KMUSEC Logo
Kontakt
Suche
Close this search box.

Was ist ein Security Operations Center (SOC)?

  • Zuletzt aktualisiert:
  • 3. Mai 2024

Ein SOC ist ein zentrales Team aus IT-Sicherheitsexperten, das die Organisation schützt, indem es Server, Computer, Endgeräte, Netzwerke, Betriebssysteme, Anwendungen und Datenbanken kontinuierlich auf Anzeichen eines Cybersicherheitsvorfalls überwacht und in Echtzeit reagiert.

Das SOC-Team analysiert Daten, legt Regeln fest, identifiziert Ausnahmen, verbessert Reaktionen und hält Ausschau nach neuen Schwachstellen. Da technologische Systeme in modernen Organisationen rund um die Uhr laufen, arbeiten SOCs üblicherweise in Schichten, um eine schnelle Reaktion auf aufkommende Bedrohungen zu gewährleisten. SOC-Teams können mit anderen Abteilungen und Mitarbeitern zusammenarbeiten oder mit spezialisierten externen IT-Sicherheitsdienstleistern.

Das SOC kann in-house sein oder als SOC-as-a-Service (SOCaaS) ausgelagert werden.

Wozu benötige ich ein SOC: Den Blinden sehend machen

Es geht um SCHUTZ vs. ERKENNUNG.

Die meisten Systeme die man kennt sind für das Thema Schutz zuständig. So schützt dich ein Antivirus (EDR) System vor einigen Attacken oder die Firewall vor Eindringlingen.

Was passiert nun, wenn ein Mitarbeiter durch eine Phishing Attacke angegriffen wurde und eine Schadsoftware von dessen PC sich im internen Netz ausbreitet.

Wenn man nichts sieht und nichts hört kann man leicht sagen: „Bei uns ist alles im grünen Bereich“.
Das Security Operations Center (SOC) für ein Unternehmen ist wie das Auge für den Menschen: unverzichtbar, um klar zu sehen und Gefahren frühzeitig zu erkennen.

Ein SOC sammelt zentral wichtige Systemdaten von allen Systemen und kann diese dann korrelieren.

Was ein SOC genau macht

Ein SOC überwacht kontinuierlich die IT-Infrastruktur eines Unternehmens auf Anzeichen von Sicherheitsbedrohungen und analysiert eingehende Daten, um frühzeitig ungewöhnliche Aktivitäten oder Anomalien zu erkennen, um diese Zeitnahe zu melden.

  • Dazu werden Logdaten (Login Versuch an einem Rechner, Start eines Prozesses auf einem Server, Blockierung eines Angreifers auf der Firewall, Aktivität in der Cloud, uvam.) zentral in einem SIEM (mehr Info zu SIEM) gesammelt.
  • Durch den Einsatz von Regeln werden aus dem immensen Datenstrom automatisiert verdächtige Aktivitäten erkannt.
  • Die erzeugten Alarme werden von den Analysten des SOC bewertet und gegebenenfalls als „Incident“ eskaliert.
  • Bei einem Incident (z.B. bei einem Hackerangriff) werden die verantwortlichen Personen alarmiert, die sich dann um die Behebung des Problems (z.B. Quarantäne einer Workstation oder eine Accounts) kümmern, ein weiteres Eindringen desselben Angreifers verhindern und die entstandenen Schäden beheben.

Wie starte ich ein SOCaaS in meinem Unternehmen

Die Implementierung eines SOC beginnt mit einer gründlichen Planung, welche die spezifischen Bedürfnisse und Risiken des Unternehmens berücksichtigt. Dazu gehören die Auswahl der richtigen Technologien, das Training des Personals und die Entwicklung eines detaillierten Reaktionsplans für Sicherheitsvorfälle. Andererseits kannst Du ein SOC auch auslagern.

Sobald du dich entschieden hast, ob du ein SOCaaS engagierst oder auf eigenes Personal setzt kann das Onboarding Projekt beginnen.

Anmerkung zu den folgenden Punkten: Die Angaben des Ressourcenbedarfs und der Durchlaufzeit hängen wesentlich von der Größe der Unternehmensinfrastruktur (und somit auch Komplexität der Komponenten) ab. Diese Angaben basieren auf Erfahrungswerten, die bei mittelständischen Unternehmen gesammelt wurden.

Kick-Off und Scoping Workshop

Gespräch zu den Themen: Was sind meine wichtigsten Systeme. Welche Systeme sollen Logdaten schicken. Wie werden Vorfälle kommuniziert? Welche Betriebszeiten soll der SOC haben? Welche Reaktionen dürfen automatisiert durchgeführt werden?

Festlegen einer Baseline basierend auf dem Reifegrad des Unternehmens und Dimensionierung der SIEM Infrastruktur (Hardware und Software)

Ressourcenbedarf:

  • SOC: Projektmanager, Architekt
  • Unternehmen: IT Server und Netzwerk

Dauer:

  • Eine Woche

Bereitstellung der SIEM Infrastruktur

Nun werden die Server angeschafft und die Speicherkapazität bereitgestellt (je nachdem, wie lange man die Logdaten aufhalten will: Retention Time) und die notwendigen Netzwerkkapazitäten überprüft.

Ressourcenbedarf:

  • SOC: Projektmanager, Architekt, DevOps
  • Unternehmen: keine

Dauer:

  • Bei SOCaaS kann das binnen 24 Stunden geschehen. Bei einem internen SOC geht es im Wesentlichen um die eigenen Anschaffungsprozesse

Onboarding der Logdaten

Nun werden die Firewall-Regeln freigeschaltet und die Komponenten konfiguriert (bzw. Client Software installiert) damit die Logdaten an das SIEM geschickt werden.

Der Client zum Sammeln der Logdaten für Windows und Linux sollte im Idealfall automatisiert ausgerollt werden. Firewalls und Netzwerkkomponenten werden eingebunden indem die Daten über Syslog geschickt werden. Cloud, EDR und andere Komponenten werden über eine API angebunden.

Ressourcenbedarf:

  • SOC: Projektmanager, Architekt
  • Unternehmen: IT

Dauer:

  • Üblicherweise dauert dieser Schritt zwischen einem Tag und einer Woche

Schaffen der Baseline

Baseline bedeutet, dass man für den aktuellen Scope in einen Zustand kommt, in dem die Alarme aussagekräftig sind und der SOC Betrieb aufgenommen werden kann. Erst wenn man das Normalverhalten der Komponenten kennt, kann man Anomalien erkennen.

Nun muss der SOC die Logdaten normalisieren und die falschen Alarme ausfiltern. Dieser Prozess wird üblicherweise durch mehrere Schritte über mehrere Wochen hinweg ausgeführt.

Ressourcenbedarf:

  • SOC: Projektmanager, Analysten
  • Unternehmen: IT

Dauer:

  • Üblicherweise dauert dieser Schritt 2-3 Wochen

Betrieb und kontinuierliche Verbesserung

Der SOC ist in Betrieb und kann Vorfälle an die IT melden. Im Normalbetrieb werden Analysten Vorfälle erkennen und der IT melden, damit diese den Vorfall so rasch wie möglich behandeln.

Parallel dazu wird ein Prozess der kontinuierlichen Verbesserung gelebt, bei dem die Funktion des SOC stetig erweitert wird:

  • Pentests um die Funktionsweise zu überprüfen. Die Findings werden für den KVP Prozess genutzt
  • Zusätzlich können Richtlinien überprüft werden: Wer darf welche Software starten, von welchen Ländern darf gearbeitet werden. Wann darf man sich einloggen.
  • Weitere Logdaten von bestehenden Systemen
  • Zusätzliche Logdaten von neuen Systemen einbinden

Die Bedeutung eines SOC für mittelständische Unternehmen

Gerade für mittelständische Unternehmen ist ein SOC von großer Bedeutung. Es ermöglicht eine professionelle Sicherheitsüberwachung, die sonst nur größeren Konzernen vorbehalten wäre. Ein gut eingerichtetes SOC kann vor finanziellen Schäden durch Cyberkriminalität schützen und das Vertrauen von Kunden und Partnern stärken.

Wenn dein Unternehmen einen ausreichenden Cybersecurity-Reifegrad erreicht hat ist ein SOC der natürliche nächste Schritt. Punkte, die schon erfüllt sein sollten:

  • Awareness für alle Mitarbeiter
  • Firewall und grundlegende Netzwerksegmentierung
  • Antivirus / EDR
  • Patch Management (Update und Upgrade aller Systeme und Software Komponenten)
  • Multifaktor Authentication. (mindestens bei E-Mail)

Anmerkung: Ein Schwachstellen-Management kann oft als zusätzlicher Service bei einem SOCaaS dazu gebucht werden.

Eigenes SOC vs. SOCaaS

Ein effizientes SOC setzt sich aus mehreren Kernkomponenten zusammen: qualifiziertes Personal, fortschrittliche Technologien zur Überwachung und Analyse sowie klare Prozesse und Richtlinien für den Fall eines Sicherheitsvorfalls. Die Integration dieser Elemente ermöglicht es, schnell und effektiv auf Bedrohungen zu reagieren.

  • Bei der Auswahl der Software gibt es sowohl im Open Source Bereich als auch im kommerziellen Bereich ausgezeichnete Produkte.
  • Prozesse kristallisieren sich heraus und können im eigenen SOC noch besser an die eigenen Bedürfnisse angepasst werden. Auch KI wie ChatGPT als Werkzeug in die Hand von Experten gelegt kann diesen Teil dramatisch verkürzen und verbessern.
  • Der wohl schwierigste Aspekt ist der Aufbau und das Halten von qualifiziertem Personal. Während des Aufbaus eines SOC gibt es viel zu tun und somit viel Action. Wird jedoch der SOC nur für ein Mittelständisches Unternehmen betrieben werden nicht sehr oft dramatische Vorfälle passieren. Gute Mitarbeiter laufen Gefahr sich zu langweilen bzw. sehen keine Lernkurve mehr.

Relevante Artikel

Cybersecurity Open Source Tools

Relevante Glossareinträge

Security Information and Event Management (SIEM)

Artikel teilen!

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Jetzt informieren

KONTAKT

Wermescher Advisory GmbH

E-Mail: office@wermescher.com
Telefon: Terminvereinbarung über Kontaktformular

Einzugsgebiete: Deutschland, Österreich (z.B. Wien, Graz, Linz), Schweiz

UNTERNEHMEN

Über uns
Impressum
Datenschutzerklärung
Kontakt

RESSOURCEN

Cybersecurity Ratgeber
Cybersecurity Glossar

© Copyright KMUsec.com – Der KMU Ratgeber für Cyber Sicherheit in mittelständischen Unternehmen.