Mit SOC und SIEM: Nichts Geringeres als Sehen zu lernen

INHALTSVERZEICHNIS
SOC und SIEM

Ein SOC (Security Operations Center) ist ein zentrales Team aus IT-Sicherheitsexperten, das die Organisation schützt, indem es Server, Computer, Endgeräte, Netzwerke, Betriebssysteme, Anwendungen und Datenbanken kontinuierlich auf Anzeichen eines Cybersicherheitsvorfalls überwacht und in Echtzeit reagiert.

Ein SIEM (Security Information and Event Management) ist die wesentliche Technologie hinter dem SOC. Sie besteht aus Sensoren, die Securit relevante Daten (Welcher Prozess wird gestartet, von wo loggt sich jemand mit falschem Passwort ein, etc.) an die zentrale Datenbank senden.

Laut dem IBM Cost of a Data Breach Report 2024 benötigen Unternehmen durchschnittlich 258 Tage zur Identifizierung und Eindämmung von Datenlecks! (MTTI/Identifizieren: 194 Tage und MTTC/Eindämmung: 64 Tage).

SOC/SIEM verkürzt die Zeit zur Erkennung eines Incidents von über 200 Tagen auf wenige Minuten

Das SOC-Team analysiert Daten, legt Regeln fest, identifiziert Ausnahmen, verbessert Reaktionen und hält Ausschau nach neuen Schwachstellen. Da technologische Systeme in modernen Organisationen rund um die Uhr laufen, arbeiten SOCs üblicherweise in Schichten, um eine schnelle Reaktion auf aufkommende Bedrohungen zu gewährleisten. SOC-Teams können mit anderen Abteilungen und Mitarbeitern zusammenarbeiten oder mit spezialisierten externen IT-Sicherheitsdienstleistern.

Das SOC kann in-house sein oder als SOC-as-a-Service (SOCaaS) ausgelagert werden.

Wozu benötige ich ein SOC: Den Blinden sehend machen

Es geht um ERKENNUNG vs. SCHUTZ.

Die meisten Systeme die man kennt sind für das Thema Schutz zuständig. So schützt dich ein Antivirus (EDR) System vor einigen Attacken oder die Firewall vor Eindringlingen.

Was passiert nun, wenn ein Mitarbeiter durch eine Phishing Attacke angegriffen wurde und eine Schadsoftware von dessen PC sich im internen Netz ausbreitet.

Wenn man nichts sieht und nichts hört kann man leicht sagen: „Bei uns ist alles im grünen Bereich“.
Das Security Operations Center (SOC) für ein Unternehmen ist wie das Auge für den Menschen: unverzichtbar, um klar zu sehen und Gefahren frühzeitig zu erkennen.

Ein SOC sammelt zentral wichtige Systemdaten von allen Systemen und kann diese dann korrelieren. Die wesentlichsten Vorteile eines :

  • Schnelle Reaktionszeiten: Durch die frühzeitige Erkennung von Bedrohungen können Angriffe schneller eingedämmt und Schäden minimiert werden.
  • Zentralisierte Datenanalyse: Ein SOC sammelt und analysiert Logdaten aus verschiedenen Quellen, um Anomalien und verdächtige Aktivitäten zu erkennen.
  • Überwachung und Einhaltung von Richtlinien: Ein SOC hilft bei der Überwachung der Einhaltung von internen und externen Richtlinien.

Oft werden die Daten des SIEM auch für folgende wesentliche Aspekte eines Unternehmens eingesetzt:

  • Kennzahlen und KPIs: SOCs liefern wichtige Kennzahlen, die für Audits und Compliance-Nachweise unerlässlich sind.
  • Risikomanagement: Durch die Identifizierung und Bewertung von Sicherheitsrisiken unterstützt ein SOC das Risikomanagement.
  • Berichterstattung und Audits: SOCs bieten detaillierte Berichte und Logs, die für Audits und Compliance-Nachweise wichtig sind.

Was ein SOC genau macht

Ein SOC überwacht kontinuierlich die IT-Infrastruktur eines Unternehmens auf Anzeichen von Sicherheitsbedrohungen und analysiert eingehende Daten, um frühzeitig ungewöhnliche Aktivitäten oder Anomalien zu erkennen, um diese Zeitnahe zu melden.

  • Dazu werden Logdaten (Login Versuch an einem Rechner, Start eines Prozesses auf einem Server, Blockierung eines Angreifers auf der Firewall, Aktivität in der Cloud, uvam.) zentral in einem SIEM (mehr Info zu SIEMgesammelt.
  • Durch den Einsatz von Regeln werden aus dem immensen Datenstrom automatisiert verdächtige Aktivitäten erkannt.
  • Die erzeugten Alarme werden von den Analysten des SOC bewertet und gegebenenfalls als „Incident“ eskaliert.
  • Bei einem Incident (z.B. bei einem Hackerangriff) werden die verantwortlichen Personen alarmiert, die sich dann um die Behebung des Problems (z.B. Quarantäne einer Workstation oder eine Accounts) kümmern, ein weiteres Eindringen desselben Angreifers verhindern und die entstandenen Schäden beheben.

Implementierung eines SOC: Eigenständig oder durch einen Service Provider (SOCaaS)?

Ein SOC kann entweder intern aufgebaut oder durch einen externen Service Provider (SOCaaS) betrieben werden. Beide Ansätze haben ihre Vor- und Nachteile, und die Wahl hängt von den spezifischen Bedürfnissen und Ressourcen des Unternehmens ab.

Eigenständige Implementierung

Vorteile:

  • Volle Kontrolle: Unternehmen behalten die vollständige Kontrolle über ihre Sicherheitsdaten und -prozesse.
  • Individuelle Anpassung: Das SOC kann spezifisch an die Bedürfnisse und Anforderungen des Unternehmens angepasst werden.

Nachteile:

  • Hohe Kosten: Der Aufbau und Betrieb eines eigenen SOC erfordert erhebliche Investitionen in Personal, Technologie und Infrastruktur.
  • Fachkräftemangel: Es kann schwierig sein, qualifizierte Sicherheitsanalysten zu finden und zu halten.

Nutzung eines Service Providers

Vorteile:

  • Kosteneffizienz: Outsourcing kann kostengünstiger sein, da keine initialen Investitionen in Infrastruktur und Personal erforderlich sind.
  • Fachwissen: Service Provider verfügen über spezialisierte Fachkräfte und modernste Technologien.

Nachteile:

  • Weniger Kontrolle: Unternehmen geben einen Teil der Kontrolle über ihre Sicherheitsoperationen ab.
  • Datenschutz: Es können Bedenken hinsichtlich der Sicherheit und des Datenschutzes bestehen, wenn Daten an Dritte weitergegeben werden.

Hybrider Ansatz

Ein hybrider Ansatz kombiniert die Vorteile beider Modelle. Hierbei bleiben die Daten on-premise, während Alarme und andere Sicherheitsbenachrichtigungen an den SOCaaS Provider gesendet werden. Dies ermöglicht Flexibilität und Kontrolle, während gleichzeitig die Expertise und Kosteneffizienz eines Service Providers genutzt werden.

Vorteile:

  • Flexibilität: Unternehmen können wählen, welche Sicherheitsfunktionen intern und welche extern bearbeitet werden.
  • Optimierte Ressourcennutzung: Interne Teams können sich auf strategische Aufgaben konzentrieren, während der Service Provider routinemäßige Überwachungs- und Analyseaufgaben übernimmt.
  • Datensicherheit: Kritische Daten bleiben im Unternehmen und werden nicht an Dritte weitergegeben.

Nachteile:

  • Komplexität: Die Verwaltung eines hybriden SOC erfordert eine sorgfältige Koordination und klare Abgrenzung der Verantwortlichkeiten.

Mit oder ohne SOAR (Security Orchestration, Automation, and Response)

SOAR ist eine Technologie, die SOCs dabei unterstützt, ihre Effizienz zu steigern. Im Wesentlichen können dadurch einige der Incident Response Maßnahmen automatisiert durchgeführt werden:

  • Vordefinierte Firewall Regeln können aktiviert werden (e.g. um den Internetzugang ganz oder zum Teil abzustellen)
  • Einen gesamten Computer unter Quarantäne stellen
  • Ein Benutzerkonto einer bestimmten Anwendung (z.B. ein Benutzer des Active Directory) unter Quarantäne stellen

Mit SOAR hat ein SOC / SIEM einige Vorteile:

  • Automatisierung: Routineaufgaben werden automatisiert, was Zeit und Ressourcen spart.
  • Schnellere Reaktion: Automatisierte Reaktionsprozesse können Bedrohungen schneller neutralisieren.
  • Orchestrierung: Verschiedene Sicherheitstools und Prozesse werden integriert und koordiniert.

Betriebszeiten: 7×24 vs. 8×5

Ein SOC kann rund um die Uhr (7×24) oder nur während der üblichen Geschäftszeiten (8×5) betrieben werden.

  • 7×24 Betrieb: Ideal für Unternehmen mit hohem Sicherheitsbedarf und ständiger Bedrohungslage. Es bietet kontinuierliche Überwachung und schnelle Reaktionszeiten auf Vorfälle.
  • 8×5 Betrieb: Geeignet für Unternehmen mit geringerer Bedrohungslage oder begrenzten Ressourcen. Hier wird die Überwachung auf die regulären Arbeitszeiten beschränkt, was kosteneffizienter sein kann.

Die Entscheidung hängt von der Risikobewertung und den spezifischen Sicherheitsanforderungen des Unternehmens ab. Ein gründliches Verständnis der eigenen Bedrohungslandschaft und Geschäftsprozesse ist entscheidend, um die richtige Wahl zu treffen.

Wie starte ich ein SOCaaS in meinem Unternehmen

Die Implementierung eines SOC beginnt mit einer gründlichen Planung, welche die spezifischen Bedürfnisse und Risiken des Unternehmens berücksichtigt. Dazu gehören die Auswahl der richtigen Technologien, das Training des Personals und die Entwicklung eines detaillierten Reaktionsplans für Sicherheitsvorfälle. Andererseits kannst Du ein SOC auch auslagern.

Sobald du dich entschieden hast, ob du ein SOCaaS engagierst oder auf eigenes Personal setzt kann das Onboarding Projekt beginnen.

Anmerkung zu den folgenden Punkten: Die Angaben des Ressourcenbedarfs und der Durchlaufzeit hängen wesentlich von der Größe der Unternehmensinfrastruktur (und somit auch Komplexität der Komponenten) ab. Diese Angaben basieren auf Erfahrungswerten, die bei mittelständischen Unternehmen gesammelt wurden.

Kick-Off und Scoping Workshop

Gespräch zu den Themen: Was sind meine wichtigsten Systeme. Welche Systeme sollen Logdaten schicken. Wie werden Vorfälle kommuniziert? Welche Betriebszeiten soll der SOC haben? Welche Reaktionen dürfen automatisiert durchgeführt werden?

Festlegen einer Baseline basierend auf dem Reifegrad des Unternehmens und Dimensionierung der SIEM Infrastruktur (Hardware und Software)

Ressourcenbedarf:

  • SOC: Projektmanager, Architekt
  • Unternehmen: IT Server und Netzwerk

Dauer:

  • Eine Woche

Bereitstellung der SIEM Infrastruktur

Nun werden die Server angeschafft und die Speicherkapazität bereitgestellt (je nachdem, wie lange man die Logdaten aufhalten will: Retention Time) und die notwendigen Netzwerkkapazitäten überprüft.

Ressourcenbedarf:

  • SOC: Projektmanager, Architekt, DevOps
  • Unternehmen: keine

Dauer:

  • Bei SOCaaS kann das binnen 24 Stunden geschehen. Bei einem internen SOC geht es im Wesentlichen um die eigenen Anschaffungsprozesse

Onboarding der Logdaten

Nun werden die Firewall-Regeln freigeschaltet und die Komponenten konfiguriert (bzw. Client Software installiert) damit die Logdaten an das SIEM geschickt werden.

Der Client zum Sammeln der Logdaten für Windows und Linux sollte im Idealfall automatisiert ausgerollt werden. Firewalls und Netzwerkkomponenten werden eingebunden indem die Daten über Syslog geschickt werden. Cloud, EDR und andere Komponenten werden über eine API angebunden.

Ressourcenbedarf:

  • SOC: Projektmanager, Architekt
  • Unternehmen: IT

Dauer:

  • Üblicherweise dauert dieser Schritt zwischen einem Tag und einer Woche

Schaffen der Baseline

Baseline bedeutet, dass man für den aktuellen Scope in einen Zustand kommt, in dem die Alarme aussagekräftig sind und der SOC Betrieb aufgenommen werden kann. Erst wenn man das Normalverhalten der Komponenten kennt, kann man Anomalien erkennen.

Nun muss der SOC die Logdaten normalisieren und die falschen Alarme ausfiltern. Dieser Prozess wird üblicherweise durch mehrere Schritte über mehrere Wochen hinweg ausgeführt.

Ressourcenbedarf:

  • SOC: Projektmanager, Analysten
  • Unternehmen: IT

Dauer:

  • Üblicherweise dauert dieser Schritt 2-3 Wochen

Betrieb und kontinuierliche Verbesserung

Der SOC ist in Betrieb und kann Vorfälle an die IT melden. Im Normalbetrieb werden Analysten Vorfälle erkennen und der IT melden, damit diese den Vorfall so rasch wie möglich behandeln.

Parallel dazu wird ein Prozess der kontinuierlichen Verbesserung gelebt, bei dem die Funktion des SOC stetig erweitert wird:

  • Pentests um die Funktionsweise zu überprüfen. Die Findings werden für den KVP Prozess genutzt
  • Zusätzlich können Richtlinien überprüft werden: Wer darf welche Software starten, von welchen Ländern darf gearbeitet werden. Wann darf man sich einloggen.
  • Weitere Logdaten von bestehenden Systemen
  • Zusätzliche Logdaten von neuen Systemen einbinden
  • Honeyfiles, Honeyaccounts

Die Bedeutung eines SOC für mittelständische Unternehmen

Gerade für mittelständische Unternehmen ist ein SOC von großer Bedeutung. Es ermöglicht eine professionelle Sicherheitsüberwachung, die sonst nur größeren Konzernen vorbehalten wäre. Ein gut eingerichtetes SOC kann vor finanziellen Schäden durch Cyberkriminalität schützen und das Vertrauen von Kunden und Partnern stärken.

Wenn dein Unternehmen einen ausreichenden Cybersecurity-Reifegrad erreicht hat ist ein SOC der natürliche nächste Schritt. Punkte, die schon erfüllt sein sollten:

  • Awareness für alle Mitarbeiter
  • Firewall und grundlegende Netzwerksegmentierung
  • Antivirus / EDR
  • Patch Management (Update und Upgrade aller Systeme und Software Komponenten)
  • Multifaktor Authentication. (mindestens bei E-Mail)

Anmerkung: Ein Schwachstellen-Management kann oft als zusätzlicher Service bei einem SOCaaS dazu gebucht werden.

Eigenes SOC vs. SOCaaS

Ein effizientes SOC setzt sich aus mehreren Kernkomponenten zusammen: qualifiziertes Personal, fortschrittliche Technologien zur Überwachung und Analyse sowie klare Prozesse und Richtlinien für den Fall eines Sicherheitsvorfalls. Die Integration dieser Elemente ermöglicht es, schnell und effektiv auf Bedrohungen zu reagieren.

  • Bei der Auswahl der Software gibt es sowohl im Open Source Bereich als auch im kommerziellen Bereich ausgezeichnete Produkte.
  • Prozesse kristallisieren sich heraus und können im eigenen SOC noch besser an die eigenen Bedürfnisse angepasst werden. Auch KI wie ChatGPT als Werkzeug in die Hand von Experten gelegt kann diesen Teil dramatisch verkürzen und verbessern.
  • Der wohl schwierigste Aspekt ist der Aufbau und das Halten von qualifiziertem Personal. Während des Aufbaus eines SOC gibt es viel zu tun und somit viel Action. Wird jedoch der SOC nur für ein Mittelständisches Unternehmen betrieben werden nicht sehr oft dramatische Vorfälle passieren. Gute Mitarbeiter laufen Gefahr sich zu langweilen bzw. sehen keine Lernkurve mehr.

Weitere Services die auch vom SOC geliefert werden können

Ein SOC kann weit mehr als nur die Überwachung und Reaktion auf Sicherheitsvorfälle leisten.

Diese zusätzlichen Services erweitern die Kapazitäten eines SOC und bieten umfassenden Schutz für Unternehmen aller Größen. Sie erhöhen die Resilienz gegen Cyberangriffe und unterstützen eine proaktive Sicherheitsstrategie.

Hier sind zusätzliche Dienstleistungen, die ein SOC anbieten kann:

Vulnerability Management (Schwachstellenmanagement)

Durch regelmäßige Schwachstellenanalysen identifiziert das SOC potenzielle Sicherheitslücken in der IT-Infrastruktur und empfiehlt entsprechende Maßnahmen zur Behebung.

Threat Hunting (Bedrohungsanalyse und -jagd)

Das SOC kann proaktive Bedrohungsanalysen und Threat Hunting durchführen, um potenzielle Angreifer frühzeitig zu identifizieren und zu neutralisieren, bevor sie Schaden anrichten.

Compliance-Überwachung

Ein SOC unterstützt bei der Einhaltung von Compliance-Anforderungen durch kontinuierliche Überwachung und Berichterstattung, um sicherzustellen, dass alle Sicherheitsvorschriften und -standards eingehalten werden.

Sicherheitsbewusstseinsschulungen

Ein SOC kann maßgeschneiderte Schulungen anbieten, um das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen und das Risiko menschlicher Fehler zu minimieren.

Incident Response / Forensische Analysen

Im Falle eines Sicherheitsvorfalls führt das SOC detaillierte forensische Untersuchungen durch, um die Ursache und den Ablauf des Angriffs zu ermitteln und zukünftige Vorfälle zu verhindern.

Incident Response und Business Continuity Planung und Management

Das SOC entwickelt und aktualisiert Incident Response Pläne, um sicherzustellen, dass das Unternehmen auf verschiedene Arten von Sicherheitsvorfällen vorbereitet ist und schnell reagieren kann.

Antivirus/EDR (Endpoint Detection and Response)

Erweiterte Überwachungs- und Reaktionsfähigkeiten auf Endgeräteebene bieten zusätzlichen Schutz und ermöglichen eine schnellere Identifikation und Behebung von Bedrohungen.

Relevante Artikel

Cybersecurity Open Source Tools

Relevante Glossareinträge

Security Information and Event Management (SIEM)

Security Operations Center (SOC)

Wichtige Cybersecurity Kennzahlen

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Herwart Wermescher

Managing Director

Herwart ist Gründer von kmusec.com und Cybersecurity-besessen seit 2011.

Artikel teilen!