletzungen, aber auch Neuerungen und Konfigurationen für Sicherheitshard- und -software bieten. Die technische Hilfe zum Lösen der genannten Probleme kann aus der Entfernung oder vor Ort je nach Problemstellung und Vertragsausgestaltung zwischen den Vertragspartnern umgesetzt werden.
Siehe auch
BearbeitenEinzelnachweise
Bearbeiten- ↑ Was ist ein Security Operations Center (SOC)? Vogel IT-Medien GmbH, 22. Juni 2017, abgerufen am 12. Februar 2024.
- ↑ Manfred Vielberth, Fabian Bohm, Ines Fichtinger, Gunther Pernul: Security Operations Center: A Systematic Study and Open Challenges. In: IEEE Access. Band 8, 2020, ISSN 2169-3536, S. 227756–227779, doi:10.1109/ACCESS.2020.3045514 (ieee.org [abgerufen am 5. Februar 2021]).
- ↑ Security Operations Center (SOC) als Dienstleistung. Vogel IT-Medien GmbH, 4. April 2017, abgerufen am 16. Februar 2024.
- ↑ Security Operations von Innen. Heise Medien GmbH & Co. KG, 2. November 2009, abgerufen am 12. Februar 2024.
- ↑ Schwachstellenmanagement mit OpenVAS und der Greenbone Community Edition (GCE). Bundesamt für Sicherheit in der Informationstechnik (BSI), 1. August 2023, abgerufen am 12. Februar 2024.
- ↑ IS-Penetrationstest und IS-Webcheck. BSI, abgerufen am 16. Februar 2024.