Die Infrastruktur von Organisationen, also Server, Desktops, mobile Devices, IoT-Geräte, Applikationen, Datenbanken, Netzwerk- und Internetverkehr sind unterschiedlichen Risiken und Angriffsvektoren ausgesetzt. In einem Security Operations Center werden alle Ressourcen inkl. menschlicher Aktivitäten und Anwenderverhaltens zentral analysiert und ausgewertet. Um den vollen Nutzen zu erreichen, muss ein SOC 24/7 in Betrieb sein. In größeren Infrastrukturen werden sie von eigenen Mitarbeitern betrieben, bei KMU können die Leistungen alternativ als Managed Service extern vergeben sein.

Proaktive & reaktive Sicherheitsmaßnahmen und -analysen

Die Daten die Security Operations Center erfassen und analysieren, stammen aus unterschiedlichen Quellen. Logfile Analyse gehört hierbei zu den wichtigsten Ressourcen. Logdaten von Firewalls, Windows-Events, Alarme einer Authentifizierungssoftware uvm. werden in ‹Echtzeit› geliefert und analysiert. Deshalb sehen einige große Hersteller von Log-Management Software ein SOC als zusätzliches Add-on zu ihrer SIEM-Lösung. Dies kann aus unserer Sicht nur dann ernsthaft angeboten werden, wenn Anomalien, menschliches Verhalten und im besten Fall sogar ein Austausch von Angriffs-Mustern unter den Nutzern enthalten sind. Grundsätzlich spricht nichts dagegen, dass ein SOC aus verschiedenen Einzellösungen aufgebaut wird, die beispielsweise über API verknüpft oder über SNMP ihren Daten liefern.

Künstliche Intelligenz hört sich in diesem Zusammenhang als sinnvolle Hilfe an. Alleine die schiere Menge der Daten machen deren Analyse und Korrelation nahezu unmöglich oder beanspruchen hohe Ressourcen. Doch auf Basis welcher Regeln analysiert die eingesetzte KI Bedrohungen? Auf welchen Regularien basiert KI? Welche Aussagen und Nachweise lassen sich ableiten, wenn man die Regeln nicht einsehen kann?

In einem SOC werden Systeme, Applikationen und menschliches Verhalten permanent auf Schwachstellen und Risiken überprüft. Der Teilbereich Vulnerability Management analysiert Schwachstellen und Sicherheitsrisiken ‹left-of-Bang›, also bevor daraus ein Sicherheitsvorfall entsteht. Ist der ‹Bang› passiert, kann die nachträgliche ‹right-of-Bang› Analyse eines Vorfalls, Erkenntnisse für verbesserte zukünftige Abwehrmaßnahmen liefern.

Was leistet eine SOC-Leitstelle?

Laufen alle sicherheitsrelevanten Daten in einem Security Operations Center zusammen, ergeben sich die folgenden Vorteile:

• Proaktive Erkennung von Bedrohungen, Schwachstellen und Angriffen
• Reaktive Aufarbeitung von Sicherheitsvorfällen
• Dynamische Optimierung der Sicherheitsmaßnahmen
• Abwehr von Bedrohungen und Angriffen
• Zentralisiertes IT-Security-Management
• Regelmäßige Security-Assessments
• Management- und Compliance Reporting

Im Idealfall haben die SOC-Operatoren ein Dashboard vor sich und erkennen Probleme, Bedrohungen und Angriffe in Kombination mit der jeweiligen Kritikalität.

ProSoft bietet aktuell mit Harmony Purple ein Vulnerability Management. Wir bemühen uns aktuell auch um eine SOC-Software.

Mehr zum Thema Cybersecurity - proaktiv & reaktiv finden Sie im ProBlog.