SOC, CERT, APT, ATP, SIEM, MSS

Wer ein Security Operations Center braucht

25.08.2015
Von 
Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.

Ein eigenes SOC aufbauen?

Wenn große Unternehmen heute eigene SOCs aufbauen, geht es daher oft auch darum, etablierte Silostrukturen aufzubrechen und bereichsübergreifend Sicherheitskompetenz in einem SOC neu zu bündeln und mit erweiterten Befugnissen auszustatten.

Der Aufbau eines SOC ist damit kein naheliegendes Projekt für ein mittelständisches Unternehmen. Ebenso ist jedoch auch der Einkauf externer Sicherheitsüberwachungs-Services oder SOC-Dienstleistungen fragwürdig und ihr tatsächlicher Nutzen sollte hinterfragt werden. Ein Mindestmaß an eigener Sicherheitskompetenz ist für jedes Unternehmen wichtig. Diese eigene Kompetenz sollte genutzt werden, um die schützenswerten Daten und Systeme der eigenen Organisation zu erfassen und die dort relevanten Bedrohungsszenarien zu ermitteln. Daraus lassen sich dann die nötigen Maßnahmen ermitteln, um die individuellen Risiken auf ein akzeptables Niveau zu reduzieren. Gegebenenfalls ist hier die Unterstützung unabhängiger Sicherheitsberater sinnvoll.

Ein SOC besteht aus diversen (technischen) Komponenten, wie die Grafik zeigt.
Ein SOC besteht aus diversen (technischen) Komponenten, wie die Grafik zeigt.
Foto: Cirosec

Gerade in der heutigen Zeit, in der es angesagt ist, über gezielte Angriffe, professionelle Hacker und Nachrichtendienste zu diskutieren, ist es wichtig, sich vor Augen zu halten, dass man auch mit personalintensiver und teurer Überwachung und Korrelation existierender Systeme nur sehr begrenzt professionelle gezielte Angriffe erkennen kann.

KMUs: Standard-Security meist besser

Bei eher mittelständischen Unternehmen, die die Palette der grundlegenden präventiven Sicherheitsmaßnahmen meist noch lange nicht ausgeschöpft haben, wird man bei vernünftiger Risikobetrachtung oft herausfinden, dass der Einkauf externer Überwachungsleistungen in Form eines SOC oder Cyber-Abwehrzentrums auf der Prioritätenliste recht weit unten steht.

Der erreichbare Sicherheitsgewinn ist durch die Umsetzung naheliegender Grundschutzmaßnahmen zunächst höher und auch das Kosten-Nutzen-Verhältnis ist deutlich besser. Moderne Schutzmaßnahmen wie Mikrovirtualisierung auf Endgeräten können ohne großen Betriebsaufwand auch das Risiko von Kompromittierungen durch gezielte Angriffe mit fortschrittlicher Malware drastisch reduzieren.

Wenn diese Präventionsmaßnahmen bereits etabliert sind, gibt es moderne Erkennungsmaßnahmen, die für ihre Effektivität kein SOC und keine Überwachung im Schichtbetrieb erfordern. Sie kombinieren von sich aus schon sehr viele Aspekte und Indikatoren bei der Erkennung und liefern somit eine weit bessere Erkennungsqualität als die Korrelation von kontextfreien Logs mit teuren SIEM-Produkten. (sh)