Ein Security Operations Center (SOC) – auch Information Security Operations Center oder ISOC genannt – ist ein unternehmensinternes oder externes Team von IT-Sicherheitsexperten, das die gesamte IT-Infrastruktur eines Unternehmens rund um die Uhr überwacht, um Cybersicherheitsereignisse in Echtzeit zu erkennen und diesen so schnell und effektiv wie möglich entgegenzutreten.
Ein SOC wählt, betreibt und pflegt auch die Cybersicherheitstechnologien des Unternehmens und analysiert kontinuierlich Bedrohungsdaten, um Wege zu finden, das Sicherheitsniveau des Unternehmens zu verbessern.
Der Hauptvorteil von Betrieb oder Outsourcing eines SOC besteht darin, dass es die Sicherheitstools, Sicherheitsverfahren und Reaktion eines Unternehmens auf Sicherheitsvorfälle vereinheitlicht und koordiniert. Dies führt in der Regel zu verbesserten Präventivmaßnahmen und Sicherheitsrichtlinien, einer schnelleren Erkennung von Bedrohungen und einer schnelleren, wirksameren und kosteneffizienteren Reaktion auf Sicherheitsbedrohungen. Ein SOC kann auch die Kundenzufriedenheit verbessern und die Einhaltung branchenspezifischer, nationaler und globaler Datenschutzvorschriften durch ein Unternehmen vereinfachen und stärken.
SOC-Aktivitäten und -Verantwortlichkeiten fallen in drei allgemeine Kategorien.
Bestandserfassung. Ein SOC muss über eine umfassende Bestandsaufnahme von allem verfügen, was innerhalb oder außerhalb des Rechenzentrums geschützt werden muss (z. B. Anwendungen, Datenbanken, Server, Cloud Services, Endpunkte etc.), sowie von allen Tools, die zum Schutz verwendet werden (Firewalls, Tools zum Schutz vor Viren/Malware/Ransomware, Überwachungssoftware etc.). Viele SOCs werden für diese Aufgabe eine Lösung für die Asseterkennung einsetzen.
Regelmäßige Wartung und Vorbereitung. Um die Effektivität der bestehenden Sicherheitstools und -maßnahmen zu maximieren, führt das SOC vorbeugende Wartung durch, wie z. B. Einspielen von Software-Patches und -Upgrades und kontinuierliche Aktualisierung von Firewalls, Whitelists und Blacklists sowie Sicherheitsrichtlinien und -verfahren. Das SOC kann auch Systembackups erstellen – oder bei der Erstellung von Sicherungsrichtlinien oder -verfahren unterstützen – um im Falle einer Datenschutzverletzung, eines Ransomware-Angriffs oder eines anderen Cybersicherheitsereignisses unterbrechungsfreie Geschäftsabläufe sicherzustellen.
Planung für die Reaktion auf Vorfälle. Das SOC ist verantwortlich für die Entwicklung des Notfallplans des Unternehmens, in dem Aktivitäten, Rollen und Verantwortlichkeiten im Falle einer Sicherheitsbedrohung oder eines Vorfalls definiert werden – und der Messwerte, an denen der Erfolg der Reaktion auf Vorfälle gemessen wird.
Regelmäßige Tests. Das SOC-Team führt Schwachstellenanalysen durch – umfassende Bewertungen, die die Anfälligkeit der einzelnen Ressourcen für potenzielle Bedrohungen und die zugehörigen Kosten ermitteln. Es führt auch Penetrationstests durch, die spezielle Angriffe auf ein oder mehrere Systeme simulieren. Das Team korrigiert oder optimiert Anwendungen, Sicherheitsrichtlinien, Best Practices und Notfallpläne basierend auf den Ergebnissen dieser Tests.
Auf dem Laufenden bleiben. Das SOC bleibt in Bezug auf die neuesten Sicherheitslösungen und -technologien sowie die neuesten Bedrohungsdaten auf dem Laufenden – Neuigkeiten und Informationen über Cyberangriffe und die Hacker, die sie verüben, erfasst aus Social Media, branchenspezifischen Quellen und dem Dark Web.
Kontinuierliches Sicherheitsmonitoring rund um die Uhr. Das SOC überwacht die gesamte erweiterte IT-Infrastruktur – Anwendungen, Server, Systemsoftware, Datenverarbeitungseinheiten, Cloud-Workloads, Netz – rund um die Uhr, 365 Tage im Jahr auf Anzeichen bekannter Exploits und auf verdächtige Aktivitäten.
Für viele SOCs war die zentrale Technologie für Monitoring, Erkennung und Reaktion Security Information and Event Management oder SIEM. SIEM überwacht und aggregiert Warnungen und Telemetrie von Software und Hardware in Echtzeit im Netz und analysiert dann die Daten, um potenzielle Bedrohungen zu ermitteln. Seit jüngerer Zeit nutzen einige SOCs auch die XDR-Technologie (Extended Detection and Response), die detailliertere Telemetrie und Überwachung sowie Funktionen zur Automatisierung der Erkennung von Vorfällen und Reaktion darauf bietet.
Protokollmanagement. Protokollmanagement – die Erfassung und Analyse der von jedem Netzereignis generierten Daten – ist eine Untergruppe des Monitoring, die wichtig genug ist, um einen eigenen Absatz zu erhalten. Während die meisten IT-Abteilungen Protokolldaten erfassen, ist es erst die Analyse, die normale oder grundlegende Aktivitäten festlegt und Anomalien aufdeckt, die auf verdächtige Aktivitäten hinweisen. Tatsächlich verlassen sich viele Hacker darauf, dass Unternehmen Protokolldaten nicht immer analysieren, was dazu führen kann, dass ihre Viren und Malware wochen- oder sogar monatelang unentdeckt auf den Systemen der Opfer ausgeführt werden. Die meisten SIEM-Lösungen umfassen Protokollmanagementfunktionen.
Bedrohungserkennung. Das SOC-Team trennt die Signale vom Rauschen – die Hinweise auf tatsächliche Cyberbedrohungen und Hackerangriffe von den Fehlalarmen – und ordnet dann die Bedrohungen nach Schweregrad ein. Moderne SIEM-Lösungen beinhalten künstliche Intelligenz (KI), die diese Prozesse automatisiert und aus den Daten „lernt“, um verdächtige Aktivitäten im Laufe der Zeit besser zu erkennen.
Incident Response. Als Reaktion auf eine Bedrohung oder einen tatsächlichen Vorfall ergreift das SOC Maßnahmen, um den Schaden zu beschränken. Aktionen können Folgendes umfassen:
• Untersuchung der Grundursache, um die technischen Schwachstellen zu ermitteln, die Hackern Zugriff auf das System verschafften, sowie andere Faktoren (z. B. schlechte Kennworthygiene oder unzureichende Durchsetzung von Richtlinien), die zu dem Vorfall beigetragen haben
• Herunterfahren manipulierter Endpunkte oder Trennen vom Netzwerk
• Isolieren manipulierter Bereiche des Netzwerks oder Umleiten des Netzwerkverkehrs
• Pausieren oder Stoppen von manipulierten Anwendungen oder Prozessen
• Löschen beschädigter oder infizierter Dateien
• Ausführen von Virenschutz- oder Malwareschutz-Software
• Außerbetriebnahme von Kennwörtern für interne und externe Benutzer
Viele XDR-Lösungen ermöglichen es SOCs, diese und andere Reaktionen auf Vorfälle zu automatisieren und zu beschleunigen.
Wiederherstellung und Korrektur. Sobald ein Vorfall eingedämmt ist, beseitigt das SOC die Bedrohung und bringt die betroffenen Assets wieder in ihren Zustand vor dem Vorfall (z. B. Löschen, Wiederherstellen und erneutes Verbinden von Festplatten, Endbenutzergeräten und anderen Endpunkten; Wiederherstellen des Netzwerkverkehrs; Neustarten von Anwendungen und Prozessen). Im Falle einer Datenschutzverletzung oder eines Ransomware-Angriffs kann Wiederherstellung auch das Umschalten auf Backup-Systeme und das Zurücksetzen von Kennwörtern und Authentifizierungsdaten beinhalten.
Nachträgliche Untersuchung und Optimierung. Um eine Wiederholung zu verhindern, nutzt das SOC alle neuen Informationen, die aus dem Vorfall gewonnen werden, um Schwachstellen besser zu beheben, Prozesse und Richtlinien zu aktualisieren, neue Cybersicherheitstools auszuwählen oder den Notfallplan zu überarbeiten. Auf einer höheren Ebene kann das SOC-Team auch versuchen festzustellen, ob der Vorfall einen neuen oder sich ändernden Cybersicherheitstrend offenbart, auf den sich das Team vorbereiten muss.
Compliance-Management. Es ist die Aufgabe des SOC sicherzustellen, dass alle Anwendungen, Systeme sowie Sicherheitstools und -prozesse Datenschutzbestimmungen wie DSGVO (Datenschutz-Grundverordnung), CCPA (California Consumer Privacy Act), PCI DSS (Payment Card Industry Data Security Standard) und HIPAA (Health Insurance Portability and Accountability Act) entsprechen. Nach einem Vorfall stellt das SOC sicher, dass Benutzer, Aufsichtsbehörden, Strafverfolgungsbehörden und andere Parteien gemäß den Vorschriften benachrichtigt werden und dass die erforderlichen Vorfalldaten zu Beweis- und Prüfungszwecken aufbewahrt werden.
Im Allgemeinen gehören zu den Hauptrollen in einem SOC-Team:
• Der SOC-Manager, der das Team leitet, beaufsichtigt alle Sicherheitsoperationen und ist dem CISO (Chief Information Security Officer) der Organisation unterstellt.
• Sicherheitsingenieure, die die Sicherheitsarchitektur der Organisation aufbauen und verwalten. Ein Großteil dieser Arbeit umfasst das Bewerten, Testen, Empfehlen, Implementieren und Warten von Sicherheitstools und -technologien. Sicherheitsingenieure arbeiten auch mit Entwicklungs- oder DevOps/DevSecOps-Teams zusammen, um sicherzustellen, dass die Sicherheitsarchitektur der Organisation in Anwendungsentwicklungszyklen integriert ist.
• Sicherheitsanalysten – auch Security Investigators oder Incident Responder genannt – die im Wesentlichen die Ersthelfer bei Cybersicherheitsbedrohungen oder -vorfällen sind. Analysten erkennen, untersuchen und sortieren (priorisieren) Bedrohungen. Anschließend identifizieren sie die betroffenen Hosts, Endpunkte und Benutzer und ergreifen die entsprechenden Maßnahmen, um die Auswirkungen der Bedrohung oder des Vorfalls zu mindern und einzudämmen. (In einigen Organisationen sind Investigators und Incident Responder separate Rollen, die als Tier-1- bzw. Tier-2-Analysten klassifiziert sind.)
• Threat Hunter (auch Expert Security Analysts genannt) sind spezialisiert auf die Erkennung und Eindämmung von Advanced Threats – neue Bedrohungen oder Bedrohungsvarianten, die es schaffen, automatisierte Abwehrmechanismen zu umgehen.
Das SOC-Team kann abhängig von der Größe der Organisation oder der Branche, in der sie tätig ist, weitere Spezialisten umfassen. Größere Unternehmen können einen Director of Incident Response haben, der für die Kommunikation und Koordination der Incident Response verantwortlich ist. Und einige SOCs umfassen forensische Ermittler, die darauf spezialisiert sind, Daten – Hinweise – von Geräten abzurufen, die bei einem Cybersicherheitsvorfall beschädigt oder kompromittiert wurden.
DevOps
DevSecOps
IBM Security QRadar XDR ist die erste umfassende XDR-Lösung der IT-Sicherheitsbranche, die auf offenen Standards und Automatisierung basiert und Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und SIEM-Funktionen in einem Workflow vereint. Mit QRadar XDR können SOCs wertvolle Zeit sparen und Bedrohungen schneller eliminieren, indem sie Erkenntnisse verknüpfen, Workflows optimieren und KI nutzen, um die Reaktion zu automatisieren.
Die Lösungssuite IBM Security QRadar XDR umfasst:
• QRadar XDR Connect, das Sicherheitstools integriert, Workflows optimiert, sich an die Fähigkeiten und Bedürfnisse von Sicherheitsteams anpasst und das SOC automatisiert.
• QRadar SIEM, mit intelligenten Sicherheitsanalysen, die Protokoll- und Flussdaten von Tausenden von Geräten, Endpunkten und Apps im Netzwerk automatisch analysieren und so umsetzbare Erkenntnisse über die wichtigsten Bedrohungen bereitstellen.
• QRadar Network Insights, das Echtzeitanalysen des Netzwerkverkehrs für die umfassende Transparenz bietet, die SOC-Teams benötigen, um versteckte Bedrohungen zu erkennen, bevor es zu spät ist.
• QRadar SOAR (Security Orchestration, Automation and Response), das Incident-Response-Prozesse in dynamische Playbooks kodifiziert, die Sicherheitsteams dabei unterstützen, souverän zu reagieren, intelligent zu automatisieren und konsistent zusammenzuarbeiten.
Melden Sie sich für den IBM Security Framing and Discovery Workshop an
Gartner ernannte IBM zum Magic Quadrant Leader für SIEM 2021
Erste Schritte mit IBM Security