Ein Security Operations Center (SOC) gehört zu den zentralen Bausteinen eines durchdachten IT-Security-Prozesses und kann bequem beim Cloud-Provider „as a Service“ gebucht werden.
IT-Security spielt eine immer wichtigere Rolle in den komplexer werdenden IT-Infrastrukturen. Gerade angesichts der stetig steigenden Zahl an Geräten und Anwendungen innerhalb eines Netzwerks oder einer Cloud-Infrastruktur ist es unumgänglich, auf intelligente Monitoring-Lösungen zu setzen. So lassen sich Schwachstellen im Netzwerk rechtzeitig wahrnehmen und Cyberangriffe zuverlässig erkennen und eliminieren.
Eine entscheidende Rolle kommt hierbei dem Security Operations Center (SOC) zu. Dabei geht es seit der Corona-Pandemie angesichts zunehmender Arbeit im Homeoffice auch um Risiken, die sich aus dezentraler Arbeit in unterschiedlich gut abgesicherten Netzen mit teilweise schlecht abzusichernden Endgerätekategorien ergeben. Malware und Phishing-Attacken, Ransomware und CEO-Fraud sind nur einige der Angriffsszenarien, mit denen sich Unternehmen und ihre IT-Abteilungen vermehrt beschäftigen müssen.
Security Operations Center: Der Expertenservice für schnelle Reaktion
Das SOC ist die menschliche Komponente der IT-Sicherheit. Denn hier sind echte Security-Expert:innen im Einsatz. So bildet das SOC ein grundlegendes Element, um sicherheitsrelevanten Ereignissen vorzubeugen oder diese zu behandeln. Dazu überwacht es zentral Hardware- und Softwarekomponenten sowie -prozesse. Dies soll ebenso wie die Analyse des menschlichen Verhaltens der Anwender dazu beitragen, Sicherheitsrisiken zu analysieren und zu bewerten und bei ansteigendem Gefahrenpotential zu warnen – rund um die Uhr an 365 Tagen. Das Security Operations Center eines Unternehmens (oder eines Dienstleisters, der diese Aufgabe zentral für eine Vielzahl an Unternehmen realisiert – SOC as a Service) unterliegt einem permanenten Wandel – so wie sich Technologien, Prozesse und Menschen situativ unterschiedlich verhalten.
Welche Rolle spielt das Information and Event Management (SIEM)?
Bei einem SIEM handelt es sich um ein Softwareprodukt, das – lokal installiert oder als Cloud-Service – Schwachstellen und Sicherheitslücken in Echtzeit bewertet. Dazu überwacht es sämtliche Sicherheitsalarme der Anwendungen und Komponenten im Netzwerk. Diese laufen in einer Konsole zusammen, die sämtliche Logfiles aus den gesamten Informationsquellen einer IT-Infrastruktur analysiert und bewertet.
Das SIEM bringt die zwei Konzepte Security Information Management (SIM) und Security Event Management (SEM) zusammen. Es umfasst somit:
- die Fähigkeit, Daten von Netzwerk- und Sicherheitskomponenten zu sammeln, zu analysieren und darzustellen,
- die Behandlung von Sicherheitslücken,
- Log-Dateien von Betriebssystemen, Datenbanken und Anwendungen,
- externe Bedrohungen,
- Warnungen in Echtzeit.
Wie hängen SIEM und SOC zusammen?
Bei den Mitarbeitern eines SOC handelt es sich um Sicherheitsfachleute, die auf Basis einer SIEM-Software und mit einem zuvor definierten (und regelmäßig an aktuelle Bedrohungsszenarien angepassten) Regelwerk (Runbook) auf latente Bedrohungen oder konkrete Angriffe reagieren. Im Falle eines Alarms bewerten die Experten diesen auf Basis ihres Expertenwissens sowie der Runbooks und ergreifen so geeignete Gegenmaßnahmen, um die IT und die Daten des Unternehmens zu schützen. Bei dieser Bewertung ziehen sie die aktuelle „Großwetterlage“ in Sachen Malware und IT-Bedrohungen hinzu, die durch geeignete IT-Security-Bulletins einfließt.
7 gute Gründe für SOC und SIEM
- 24/7-Überwachung: generelle Risiken und Bedrohungen im Blick behalten
- Ständiger Überblick über das Geschehen im Netzwerk, egal ob Rechenzentrum oder Cloud
- Angriffe durch gezielte Attacken und Malware in Echtzeit erkennen
- Automatisierte Vorprüfung: Konzentration auf relevante Security Incidents
- Falls es doch zu einem Vorfall kommt: schnelle Schadensbewertung und Forensik
- Schutz der Geschäftsprozesse, der eigenen Daten und Geschäftsgeheimnisse
- Haftungsrisiken gegenüber Geschäftspartnern minimieren und Compliance einhalten
Weshalb ist das Outsourcing eines SOC für Unternehmen sinnvoll?
Eine solch zentrale Aufgabe wie das SOC auszulagern, klingt im ersten Ansatz widersinnig. Haben wir nicht gelernt, dass man die geschäftskritischen Elemente im Unternehmensalltag stets selbst in der Hand haben sollte? Prinzipiell ist das auch richtig – im konkreten Fall zeigt sich aber, dass ein auf IT-Sicherheit spezialisierter Dienstleister hier deutlich bessere Expertise aufbauen und kompetenter über die tagesaktuellen Herausforderungen informiert sein kann. Denn als Security-Verantwortlicher kennt man nur die Situation im eigenen Unternehmen.
Gerade in kleineren und mittelständischen Unternehmen ist es zudem der günstigere und effizientere Weg, dieses Know-how, das dem stetigen Wandel unterliegt, einzukaufen. Und effizient ist eine solche Lösung auch in anderer Hinsicht: Denn eine SIEM-Lösung filtert im Rahmen der Analyse die gravierenden Bedrohungen heraus. Diese übergibt sie ans SOC für eine gezielte Begutachtung.
Doch selbst große Konzerne vertrauen eine solche zentrale Aufgabe heute oftmals einem externen Partner an – und sie tun das aus gutem Grund. Denn ein Spezialist für SOC-Dienstleistungen kann ein geeigneter Sparringpartner für die unternehmenseigene IT-Abteilung sein. Sie leistet den wichtigen 360-Grad-Blick auf die Security-Strategie eines Unternehmens.
SOC as a Service bei plusserver: Datensouveränität und Compliance
Das SOC-as-a-Service-Angebot beim deutschen Cloud-Provider plusserver senkt für Unternehmen die Einstiegshürde der SOC-Nutzung, indem es eigenes Fachpersonal und Security-Infrastruktur überflüssig macht. Es basiert auf der führenden SIEM-Technologie von IBM. Mit diesem wurde IBM im „Gartner Magic Quadrant for SIEM 2022“ als Leader eingestuft – zum 13. Mal in Folge.
plusserver kümmert sich vollumfänglich um die Verwaltung aller Dienste wie zum Beispiel:
- Bereitstellung der SIEM-Plattform und Log-Collectoren (IBM QRadar)
- Anbindung definierter IT-Systeme (z. B. EDR-Plattform, Firewalls)
- Automatisierte Korrelation von Events
1st- und 2nd-Level-Analyse von Sicherheitsevents - Unterstützung des Kunden im Bedrohungsfall (nach z. B. Run- und Playbook)
- Wartung, Hochverfügbarkeit und Optimierung der SIEM-Plattform
- Erstellung von Berichten und Reports
Mit dem SOC as a Service, der – inklusive dem Betrieb der SIEM-Plattform in der souveränen pluscloud – komplett in Deutschland angeboten wird, unterstützt plusserver unter anderem die Bewältigung gewisser Compliance-Herausforderungen (z. B. SiG 2.0) sowie die Nutzung von Versicherungsleistungen.
Schieben Sie Cybercrime einen Riegel vor
Sorgen Sie für Transparenz und Schutz: Starten Sie jetzt mit Ihrem effizienten 24/7 Security Operations Center.