Berichte über Sicherheitsprobleme mit IT-Systemen gehören mittlerweile zum festen Bestandteil der Nachrichten. Angesichts der aktuellen Lage der IT-Sicherheit geht es bei der Frage nach IT-Sicherheitsvorfällen nicht mehr um das „ob“, sondern nur noch um das „wann“ (Expect the breach); und dann vor allem um das „wie schnell“. Wie schnell werden die Vorfälle entdeckt und Gegenmaßnahmen eingeleitet?
"Cybercrime" als "Big Business"
Eine weitgehende Professionalisierung im Bereich der Angreifer, bis hin zu arbeitsteiliger Vorgehensweise samt Erfolgsgarantie für die „Dienstleistung“, führt in Verbindung mit stetig zunehmender Vernetzung zu mehr Sicherheitsvorfällen. Da Schätzungen zufolge für die organisierte Kriminalität Cybercrime inzwischen profitabler ist als der Drogenhandel, ist nicht damit zu rechnen, dass sich diese Entwicklung zukünftig abschwächt.
Asymmetrie in der IT-Sicherheit
Das IT-Sec-Team muss alle Angriffsmöglichkeiten entdecken und beheben, der Angreifer jedoch nur eine Einzige nutzen können, um erfolgreich zu sein. Dieses Ungleichgewicht wird immer der Vorteil der Angreifer sein und macht es so schwierig, die IT-Sicherheit konstant und zuverlässig auf einem hohen Niveau zu gewährleisten. Das Sicherheitsteam befindet sich oft im reaktiven statt im proaktiven Modus, muss „Feuer löschen“ statt „Brandprävention betreiben zu können“.
Status der IT-Sicherheit ohne ein SOC
Oft wurden im Bereich der IT-Sicherheit Produkte beschafft, die genau die aktuellen technischen Herausforderungen lösen - aber auch nur genau diese (Point Solutions). Dies führte zu vielen unterschiedlichen Lösungen mit unterschiedlicher Handhabung und wenig bis gar keiner Integration. Beispielsweise müssen Administratoren aktuell oft mehrere Konsolen auf Meldungen prüfen; ggf. sind diese sogar in verschiedenen Abteilungen verantwortlich angesiedelt:
- AV-Konsole: Desktop-Team
- FW-Konsole: Netzwerk-Team
- IDS/IPS-Konsole: IT-Sec-Team (falls vorhanden)
Durch diese Verteilung ist kein ganzheitlicher Blick auf alle IT-sicherheitsrelevanten Vorgänge möglich. Zusammenhänge zwischen den Meldungen werden nicht erkannt und bei einem erfolgreichen Angriff ist die Zeit bis zu seiner Entdeckung (Dwell Time) meist sehr hoch; d. h. sie liegt im Bereich von Wochen oder sogar Monaten. Selbst wenn diese dann erkannt werden, gibt es zum Teil keine Prozesse zur Incident Response (IR) und zur rechtsicheren Aufnahme der Beweise. Die Erkennung von Advanced Persistent Threats (APT = eine fortgeschrittene, andauernde Bedrohung für die Informations- und Kommunikationstechnik) ist nahezu unmöglich, wenn jeweils nur ein kleiner Ausschnitt einer einzelnen Sicherheitskonsole betrachtet werden kann.
NOC / SOC - klingt ähnlich, ist aber verschieden
Vorab einige Erläuterungen der verschiedenen Einheiten:
NOC
Ein Network Operations Center ist zuständig für das Netzwerk-Monitoring mit dem Schwerpunkt „Betrieb“. In kleineren Unternehmen gibt es hier u. U. auch Tätigkeiten aus dem Bereich IT-Security und es ist eine Weiterentwicklung in Richtung eines kombinierten NOC/SOC (Network Operations and Security Center (NOSC)) möglich. Der Fokus ist aber unterschiedlich. Ziel des NOC ist die Aufrechterhaltung des Betriebes. Ziel des SOC ist der Erhalt der IT-Sicherheit. Eine örtliche Nähe von NOC und SOC ist aber sehr sinnvoll, um Synergieeffekte nutzen zu können.
SOC
Ein Security Operations Center (SOC, IT-Sicherheitszentrale) ist in diesem Kontext die zentrale Stelle, an der alle Computer Network Defense (CND) Tätigkeiten konzentriert werden. Im Kontext der physischen Sicherheit steht SOC auch für die „Sicherheitsdienstleitstelle“ (o. ä.). Die physische Sicherheit ist ein wichtiger Teilbereich der Informationssicherheit, in diesem Artikel bezieht sich SOC aber auf ein solches für die Sicherheit im Cyberspace, nicht die im Meatspace (wirkliche Welt / nicht-virtuelle Welt).
CSIRT
Ein Computer Security Incident Response Team (CSIRT) bezeichnet ein Team von Spezialisten, die mit der Erkennung, Analyse, Beseitigung und Vorbeugung von IT-Sicherheitsvorfällen beauftragt sind. Häufig werden SOC-Team und CSIRT synonym verwendet.
Vorteile eines SOC
Durch die Zentralisierung aller Aktivitäten im Bereich IT-Sicherheit ist ein ganzheitlicher Blick möglich. Die oben beschriebenen Probleme einzelner „Sicherheitssilos“ sind damit behoben. Das SOC sieht Ereignisse im Zusammenhang und kann entsprechend besser und schneller darauf reagieren.
Personell werden die Kompetenzen gebündelt, was Synergieeffekte möglich macht. Moderne Angriffe sind extrem komplex und schwierig zu erkennen, daher nutzen in einem SOC dafür trainierte Spezialisten Werkzeuge, die genau für diese Aufgaben konstruiert sind. Nach Festlegung eines Normalzustandes, der Baseline, werden alle unerwarteten Abweichungen davon genau untersucht.
Ein Unternehmen, dass ein SOC etabliert, erhofft sich eine kürzere „Mean Time To Contain“ (MTTC) - die Zeit, die benötigt wird, bis eine Sicherheitsverletzung gefunden, klassifiziert, verstanden und soweit eingegrenzt wurde, dass kein weiterer Schaden entstehen kann. Ähnliche Messwerte sind:
- Mean-Time-to-Detect (MTTD),
- Mean-Time-to-Identify (MTTI) oder
- Mean-Time-to-Respond (MTTR)
Diese messen die Zeit bis zur Entdeckung bzw. zur Identifizierung eines Vorfalls oder bis darauf reagiert wird. Da das Ziel aber ist, den Schaden zu begrenzen, muss auch die Zeit bis zur tatsächlichen Eingrenzung des Vorfalls miterfasst werden.
Auch mit einem SOC wird ein Unternehmensnetzwerk angegriffen werden. Der Angriff kann aber früher entdeckt, die Gegenmaßnahmen können schneller eingeleitet und größerer Schaden kann verhindert werden. Auch die Chance, APT zu erkennen, steigt mit dem Einsatz eines SOC. Weiterhin unterstützt ein SOC bei der Erhöhung der gesamten Resilienz der Infrastruktur, indem nach bekannten Schwachstellen gescannt wird und diese dann von den Administratoren der Systeme geschlossen werden können.
Dies als ein erster Einblick zum Thema SOC als sinnvolle Lösung für eine zentrale Sicht auf den Status der IT-Sicherheit. Der zweite Teil folgt am 14. Dezember 2020. In diesem werden Sie mehr Details rund um das SOC erfahren. Welche Rollen und Modelle gibt es? Was sind die Aufgaben und die Werkzeuge eines SOC und wie gelingt eine kontinuierliche Verbesserung?
Jochen Kmietsch
Senior Consultant | CISSP |
[email protected]