Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die Transformation des SOC Bereits heute die Security Operations von morgen gestalten
Einführung Funktionsumfang des SOC
Interne SOC-Teams legen in der Regel zur Verwaltung der Vorfallreaktionen wie 2
Security information and event
management (SIEM), TechTarget
nicht die Sicherheitsstrategie für das Malware-Analyse, forensische Analyse 3
SOAR (Security Orchestration,
Wie stellen Sie sich ein Security Operations Center (SOC) vor? Handelt gesamte Unternehmen fest. Vielmehr und Ursachenanalyse, Lösungen zur Automation and Response),
TechTarget
es sich um ein straff organisiertes Team von Sicherheitsanalytikern und sind sie für die Ausführung der laufenden Bedrohungsaufklärung sowie allgemeine 4
What is a Security Operations
Datensicherheitsmaßnahmen ihres Berichterstattung im Rahmen von Compliance- Center (SOC)? – Digital Guardian
-technikern, die Vorfälle erkennen, analysieren und darauf reagieren Unternehmens und die Überwachung der Anforderungen einsetzt, dann verfügt sie sehr
sowie zur Umsetzung der Sicherheitsstrategie des Unternehmens Hand Angriffsfläche zuständig. Vorgegeben wird die wohl über den Funktionsumfang eines SOC. Und
Cybersicherheitsstrategie von den zuständigen solange Organisationen Daten erfassen und
in Hand mit den Führungskräften der Fachabteilungen arbeiten? Oder Führungskräften – CTOs, CSOs und CISOs –, die zentral speichern können – sei es für das eigene
um eine überschaubare Anzahl von Analysten, die den ganzen Tag lang dem SOC die erforderlichen Systeme und Tools Team oder für einen externen MSP –, können die
zu ihrer Umsetzung bereitstellen: Endpoint Sicherheitsbeauftragten ihre Funktion effektiv
damit beschäftigt sind, Sicherheitsprobleme reaktiv, punktuell und Security, Firewalls, SIEMs,2 SOARs,3 usw. Im SOC erfüllen.
ohne strategische Priorisierung zu beheben? arbeiten Sicherheitsanalytiker gemeinsam an
Unabhängig davon, ob ein SOC intern verwaltet
der Erkennung, Analyse, Abwehr, Meldung und
oder extern von einem MSP betrieben wird,
Verhinderung sicherheitsrelevanter Vorfälle.4
sind bei der Abwägung der Vor- und Nachteile
„Daten sind das Lebenselixier des SOC“, so des jeweiligen Ansatzes drei Hauptpunkte zu
Michael Madon, der als Senior Vice President und bedenken. Jedes SOC braucht Mitarbeiter, und
General Manager bei Mimecast für Produkte zur angesichts des weltweiten Fachkräftemangels
Verbesserung von Sicherheitsbewusstsein und im Bereich der Cybersicherheit ist die
Nun stellen Sie sich eine dritte Alternative vor: Diese Lösungsvielfalt und die 1
How Does Mimecast Help Bedrohungsaufklärung verantwortlich ist. „Diese Berücksichtigung der menschlichen
Handelt es sich vielleicht um einen Managed unternehmenskritische Rolle des SOC bei Improve the Performance of Präventivsysteme sind wichtige Datenquellen, die Komponente von vorrangiger Bedeutung.
Security Operations Centers?
Services Provider (MSP), der ein externes SOC der Erkennung und Abwehr potenzieller das SOC bei der Erfüllung der Erfolgskennzahlen Jedoch können die IT-Sicherheitsbeauftragten
unter Einhaltung spezifischer Erfolgskennzahlen Bedrohungen waren Hauptthemen des und der Verbesserung der Früherkennungsquote diese Herausforderungen nicht allein bewältigen,
und Leistungsvorgaben betreibt? Cyber Resilience Think Tank (CR Think Tank) unterstützen, Kontext für Integrationen liefern zumal böswillige Akteure zunehmend
bei der RSA Conference im Februar 2020. und eine schnellere Bedrohungsabwehr hochentwickelte Malware und andere
In Bezug auf das menschliche Element
Im Mittelpunkt standen dabei die Vor- und ermöglichen.“ Technologien gegen Unternehmen einsetzen.
der Teamführung, die Formulierung
Nachteile interner und externer Modelle Unabhängig von der konkreten Struktur des SOC
einer effektiven Cybersicherheitsstrategie Vor diesem Hintergrund ist die Integration
sowie die Identifizierung erfolgreicher muss die Unternehmensführung entsprechend in
und die zugrundeliegenden Tools und mit SIEM- und SOAR-Systemen ein
Ansätze. Dem unabhängigen CR Think Technologie und Automatisierung investieren.
Technologien bieten sich quasi unbegrenzte ausschlaggebender Faktor für die Effizienz und
Tank gehören Einflussnehmer aus der Die dritte und letzte Frage lautet: Welche
Kombinationsmöglichkeiten. Allzwecklösungen Effektivität des SOC.
Branche an, die gemeinsam praxisbasierte Prozesse und Effizienzen kann die Verbindung
gibt es beim Aufbau und Betrieb eines SOC nicht:
Ratschläge und Lösungsmöglichkeiten für die Das gilt selbstverständlich gleichermaßen für von Fachpersonal und Automatisierungstools
Das Erfolgsrezept des einen Unternehmens
Herausforderungen erarbeiten, vor denen Unternehmen, die ihr SOC von einem MSP freisetzen? Wie steuern Sie Ihr Team auf
würde beim anderen womöglich scheitern.1
Unternehmen beim Thema Cyber Resilience betreiben lassen. Extern betriebene SOCs sollten Erfolgskurs?
Wieder andere Organisationen bewältigen die
stehen. in enger Zusammenarbeit mit den internen
Herausforderungen der Erkennung und Abwehr
IT-Sicherheitsbeauftragten Berichte erstellen,
von Bedrohungen sogar ohne ein SOC.
Schlüsselkennzahlen wie Verweildauer von
Angriffen und Protokollstatus austauschen und
Empfehlungen zur Verbesserung der Ergebnisse
erarbeiten.
Als weiterer wichtiger Faktor ist dabei zu
berücksichtigen, dass viele Organisationen
zwar von sich behaupten würden, sie hätten
kein SOC. Wenn eine derartige Organisation
jedoch Funktionen zur Überwachung, Erkennung
und Ermittlung von Sicherheitsvorfällen und
Priorisierung von Warnungen, Verfahren
2 3
Die
Bei der derzeitigen Entwicklungsgeschwindigkeit 5
Strategies for Building & Growing
Strong Cybersecurity Teams,
der Wirtschaft müssten wir die Belegschaft um (ISC)2 Cybersecurity Workforce
145% aufstocken, um die Lücke zu schließen. Study
6
Artificial Intelligence (AI) and
Manche Führungskräfte nutzen intensive Security: A Match Made in the
Weiterbildungsprogramme, um sowohl die SOC, IBM Security
Cybersicherheit des Unternehmens als auch
Komponente
die Moral der Mitarbeiter zu stärken. Unter
diesen Umständen erweist sich die Rekrutierung
qualifizierter Mitarbeiter zur Besetzung von SOCs
zunehmend als Herausforderung: Der Mangel
an Analysten auf allen Ebenen führt leicht zur
Überarbeitung und Überforderung der in einem
Unternehmen vorhandenen Analysten. Die Folge:
sinkende Motivation und hohe Fluktuation.6
Mensch
„Kompetenzen sind für uns der wichtigste Faktor
überhaupt“, bekräftigt Claus Tepper, der bei der
Absa Group die Abteilung für Cybersicherheit
leitet. „Hier in Südafrika haben wir genau wie
in anderen Ländern auch ein grundlegendes
Problem, die richtigen Mitarbeiter ins Boot zu
holen.“ Zur Lösung dieses Problems gründete
man bei Absa eine Akademie zur Aus- und
Weiterbildung von Nachwuchskräften. Dieses
Konzept hat sich als unbedingt notwendig
Dass in der Cybersicherheit ein und überaus erfolgreich bewährt. Allerdings
hat sich ebenfalls herausgestellt, dass sich die
eklatanter Fachkräftemangel erforderlichen Kompetenzen für den effizienten
herrscht, ist nicht nur allgemein Betrieb eines SOC nicht über Nacht antrainieren
lassen, sondern im Laufe mehrerer Jahre
bekannt, sondern auch erarbeitet werden müssen.
wissenschaftlich nachgewiesen.
Eine Studie des (ISC)2 aus dem Fachkräftemangel der USA im
Jahr 2019 kam zu dem Ergebnis, Bereich Cybersicherheit:
500.000
dass allein in den USA ca. eine
halbe Million Experten für
Cybersicherheit fehlen. Weltweit
wird die Lücke anhand von
Schätzungen für elf der größten
Volkswirtschaften auf knapp über Weltweiter Fachkräftemangel
vier Millionen beziffert.5 im Bereich Cybersicherheit
mehr als 4 Millionen
4 5
Im Unternehmen Cybereason führte der Bei Cymatic setzt Chief Security und Trust „Ein externes SOC kann problemlos einzelne Die Frage, welches SOC-Modell am besten
Sicherheitschef Sam Curry ein Ausbildungs- Officer Malcolm Harkins auf die Weiterbildung Vorfälle in Ihrem Auftrag bearbeiten“, so ist – intern, extern oder eine Mischform –,
und Weiterbildungsprogramm ein, da er der vorhandener Mitarbeiter. Diese sei zwar mit Small. „Wenn Sie jedoch quasi sämtliche wird sich wohl niemals lösen lassen. In einem
Überzeugung war, dass die Sicherheitsexperten etwas Zeit und Mühe verbunden, aber durchaus Schmerzrezeptoren auslagern, verlieren Sie Punkt sind sich die Experten jedoch einig:
mehr Vielfalt sowie kreatives Denken unter den zielführend: womöglich die Fähigkeit, Muster und breitere Je besser SOC-Analysten und -Techniker
Bewerbern fördern müssen. Im Rahmen dieses Trends zu erkennen und entsprechend zu auf die Cybersicherheitsstrategie sowie die
„Struktur steuert Verhalten“, davon ist
Programms kommt eine solche Förderung reagieren.“ Geschäftsabläufe und -ziele Ihres Unternehmens
Harkins überzeugt. „Wir haben kreative
jeweils fünf aufstrebenden Analysten ohne abgestimmt sind, desto stärker ihr intrinsisches
Ansätze ausprobiert, damit die Mitarbeiter Er warnt: „Selbst wenn Sie einen externen
technische Qualifikation zugute. Curry merkt an, Engagement. Die besten Ergebnisse erzielen
aus ihrem Alltagstrott rauskommen, wie z. Anbieter dafür bezahlen, um sich mit Ihren
dass Sicherheitstools für Chefanalysten (Tier 3) Sie, wenn die Leistungskennzahlen des
B. Jobrotationen zwischen Teams oder auch Problemen zu befassen, nimmt dieser nicht
konzipiert würden, die sich die Denkweise der SOC in einem unmittelbaren Bezug zu den
Werksbesuche für IT-Sicherheitsbeauftragte und unbedingt das große Ganze in den Blick, so wie
Bedrohungsakteure zu eigen gemacht hätten Sicherheitsanforderungen des
Führungskräfte. Sobald man den Mitarbeitern es interne Mitarbeiter tun würden.“
und entsprechend nach dem Motto „Vertrauen Unternehmens stehen.
die unternehmenskritische Bedeutung und
ist gut, Verifizierung ist besser“ an Systeme und Neu ist das Konzept der Visualisierung und
besonderen Anforderungen einer Funktion
Daten herangingen. Vor diesem Hintergrund Analyse von Bedrohungstrends natürlich nicht
nahebringt, sind sie in der Regel schwer
sei es erforderlich, das Fachwissen dieser – seine Umsetzung kann sich jedoch schwierig
beeindruckt.
Sicherheitsexperten durch eine Kombination gestalten, wenn die hohe Anzahl der Vorfälle
aus Automatisierung, unterschiedlichen Wenn das bei zwei Mitarbeitern gelänge, sich nicht mehr von menschlichen Arbeitskräften
Denkansätzen und ein heterogenes Team von meint Harkins, „verbreiten sie die Botschaft alleine bewältigen lässt. Viel zu oft meldeten
Mitarbeitern zu ergänzen. per Mundpropaganda“. Dabei sei es externe SOCs einen Vorfall erst drei oder vier
allerdings wichtig, dass die Kompetenzen Stunden später, moniert der Chief Information
geeigneter Mitarbeiter aus den Technik- oder Security Officer bei Rapid7, Shawn Valle. Für ihn
Sicherheitsteams zwar zur Bereitstellung sei das nicht hinnehmbar.
zusätzlicher Kapazitäten bei Auslastungsspitzen
„Dabei wissen wir doch alle, dass Ransomware
eingesetzt, anschließend jedoch möglichst
oder anderer schädlicher Code sich innerhalb von
Struktur steuert zeitnah wieder ihren eigentlichen Aufgaben
zugeführt werden. Dies erfordere Disziplin, sonst
Millisekunden im gesamten Netzwerk verbreiten
kann“, so Valle. „Das wird dann zumeist auf die
Verhalten „werden immer alle in die Aufgaben des SOC
hineingezogen“.
Überlastung der Mitarbeiter geschoben – aber im
Malcolm Harkins, Chief Security & Trust Officer von Cymatic Grunde ist es so, als hätte man eine Alarmanlage,
MSPs, die externe SOCs betreiben, haben ebenso die erst losgeht, nachdem die Polizei bereits Ihre
mit dem Fachkräftemangel zu kämpfen wie Angaben aufgenommen und den Tatort wieder
traditionelle Unternehmen. verlassen hat.“
Für den Chief Security Officer bei ZeroFOX, Selbst wenn Sie einen externen
Dr. Sam Small, ist die Entscheidung zwischen
externem und internem SOC kein Entweder/oder, Anbieter dafür bezahlen, um
sondern eher ein sowohl/als auch.
sich mit Ihren Problemen zu
befassen, nimmt dieser nicht
unbedingt das große Ganze
in den Blick, so wie es interne
Mitarbeiter tun würden.
Dr. Sam Small, Chief Security Officer von ZeroFOX
6 7
Technologie und
wertvolle Hilfestellung leisten, indem mithilfe der Leistung anhand unterschiedlicher Kennzahlen.
erfassten Daten eine ganzheitliche Sicht auf die In späteren Phasen, so die Mitglieder des CR
– interne oder externe – Sicherheitsumgebung Think Tank, lasse sich mithilfe solcher Tools
ermöglicht wird. eine Gesamtübersicht des Sicherheitskonzepts
Automatisierung
erstellen – und zwar in zwei unterschiedlichen
Für neuere Unternehmen bzw. solche, die bereits
Versionen für technisch mehr oder weniger
über ein überzeugendes Sicherheitskonzept
versierte Zielgruppen (Analysten bzw.
verfügen, hat Valle Empfehlungen für eine
Geschäftsführung).
erfolgreiche Automatisierung parat. Zwar handle
es sich dabei zumeist um einen laufenden Madon zufolge lässt sich dadurch ein
Dialog; jedoch sei es in der Regel ratsam, die Kommunikationsfluss in beide Richtungen
Automatisierung als erstes in Angriff zu nehmen. fördern – über das Potenzial unterschiedlicher
Tools zur Herbeiführung eines Kulturwandels,
Im Jahr 2020 wäre es undenkbar, über Strategien zur Verbesserung, „Software-Entwickler fangen mit den APIs an und
über bevorstehende Veränderungen und
bauen darauf die Benutzeroberfläche auf. Dieser
Beschleunigung und Effizienzsteigerung im Bereich IT-Sicherheit zu Ansatz ist auch für SOC-Teams erwägenswert“,
natürlich auch über deren Auswirkungen auf das
Produkt und das Unternehmen insgesamt.
sprechen, ohne Automatisierung, maschinelles Lernen und künstliche meint er. „Die Strategie, von Anfang an mit
Automatisierung zu arbeiten, stärkt unserer Trotz allem verlangt die Akzeptanz von
Intelligenz zu erwähnen. Tatsächlich bergen Automatisierungstools das Überzeugung nach die Analysten und befähigt Automatisierung – genau wie jeder andere
Potenzial einer erheblichen Arbeitserleichterung durch Reduzierung sie zu besseren Leistungen; sie führt keineswegs Kulturwandel auch – den betroffenen
zum Abbau von Arbeitsplätzen.“ Unternehmen viel ab. Das gilt erst recht dort, wo
von Alarmmüdigkeit, Steigerung der Produktivität und Verkürzung der die Silo-Mentalität fest verwurzelt ist und es mit
In vielen Unternehmen kämen Tools und
durchschnittlichen Behebungszeit. Automatisierung erst zu spät ins Spiel, so Valle
der Kommunikation zwischen unterschiedlichen
Geschäftsbereichen hapert. Sue Lapierre, Vice
weiter. Besser sei es, diese von vornherein in die
President für Information Security bei Prologis,
Der CR Think Tank schließt sich jedoch den Compliance und Datenschutz zuständig ist. Unternehmenskultur zu integrieren, damit diese
betont, wie wichtig es sei, die Dringlichkeit der
Warnungen anderer Cybersicherheitsexperten zu einem natürlichen Bestandteil sämtlicher
Lage zu vermitteln.
vor einer unzureichend durchdachten „Meiner Ansicht nach sind wir jetzt an dem Punkt Arbeitsabläufe würden.
Automatisierung an. Curry hält es für unbedingt angelangt, wo es demnächst KI-Cyberanalysten „Man muss den Fachabteilungen unbedingt
geben wird“, so Stebila. „Tatsächlich ist es bereits Bei ZeroFOX will Dr. Small die Akzeptanz der
erforderlich, das Bewusstsein für die Schwächen klarmachen, dass Cybersicherheit eine ständige
soweit. Unternehmen wenden maschinelle Automatisierung durch einen Kulturwandel
der Automatisierung zu schärfen: Je mehr Aufholjagd ist“, mahnt sie an. „Und dass die
Lernalgorithmen auf Entscheidungen an, die fördern. Er setzt dabei auf eine Demokratisierung
Aufgaben ein Unternehmen automatisiere, böswilligen Akteure ihre Taktiken andauernd
Analysten auf unterer und mittlerer Ebene (Tier 1 der Automatisierung im Bereich Cybersicherheit.
desto einfacher könnten böswillige Akteure die ändern und wir da mithalten müssen. Wenn
und 2) für jeden einzelnen Vorfall aus den letzten Dazu müsse jedoch die zugrundeliegende Logik
Strategie durchschauen. das Unternehmen also z. B. ein neues Produkt
fünf Jahren treffen. Die Analysten können sich auch den Team- und Abteilungsleitern auf
oder eine Dienstleistung auf den Markt bringt,
„Im Grunde ist die Automatisierung selbst eine derweil anderen Aufgaben widmen. Aufgaben, unterer Führungsebene offengelegt werden. Im
stellt sich sofort die Frage: Wie können wir es
Schwachstelle“, meint Curry. „Es ist notwendig, die einen menschlichen Mitarbeiter in jeder Klartext: Große wie kleine Unternehmen neigen
schützen?“
die blinden Flecken in pseudozufälligen Arbeitsstunde fünf oder zehn Minuten kosten, zur Geheimniskrämerei, wenn es um die SOC-
Intervallen zu überprüfen, um zu erkennen, wer bewältigt der KI-Cyberanalyst innerhalb einer Strategie geht. Vermeiden ließe sich diese Aufholjagd nur, wenn
sich dort versteckt, sonst wird die Maschine Nanosekunde.“ Fachabteilungen und IT-Sicherheitsbeauftragte
Wenn CISOs jedoch in der Lage sind,
vorhersehbar und damit leicht zu manipulieren. proaktiv Hand in Hand arbeiten.
Stebila zufolge gehen viele dieser Unternehmen technologiebezogene Entscheidungen
Entsprechend darf Automatisierung nicht zum transparenter zu machen, trägt dies zur
Selbstzweck werden, sondern muss dazu dienen, davon aus, dass es künftig möglich sein wird,
KI-Datenanalysten zur Prävention und sofortigen Erweiterung der Perspektive bei, bezieht andere
die Effektivität der menschlichen Arbeitskräfte Entscheidungsträger in den Prozess ein und baut
zu steigern und den Wert ihrer Ergebnisse zu Blockierung von Angriffsversuchen einzusetzen.
Hemmschwellen gegenüber der Automatisierung
verbessern, ohne dass das gesamte System Das klingt und ist sehr ambitioniert – ab. Über fällige Aktualisierungen einzelner
dadurch geschwächt wird.“ Unternehmen, die nicht über eine solide Talent- Tools oder Funktionen zur Minderung von
Im Mittelpunkt müsse das Bestreben Pipeline an Analysten auf unterer und mittlerer Schwachstellen und Überprüfung toter Winkel
stehen, Automatisierung zur Aufwertung der Ebene (Tier 1 und 2) verfügen oder deren sollten die Leiter der Fachabteilungen sowieso
menschlichen Arbeitskraft einzusetzen, meint Vorfallsmanagement in den letzten paar Jahren auf dem Laufenden gehalten werden.
auch Maurice Stebila, der als CISO bei der zu wünschen übrig ließ, sollten sich auf die
Schaffung dieser unverzichtbaren Grundlagen Zur Diskussion stand außerdem die Nutzung
Samsung-Tochter HARMAN für strategische von Tools zur Datenvisualisierung bzw. die
Beratung in den Bereichen Cybersicherheit, konzentrieren, bevor sie sich auf irgendwelche KI-
Implementierungen einlassen. Ein SIEM kann hier Erstellung von Dashboards zur Messung der SOC-
8 9Prozesse
„Eine Zusammenarbeit zwischen dem „Anstatt jediglich ein Zeitziel für den gesamten
Netzwerk- und dem Sicherheitsteam kann Zyklus festzulegen, sollte man analysieren, wie
durchaus fruchtbar sein, weil eine Menge viel Zeit jeweils zur Behebung der einzelnen
Kommunikationsbedarf besteht“, so Stebila. Probleme benötigt wird“, fordert Curry. „Sonst
und Effizienz
„Wenn beide Teams zusammenbringen, nützt führt es dazu, dass man sich nur um eine
das dem Unternehmen – denn wenn der schnellere Erkennung statt um eine kürzere
Server ausfällt, ist es aus Sicht der betroffenen Verweilzeit bemüht – so lässt sich die Gesamtzeit
Fachabteilungen unerheblich, ob es sich um natürlich auch reduzieren. Indes sollten wir
einen sicherheitsrelevanten Vorfall handelt, darauf achten, dass sämtliche Phasen des Zyklus
der durch einen Virus verursacht wurde, oder gleichermaßen berücksichtigt werden.“
ob ein Ventilator kaputt ist. Gemeinsam sollte
es den beiden Teams gelingen, das Problem zu
Mittlerweile besteht weitgehend Einigkeit darüber, dass beheben.“
eine Kombination aus Analysten auf verschiedenen Ebenen Allerdings sollten die verantwortlichen
Führungskräfte unbedingt darauf achten, dass
sowie Automatisierungs- und Orchestrierungstools am Sicherheitsprobleme nicht durch operative Fragen Anstatt jediglich ein Zeitziel
ehesten geeignet ist, die Effizienz eines – extern oder intern überlagert werden.
betriebenen – SOC zu gewährleisten. Dies sei vor allem in größeren Unternehmen
für den gesamten Zyklus
an der Tagesordnung, wie Harkins berichtet.
Die Folge: eine potenzielle Überlastung der
festzulegen, sollte man
Damit ist das Thema jedoch keineswegs erledigt. und bewältigt werden. James Lugabihl, Senior
Bei vielen Unternehmen wird der Ansatz Director of Execution Assurance bei ADP, wies auf Analysten, die dadurch zudem leicht von ihren analysieren, wie viel Zeit
verfolgt, Agilität bzw. Kommunikation zwischen die Bedeutung einer GRC-Plattform (Governance, eigentlichen Kernaufgaben der Erkennung und
verschiedenen Teams durch physische Nähe zu Risk and Compliance) als zuverlässige zentrale Abwehr von Bedrohungen abgelenkt würden. jeweils zur Behebung der
Seine Empfehlung lautet, die Teams zwar in
fördern. So kann es gerade bei kleineren bzw.
jüngeren Unternehmen durchaus sinnvoll sein,
Datenquelle für das SOC hin. Auf diese Weise
lasse sich die Integration von Cybersicherheits- physischer Nähe zueinander zu platzieren, dabei einzelnen Probleme
jedoch eine strukturelle und operative Trennung
die für Erkennung und Abwehr zuständigen
SOC-Teams in unmittelbarer Nähe des
und Betrugsvorfällen, Compliance-
Anforderungen usw. gewährleisten. zu gewährleisten. Soweit möglich, sollte zudem benötigt wird.
Produktentwicklungsteams zu platzieren, um durch teamübergreifende Jobrotationen Sam Curry, Chief Security Officer von Cybereason
Umgekehrt ist es gerade bei den bereits der Austausch und Aufbau von Fachwissen,
beim iterativen Verfahren zur Entwicklung neuer
erwähnten größeren Unternehmen mit Silo- Kompetenzen und gegenseitiger Achtung
Tools einen ständigen Austausch zu fördern.
Mentalität und unzureichender Kommunikation gefördert werden.
Dieser Ansatz kann auch dazu beitragen, das zwischen den Geschäftsbereichen eher Tepper zufolge lässt sich tendenziell eine
Ticketmanagement zwischen Produkt und üblich, SOCs und Network Operations Centers Effizienz und Leistungskennzahlen werden Verbesserung sämtlicher Leistungskennzahlen
SOC zu optmieren. Diesen Ansatz halten die (NOC) zusammenzulegen. Curry stimmt zu, für Sicherheits- und operative Teams separat erzielen, wenn Sicherheitschefs ihre Analysten
Sicherheitsexperten des CR Think Tank durchaus dass diese beiden Bereiche logischerweise gemessen. Schließlich sind alte und neue, große zur Weiterbildung in anderen Bereichen
für sinnvoll. Als fiktives Beispiel wurde in der zusammengehören. Die Mitglieder des CR Think und kleine Unternehmen gleichermaßen bemüht, anspornen und entsprechende Angebote – etwa
Diskussion ein Vorfall genannt, der sich als Tank sind sich jedoch einig, dass dieser Ansatz ihre Budgets für Technologieinvestitionen in Form einer Akademie oder einer Zertifizierung
operatives Problem entpuppt; aufgrund der nur unter bestimmten Rahmenbedingungen und Personalkosten möglichst effektiv – bereitstellen.
physischen Nähe der Sicherheitsbeauftragten erfolgreich ist. einzusetzen, und definieren die entsprechenden
Staatliche Behörden können durch externe
zum operativen Team könnten Abnormalitäten in Erfolgskennzahlen auf der Basis dieser Faktoren.
Auftragsvergabe Effizienzgewinne erzielen, glaubt
den Betriebsabläufen schnell als solche erkannt Der Erfolg des SOC wird u. a. an der Verweildauer
Ari Schwartz, Managing Director of Cybersecurity
von Angriffen gemessen, die bei sehr effizienten
Services bei Venable.
Unternehmen von weniger als einer Stunde bis
hin zu zwei oder drei Stunden reichen kann. „Meine Empfehlung für die Cybersicherheit
bei staatlichen Behörden lautet, dass
Die Verweilzeit gibt Auskunft darüber, wie
Automatisierung unbedingt Bestandteil der
schnell ein sicherheitsrelevanter Vorfall erkannt
offiziellen Rahmenrichtlinien sein muss“, meint
und behoben wurde, und gilt allgemein
Schwartz. „Darüber hinaus sind viele staatliche
als sehr wichtiger Maßstab für den Erfolg
Behörden mit der Auftragsvergabe an einen
eines SOC. Die Experten warnen jedoch vor
MSP sehr gut gefahren. Auch Colocation-Modelle
einer ausschließlichen Fokussierung auf die
bieten sich im Hinblick auf Effizienzgewinne als
Reduzierung dieses Werts.
vielversprechende Alternative an.“
10 11Je nach den Anforderungen Ihres Unternehmens erhalten und dabei die langfristigen Auswirkungen
ist es durchaus möglich, dass die Verwaltung auf das Unternehmen insgesamt berücksichtigen,
Ihres SOC durch einen externen Betreiber mehr dann wird aus der reinen Vertragsbeziehung eine
Nachteile als Nutzen bringt. Unter Umständen Partnerschaft.
kann auch aufgrund von Unstimmigkeiten in
Für Unternehmen, die sich mit der Besetzung
der Berichterstattung des Fremdanbieters
von Analystenstellen auf unterer Ebene (Tier 1)
ein Vertrauensmangel entstehen. Es kann
schwertun, kann es möglicherweise sinnvoll sein,
auch passieren, dass das externe SOC zu viele
die entsprechenden Tätigkeiten an einen externen
Fehlalarme sendet oder umgekehrt zu wenig
Anbieter zu vergeben. Analystenaufgaben auf
potenzielle Bedrohungen meldet.
mittlerer Ebene (Tier 2) werden weiterhin intern
Intern
Teilweise werden externen Betreibern jedoch bearbeitet. Dadurch hat das SOC-Team freie
nicht alle Daten bzw. Protokolle zur Verfügung Kapazitäten für Aufgaben wie die Entwicklung
gestellt, die für eine erfolgreiche Arbeit bzw. Anschaffung und Implementierung von IT-
erforderlich wären. Auch dies kann zu einem Sicherheitsprodukten und anderen Lösungen, die
Verlust des Vertrauens in das Sicherheitskonzept unternehmensweit zum Schutz von Mitarbeitern
insgesamt führen. Hinzu kommt, dass MSPs mit und Kunden benötigt werden.
dem gleichen Fachkräftemangel zu kämpfen
Unabhängig vom konkreten Format des SOC
oder
haben wie intern betriebene SOCs: Die Talent-
gilt Curry zufolge: „Die meisten Unternehmen
Pipeline sieht überall dürftig aus.
betrachten IT-Sicherheitsfunktionen nach wie
Wenn ein externes SOC mit den vor als Nebenbeschäftigungen, die nicht zum
Geschäftsprozessen und Unternehmenszielen Kerngeschäft gehören. Um dagegen anzukämpfen,
im Einklang steht, kann es sich als ungemein muss man von den jeweiligen Prioritäten des
wertvolle Ergänzung erweisen. Wenn z.B. Unternehmens ausgehend den Beitrag aufzeigen,
extern:
IT-Fachkräfte und Sicherheitsexperten den Sicherheitsbeauftragte zur Wertschöpfung
Informationen über sicherheitsrelevante Vorfälle leisten. Vor allem sollte das SOC sich möglichst eng
in ihrer Infrastruktur und deren Behebung am Unternehmen ausrichten.“
Empfehlungen aus dem
Vor- und Nachteile Think Tank
1. Sorgen Sie dafür, dass Ihre SOC-Analysten und -Ingenieure
genau auf die Cybersicherheitsstrategie und das
Gesamtgeschäft Ihres Unternehmens abgestimmt sind.
5. Ermitteln Sie die passenden Erfolgskennzahlen für Ihr SOC
und messen Sie die Leistungen kontinuierlich.
6. Schaffen Sie Anreize für Ihre Sicherheitsanalysten zur
2. Sichern Sie sich die Zustimmung wichtiger Entscheidungsträger kontinuierlichen Weiterbildung und Verbesserung der
aus allen Geschäftsbereichen, indem Sie sie in Ergebnisse.
technologiebezogene Entscheidungen einbinden.
7. Steuern Sie Ihr SOC auf Erfolgskurs, indem Sie sicherstellen,
3. Geschäft und Sicherheit sollten in regelmäßigen Abständen dass die Sicherheitsexperten auf alle erforderlichen Daten
im Gleichschritt sein, um Bedarfslücken in der IT-Sicherheit zugreifen können.
zu vermeiden und die SOC-Praktiken stets auf dem neuesten
8. Wenn Sie einen externen Anbieter beauftragen, sollten
Stand zu halten.
Sie das SOC so eng wie möglich in Ihre Geschäftsabläufe
4. Zur Gewährleistung effizienter Maßnahmen (und guter einbinden, damit aus der Vertragsbeziehung eine echte
Arbeitsmoral) vermeiden Sie, dass operative Probleme Partnerschaft wird.
Sicherheitsfragen überlagern.
12 13Über den Cyber Resilience Think Tank
Was lässt sich daraus schließen? Der Cyber Resilience Think Tank ist eine unabhängige Gruppe von Entscheidungsträgern aus der Branche, die sich der
Aufgabe verschrieben hat, die Herausforderungen in Sachen Cyber Resilience zu untersuchen, mit denen Organisationen
Angenommen, Sie verfügen über die entsprechende Finanzierung und die Unterstützung Ihrer
auf der ganzen Welt konfrontiert sind, und gemeinsam Empfehlungen für mögliche Lösungsansätze zu erarbeiten.
Geschäftsführung für den Aufbau eines zukunftsfähigen SOC: Wie geht es jetzt weiter? Die Experten vom
CR Think Tank raten dazu, Ihr vorhandenes – intern oder extern betriebenes – SOC vorerst beizubehalten, Der Begriff Cyber Resilience wird dabei wie folgt definiert: “Die Fähigkeit einer Organisation, sich an schädliche
solange es dem Unternehmen noch einen Nutzen bringt. Zugleich sollten Sie sich jedoch Gedanken Cybervorfälle anzupassen und auf diese zu reagieren - unabhängig davon, ob es sich um interne oder externe, böswillige
darüber machen, was zukünftig anders werden soll, und diese Veränderungen schrittweise umsetzen: oder unbeabsichtigte Vorfälle handelt - in einer Weise, welche die Vertraulichkeit, Integrität und Verfügbarkeit von Daten
und Diensten, die für die Organisation bedeutsam sind, aufrechterhält”.
Unterstützen Sie die vorhandenen Analysten weiterhin nach Kräften.
1 Achten Sie auf ihre Arbeitsbelastung, aber auch auf Anzeichen einer potenziellen Ermüdung der
Wachsamkeit und ihre Motivation insgesamt. Malcolm Harkins Juan Harmse Taylor Lehmann
Chief Security & Head of Resilience Strategy & CISO
Trust Officer Engagement AthenaHealth
Bauen Sie die Talent-Pipeline auf. Cymatic ABSA GROUP
Das ist sowieso immer eine kluge Strategie – und angesichts der klaffenden Schere
2 zwischen Angebot und Nachfrage auf dem Arbeitsmarkt für Cybersicherheitsfachkräfte eine
unverzichtbare Voraussetzung für den Erfolg Ihres SOC.
Gary Hayslip Sue Lapierre Peter Tran
CISO VP, Information Security Vice President, Head of
Maximieren Sie das Potenzial der vorhandenen Fach- und SoftBank Investment Adviors Officer Global Cyber Defense &
Nachwuchskräfte durch Bereitstellung von Kommunikationskanälen, Prologis Security Strategy
Worldpay
die eine effizientere Abwicklung sicherheitsrelevanter Aufgaben
3 (Ticketbearbeitung, Vorfallreaktion usw.) unterstützen.
Unabhängig davon, welcher Ansatz am besten zu Ihrem Unternehmen passt – SOC/NOC, Dr. Sam Small Maurice Stebila Jakub (Kuba) Sendor
SOC/Produktentwicklung oder auch eine physische und strukturelle Trennung der Teams mit CSO CISO, Digital Cyber Security, Software Engineer
ZeroFOX Compliance & Privacy Officer Yelp
regelmäßigen Jobrotationen – gilt in jedem Fall: Entwickeln Sie eine Nachwuchsstrategie und
HARMAN by Samsung
arbeiten Sie an der nachhaltigen Umsetzung.
Machen Sie sich das Potenzial von Technologien zunutze.
Dazu gehören z.B. SIEM oder SOAR, die Vorfälle von Endbenutzergeräten, Servern und James Lugabihl Ari Schwartz Stephen Ward
4 Netzwerkgeräten sowie von Sicherheitseinrichtungen wie Firewalls, AV-Scannern oder IPS Senior Director, Global Managing Director of CISO
Home Depot
erfassen und Sie bei der Verwaltung von Ermittlungs- und Behebungsvorgängen Security Cybersecurity Services
ADP Venable
unterstützen können.
Die auf diese Weise erfassten Daten können für Verlaufsanalysen
verwendet sowie den Leitern der Fachabteilungen zugänglich Dawie Wemtzel Chris Wysopal Sam Curry
CSO
gemacht werden. Head of Forensic
Investigations
Chief Technology Officer
Veracode CYBEREASON
5 Sobald Sie einen ganzheitlichen Überblick Ihrer Datensicherheitsumgebung gewonnen haben
und diesen gegenüber anderen Geschäftsbereichen kommunizieren können, sollten Sie Ihr
ABSA GROUP
SIEM mit einem SOAR erweitern. Alternativ bietet Ihr SIEM-Anbieter möglicherweise eine SOAR-
Funktion an – dadurch ersparen Sie sich die Implementierung zusätzlicher Tools und Anbieter in
einer Umgebung, die vermutlich bereits unübersichtlich genug ist.7 Greig Arnold Bill Brown Marc French
CISO CSO CISO, Managing Director
Vista Consulting Group ClickSoftware Product Security Group
Bei der Entscheidung über die komplette oder Genauso gut ist es jedoch möglich, dass die 7
Decluttering Your Security
Environment, CR Think Tank
teilweise Auslagerung von Sicherheitsaufgaben hier aufgeführten Faktoren ein überzeugendes
müssen die unternehmensspezifischen Argument dafür darstellen, die Vorteile der
Bedingungen stets berücksichtigt werden. Anwerbung und internen Ausbildung von Josh Douglas Scott Eigenhuis Shawn Valle
Wenn es sich um eine simple „Make or Nachwuchskräften erneut zu prüfen. So oder VP Product Management Associate Director, CSO
Threat Intelligence Information Security RAPID7
buy“-Entscheidung (Eigenfertigung versus so sind für den Erfolg eines SOC mehrere MIMECAST ILLUMINA
Fremdbezug) handelt und die Außenperspektive Elemente ausschlaggebend: gut ausgebildete
externer Analysten präferiert wird, ist die Frage Analysten und Techniker, hochentwickelte
damit u. U. schon beantwortet – zumal wenn Tools und Automatisierung sowie die finanzielle
der externe MSP die gewünschten Leistungen zu und strukturelle Unterstützung durch ein Michael Madon Claus Tepper
SVP & GM Security Awareness Head of Cyber Security
einem Preis anbietet, der attraktiver ist als der effizientes Unternehmen mit transparenten and Threat Intelligence Operations, Absa Group
Aufbau eines eigenen Teams. Geschäftsabläufen und bereichsübergreifender Mimecast
Zusammenarbeit.
14 15Weitere Erkenntnisse aus dem
Cyber Resilience Think Tank erhalten Sie unter
mimecast.com/ThinkTank
Printed on Recycled PaperSie können auch lesen
