Von einer Sicherheitsinformation zum tatsächlichen Alarm
So funktioniert die Risikoerkennung im Security Operations Center (SOC) (auch Cyber Defence Center genannt): Im ersten Schritt liefert die automatisierte Risikoerkennung viele Hinweise auf mögliche Sicherheitsrisiken. Die Kunst besteht dann darin, Informationen aus mehreren Quellen zu verdichten und die tatsächlich kritischen Events aus der großen Masse an Daten herauszufiltern. Dann müssen die Experten richtig reagieren: die Informationen aufbereiten, die richtigen Personen informieren oder alarmieren und schlussendlich kontrollieren, dass die gesetzten Maßnahmen zu einer erfolgreichen Gefahrenabwehr geführt haben. Hardware, Software, Sicherheitsexperten und funktionierende Notfallprozesse: All das wird in einem SOC gebündelt. Je nach Unternehmensgröße muss es 24 Stunden an 7 Tagen in der Woche verfügbar sein.
Die notwendigen Werkzeuge umfassen:
- Kontinuierliche Schwachstellenanalyse
- Netzwerk-Risiko-Erkennung basierend auf Signaturen und Verhaltensanalyse
- Logdaten-Analyse (Security Information and Event Management)
- Sandboxing für Email Attachments & Web Downloads (Advanced Persistent Threat Detection)
- Threat Intelligence
- Wissensdatenbank (Risiken und Lösungen) und
- Workflow-Management-System.
Das machen die Experten:
- Bewertung von Risikohinweisen aus der automatisierten Risikoerkennung
- Risikoerkennungswerkzeuge ständig an die aktuellen Gegebenheiten anpassen
- Kontextualisierung von Security Events in wirkliche Incidents
- Entwickeln, Implementieren und Optimieren von Risk Detection Usecases
- Integration von bereits existierenden Risk Detection Solutions
- Steuern der IT Risk Management Prozesse und Workflows
- Identifizieren, Sammeln und Zusammenführen von Threat Intelligence Daten
Die Expertenarbeit
Im Mittelpunkt der Expertenarbeit steht: Die richtigen Schlüsse ziehen. Sie lassen sich als Kombinationen aus verschiedenen Informationsquellen erkennen.
Ein SOC selbst aufbauen – so geht’s
Der Aufbau einer „Sicherheitszentrale“ muss gut geplant sein, schließlich handelt es sich um ein komplexes Zusammenspiel aus verschiedenen Einzelkomponenten.
- Was ist bereits im Unternehmen vorhanden? Eine erste Bedarfsevaluierung und Sichtung notwendiger Produkte und Lösungen ist der erste Schritt. Was soll überwacht werden und mit welchen Technologien? Welche Compliance Anforderungen sind zu beachten und von welchen Datenmengen ist die Rede?
- Sind die Detailplanungen und anschließenden Vertragsverhandlungen abgeschlossen, geht’s in die Umsetzung. Die angeschaffte Hard- und Software wird installiert. Die SOC-Mitarbeiter werden eingearbeitet und geschult. Prozesse für die Behebung der Risiken werden festgelegt. Ein Risiko-Workflow/Ticket System wird implementiert. Der Probebetrieb findet statt und die ersten Ergebnisse werden analysiert.
- Der Regelbetrieb schließt an. Die Experten analysieren die automatisiert erlangten Ergebnisse, verdichten die wichtigen Informationen zu tatsächlichen Alarmen, arbeiten bei Risikobehebungen mit anderen Abteilungen zusammen und übernehmen die Endkontrolle der gesetzten Maßnahmen. Wichtig ist, dass das Expertenknowhow immer uptodate ist. Regelmäßige Weiterbildungen in puncto Threat Landscape, neue Angriffsmethoden, neue Produktfeatures und Releases sind unerlässlich.
Selbst betreiben oder als „SOC as a Service“
Der Aufbau eines eigenen SOCs ist besonders für sehr große Unternehmen und öffentliche Einrichtungen geeignet. Die Alternative „SOC as a Service“, also die Inanspruchnahme eines externen Dienstleisters, sollte jedenfalls auch überlegt werden. Die Dienstleister liefern das Komplettset und liefern schnell Ergebnisse. Entscheidend für den einen oder anderen Weg zum SOC sind – neben strategischen Überlegungen – meistens auch die Kosten.
Zwei Beispiele
Ausgangspunkt
Das Risiko-Erkennungs-Modul „Network-based Intrusion Detection (NIDS)“ meldet einen verdächtigen Zugriff auf eine Internetseite mit Malware-Hintergrund.
Informationsverdichtung
Der Zugriff (Netzwerkverkehr, PCAP) wird im Detail analysiert, ebenso die Kritikalität der Internetseite. Firewall- und Proxy-Log-Daten des betroffenen IT-Systems werden berücksichtigt.
Ausgangspunkt
Das Risiko-Erkennungs-Modul „Security Information & Event Management (SIEM)“ meldet eine ungewöhnlich hohe Anzahl an Firewall-Deny-Meldungen von intern in Richtung Internet.
Informationsverdichtung
Datenverkehr und Verhalten des betroffenen IT-Systems werden analysiert. Download-Verhalten und Anti-Viren-Meldungen werden begutachtet. Das Ergebnis der letzten Schwachstellen-Analyse wird berücksichtigt. Weitere Analysemaßnahmen des Endgerätes werden mit der operativen IT eingeleitet.
Eine Beispielrechnung
Ein Unternehmen hat 5.000 Mitarbeiter, das heißt übersetzt in zwei für ein SOC wichtige Faktoren: Es gibt circa 5.000 IP-Adressen und 5.000 events-per-second (EPS).
Aufbau eines eigenen SOC
Der Aufbau eines eigenen SOCs in diesem Rahmen dauert erfahrungsgemäß 9 bis 12 Monate. In dieser Phase sind vor allem die internen Personalressourcen, die Anschaffung der Technologie, externe Consultingleistungen und der Aufbau von SOC-Mitarbeitern zu kalkulieren. Ab dem zweiten Jahr bestehen die hauptsächlichen Kostenblöcke aus Lizenzkosten für die Nutzung der Technologie und das SOC-Personal.
| Beschreibung | Kosten Anschaffung | Kosten jährlich |
|---|---|---|
| Technologie – RadarServices Cyber Security Detection Platform | EUR 300.000 | EUR 60.000 |
| Threat Intelligence | EUR 10.000 | |
| Consulting (extern) | EUR 20.000 | |
| Personal (interner SOC-Betrieb / Mindestszenario 5*12; 4 Mitarbeiter) | EUR 320.000 | |
| GESAMT – Interner SOC-Betrieb auf der technologischen Basis der RadarServices Cyber Security Detection Platform | EUR 300.000 | EUR 410.000 |
In diesem Szenario würde der finanzielle Aufwand im ersten Jahr also EUR 710.000 und im zweiten Jahr EUR 410.000 betragen.
Neben den Kosten: Sie brauchen Zeit!
„A fool with a tool is still a fool“ – ein Sprichwort, das besonders im Bereich Sicherheit bedacht werden kann, um sich nicht in falscher Sicherheit zu wiegen. Struktur, die Ressource „Zeit“ und ein echter Fokus auf den SOC-Aufbau und -Betrieb gehören zu den entscheidenden Erfolgsfaktoren. Am Ende muss alles funktionieren, wenn es einmal ernst wird.
SOC as a Service im Vergleich
Externe Dienstleister bringen in der Regel alle notwendigen Werkzeuge und Experten ebenso wie etablierte Prozesse mit. Damit ist der vollständige SOC-Betrieb abgedeckt. Kunden wählen die gewünschten Risikoerkennungsmodule und die Intervalle in denen Experten tätig werden: In diesem Beispiel gehen wir von täglichen Analysen aus. Es gibt im Regelfall keine Anschaffungskosten, sondern eine „Setup Fee“ die alle Anfangsaufwendungen umfasst. Die Arbeit des externen SOCs wird in einer „Testphase“ (Proof of Concept, POC) demonstriert.
| Beschreibung | Kosten Anschaffung | Kosten jährlich |
|---|---|---|
| POC (Proof of Concept, 3 Monate) | EUR 30.000 | |
| Setup Fee | EUR 70.000 | |
| Jährliche Service Fee | EUR 190.000 | |
| GESAMT – SOC as a Service | EUR 100.000 | EUR 190.000 |
In diesem Szenario würde der finanzielle Aufwand im ersten Jahr also EUR 290.000 bei der Wahl eines täglichen Intervalls betragen, in dem die Experten analysieren. Im zweiten Jahr ist mit EUR 190.000 bei täglichem Intervall zu rechnen. Inkludiert sind die Kosten für Experten, Maintenance und Threat Intelligence, exkludiert ist möglicher Consultingaufwand.
