SOC, CERT, APT, ATP, SIEM, MSS

Wer ein Security Operations Center braucht

25.08.2015
Von 
Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.
Security goes public: Politiker und Behörden bewerben ihre Cyber-Abwehrzentren, große Outsourcing-Anbieter ihre Cyber Security Center und Konzerne ihre Security Operations Center (SOC). Was steckt hinter diesen Konstrukten, die letztlich alle das Gleiche bedeuten? Wer braucht so etwas und warum? Wir geben Antworten.
  • Security Operations Center entstanden einst als speziell abgesicherte Bereiche bei Dienstleistern, aus denen heraus die Sicherheitssysteme von Kunden überwacht und betrieben wurden.
  • Heute bauen vor allem Konzerne, die es sich leisten können oder müssen, eigene SOCs auf und statten diese mit (Security-Intelligence-)Technik und Fachpersonal aus, um auf alle Bedrohungen und Security-Eventualitäten vorbereitet zu sein.
  • Nicht zu verwechseln ist ein SOC mit einem CERT (Computer Emergency Response Team), bei dem es im Kern um die umgehende Reaktion auf erfolgte Angriffe, teils aber auch um planerische Aufgaben geht. Dennoch gibt es zwischen SOC und CERT etliche Parallelen.

Nach wie vor sind die Nachrichten voll von Meldungen über professionelle Hacker-Angriffe, gezielte Attacken und Datendiebstahl im großen Stil. Häufig wird dabei die Abkürzung APT für "Advanced Persistent Threat" verwendet. Gemeint sind professionelle Angreifer, die eigene Werkzeuge und individuell entwickelte Malware verwenden und mit herkömmlichen Erkennungsmechanismen kaum entdeckt werden können.

Um in dieser Situation nicht einfach zu resignieren, ist nicht verwunderlich, dass in der IT- und Sicherheitsbranche ein Trend zur intensiveren Überwachung von Sicherheitssystemen und Erkennung von Vorfällen zu verzeichnen ist. Große Outsourcing-Anbieter bewerben ihre neuen sogenannten Cyber-Abwehr-Zentren und halten die Sicherheitsfahne zumindest im Marketing sehr hoch. Doch was verbirgt sich überhaupt hinter einem Cyber-Abwehr-Zentrum, Cyber Security Center oder Security Operations Center (kurz SOC) und wer benötigt so etwas? Muss man so etwas selbst aufbauen oder kann man die Leistung einkaufen?

Managed Security Services als Ausgangspunkt

Die ursprünglich häufigste Ausprägung von SOCs fand man vor gut 15 Jahren in der Zeit des IT-Hypes. Nach Firewalls waren Intrusion-Detection-Systeme zur Erkennung von Angriffen ein neuer Trend, und die Verkäufer solcher Systeme verkauften ihren Kunden nicht nur die Produkte, sondern boten dazu auch gerne die Überwachung und den Betrieb der Lösungen an. Man sprach von "Managed Security Services" oder kurz MSS. Für die großen Sicherheitsdienstleistungsfirmen verband sich damit die Hoffnung auf einen Service, der mit überschaubarem Aufwand aufgebaut und an viele Kunden gewinnbringend verkauft werden konnte.

Die Argumente klangen damals wie heute überzeugend: Eine Sicherheitsinfrastruktur und teure Lösungen zur Erkennung von Angriffen sind kompliziert und haben meist nichts mit dem Kerngeschäft von Firmen zu tun, die einfach nur eine sichere Internetanbindung benötigen. Ein spezialisierter Anbieter, der die Sicherheitslösungen zahlreicher Kunden rund um die Uhr überwacht und administriert, kann dies sicher besser und günstiger als ein Hersteller von Konsumgütern.

Es gibt nach wie vor zahlreiche "klassische" Managed Security Services auf dem Markt.
Es gibt nach wie vor zahlreiche "klassische" Managed Security Services auf dem Markt.
Foto: Cirosec

Möchte man jedoch Firewalls, Content-Security-Gateways, VPN-Router und ähnliche Systeme aus der Ferne administrieren und überwachen, so muss das Netzwerk, aus dem man auf die Sicherheitssysteme der Kunden zugreifen kann, selbst ein sehr hohes Sicherheitsniveau aufweisen. Security-Operations-Zentren entstanden somit als speziell abgesicherte Bereiche bei Dienstleistern, aus denen heraus die Sicherheitssysteme von Kunden überwacht und betrieben wurden.

Sicherheit aus dem Bunker

Manche Anbieter kauften oder mieteten dafür ehemalige Bunker, andere bauten Kellerräume im Büro mit Stahltüren und Überwachungskameras aus. In den Bereichen selbst wurden Bildschirme aneinander und übereinander angebracht, und zur Überwachung der Kundensysteme baute man Produkte zur Sammlung und Auswertung von Events beziehungsweise Logs auf. Die Hersteller heutiger SIEM-Produkte zur Log-Auswertung und -Korrelation fanden auf diese Weise erste naheliegende Kunden.

Bereits in den frühen Jahren der ersten MSS-Anbieter entsprach der Schein nicht immer der Realität. So gab es Beispiele von Anbietern, deren SOCs zwar für Besucher im Gebäude beeindruckend abgesichert waren, zum Hinterhof jedoch einfach Balkontüren enthielten. Auch bei der angeblichen Kompetenz und Spezialisierung des Personals im SOC musste man Abstriche machen, denn Experten im Security-Umfeld sind auch heute noch schwer zu bekommen und sitzen ungern nachts vor Überwachungsbildschirmen.

Die entscheidenden Probleme von SOCs liegen jedoch in einem ganz anderen Bereich. Um effektiv einen Sicherheitsgewinn zu erzielen, reicht es nicht aus, Protokollmeldungen von Firewalls zu beobachten. Die erste entscheidende Herausforderung besteht in der Fähigkeit zur tatsächlichen Erkennung von Sicherheitsvorfällen; die zweite liegt in der sinnvollen Reaktion auf erkannte Vorfälle. Beides ist nicht einfach und oft scheitern SOCs genau daran.