Im letzten News-Blog lasen Sie, warum ein SOC eine sinnvolle Lösung ist und welche Vorteile diese IT-Sicherheitszentrale hat. Im aktuellen Artikel erfahren Sie mehr Details rund um das SOC. Welche Rollen und Modelle gibt es? Was sind die Aufgaben und die Werkzeuge eines SOC und wie gelingt eine kontinuierliche Verbesserung?
Rollen in einem SOC
Den Spezialisten in einem SOC sind verschiedenen Rollen zugeordnet:
- Analysten in verschiedenen Tiers (Klassen/Klassifizierungen)
- Tier 1: Monitoring, Priorisierung und Kategorisierung von Alarmen
- Tier 2: Tiefere Analyse, Korrelation, Strategie für Behebung/Eingrenzung
- Tier 3: Aktive Suche nach Schwachstellen, Unterstützung von Tier 2
- Engineers zur Unterstützung des SOC-Betriebs (z. B. Software-Pflege)
- Architects für das Lösungsdesign (z. B. Zusammenwirken der Werkzeuge)
- SOC Manager/SecOps Lead als Führungsebene (fachliche und personelle Koordination)
- CISO oder VP IT-Sicherheit (nicht Teil des SOC, aber gesamtverantwortlich für die Informationssicherheit des Unternehmens)
Modelle für ein SOC
Es gibt verschiedene Modelle, ein SOC zu betreiben bzw. SOC-Services in einem Unternehmen bereitzustellen. Diese lassen sich (grob) in folgende Varianten einteilen:
Eigenbetrieb:
Systeme stehen im Unternehmen;
Betriebsmannschaft stellt das Unternehmen.
Fremdbetrieben:
Systeme stehen entweder im Unternehmen oder dediziert beim Dienstleister;
Betriebsmannschaft wird vom Dienstleister gestellt.
SOCaaS (SOC as a Service, Cloud-SOC, SOC in der Cloud):
Kunde abonniert SOC-Services;
Systeme (nicht-exklusiv) stehen beim Dienstleister;
Betriebsmannschaft (nicht-exklusiv) wird vom Dienstleister gestellt.
Dazu gibt es Mischformen und diverse Kombinationen; je nachdem, was für die individuellen Anforderungen des Kunden passend ist. Die Anbieter kommen oft aus Nordamerika. Es gibt aber auch rein in Europa angesiedelte Dienstleister.
Aufgaben eines SOC
Die grundlegenden Aufgaben in einem SOC sind im Allgemeinen:
- Monitoring (ideal: 24x7, Threat Detection)
- Klassifizierung und Alarmierung bei Vorfällen
- Regelmäßige Statusreports, Einschätzung der Gesamtlage der IT-Sicherheit im Unternehmen
- Aktive Suche nach Schwachstellen (Vulnerability Management)
- Aktive Suche nach Einbruchspuren (Threat Hunting)
- Compliance Management
- Oft auch CSIRT-Aufgaben: Incident Response
Daneben kann ein SOC viele weitere Aufgaben im Bereich IT-Sicherheit übernehmen, dies kann individuell nach Kundenanforderungen entschieden und umgesetzt werden.
Kontinuierliche Verbesserung
Auch bei einem SOC kommt der aus der Qualitätssicherung bekannte „Plan – Do – Check – Act“ (PDCA) Deminkreis zum Einsatz. Insbesondere bei der Incident Response wird alternativ auch der OODA-Zyklus (Observe, Orient, Decide and Act) eingesetzt, der leicht andere Schwerpunkte setzt.
Beiden gemein ist aber der zyklische Aufbau, mit dem eine kontinuierliche Verbesserung angestrebt wird. Dies ist genau die Zielsetzung des SOC: Die IT-Sicherheit des Unternehmens beständig zu verbessern und IT-Sicherheit als Teil aller Unternehmensprozesse zu sehen. Ähnlich wie das Thema Qualitätssicherung in allen Unternehmensprozessen präsent ist, muss auch das Thema IT-Sicherheit – oder allgemeiner auch Informationssicherheit – in allen Unternehmensabläufen integriert sein.
Werkzeuge eines SOC
In einem SOC werden eine Reihe von spezialisierten Tools eingesetzt. Zentral ist meist ein Security Information and Event Management (SIEM), welches alle Statusmeldungen der IT-Systeme sammelt und Zusammenhänge darstellt. Der Grad der Automatisierung und die genutzten Methoden unterscheiden sich von System zu System, ggf. wird für tiefergehende Analysen auf Cloud-Ressourcen zurückgegriffen. Entwicklungen wie User and Entity Behavior Analytics (UEBA) und Security Orchestration, Automation and Response (SOAR) helfen, die ständig steigende Menge der Statusmeldungen nach denjenigen zu durchsuchen, die auf verdächtige Vorgänge hinweisen.
Mit Endpoint Detection and Response (EDR) rücken auch die Endgeräte wieder stärker in den Fokus. Aber „the truth is on the wire“, daher ist Network Detection and Response (NDR) auch Teil des Werkzeugkastens in einem SOC. Die drei zentralen Techniken SIEM, EDR und NDR werden auch als SOC Visibility Triad bezeichnet. Aus dem Sport wurde der Begriff der „Runbooks“ übernommen, mit denen Verfahren und Reaktionen auf bestimmte Ereignisse geplant werden – eben die „Spielzüge“ eines SOC als Reaktion auf die sich ändernden Taktiken der Angreifer. Diese werden als Tactics, Techniques and Procedures (TTP) konstant analysiert, um so schnell wie möglich auf neue Angriffsmuster reagieren zu können.
Wie kann DOK SYSTEME beim Thema SOC unterstützen?
DOK SYSTEME kann Sie z. B. unterstützen
- bei der Aufnahme des Ist-Standes der IT-Sicherheit im Unternehmen, inkl. Cloud-Zugang
- mit einer Analyse und der nachfolgenden Empfehlung für ein passendes SOC-Betriebsmodell
- im Zuge einer Ausschreibung von SOC-Dienstleistungen und SIEM-Systemen in allen Teilen des kompletten Vergabeverfahren
An Ihrer Seite stehen IT-Sicherheitsspezialisten der DOK SYSTEME, die mit ihren Fachkenntnissen (z. B.: ISO 27001 und BSI IT-Grundschutz, CISSP, operative Erfahrung mit IT-Sicherheitssystemen großer Hersteller) bei verschiedensten Fragestellungen helfen können.
Gemäß unserem ganzheitlichen Ansatz kann DOK SYSTEME Ihnen natürlich auch gern bei Fragen zur physischen Sicherheit behilflich sein (z. B. in Bezug auf Zutrittskontrollen, Personenschleusen, Meldeanlagen) – denn physische Sicherheit ist eine wichtige Grundlage für die Gesamtsicherung des IT-Systems/Rechenzentrums.
Jochen Kmietsch
Senior Consultant | CISSP |
jochen.kmietsch@doksysteme.de