SOCaaS – Rückblick auf das erste Jahr

 

Interview: Andreas Lau, synalis, und Markus Müller, dhpg

 

Was ist das Security Operations Center und wie funktioniert es?

Lau: Das Security Operations Center ist ein IT-Service für den Mittelstand und dient der Aufdeckung von Hackerangriffen und Cyberattacken. Häufig werden wir gefragt, ob Firewall und Virenschutz zur Abwehr nicht ausreichen bzw. ob man beim Einsatz des SOCaaS nicht umgekehrt hierauf verzichten könnte. Die Antwort lautet ganz klar: Nein.

Man kann sich das SOCaaS wie einen Wachdienst vorstellen, der ständig über das Gelände geht und seine Augen offen hält. Neben der Firewall, die Angreifer im besten Fall am Werkstor erkennt, löst das SOCaaS den Alarm genau dann aus, wenn ein ungebetener Gast die traditionellen Schutzmechanismen bereits überwunden hat. Somit stellt das SOCaaS eine wichtige Ergänzung dar, denn Eindringlinge schaffen es regelmäßig ins System. Unsere Idee ist der organisierte Zusammenschluss mit dem Ziel der Hackerabwehr. SOCaaS-Mitglieder profitieren vom gemeinsamen Austausch und von Schutzmaßnahmen im sogenannten Hub.

Welchen Herausforderungen mussten Sie sich im ersten SOCaaS-Jahr stellen?

Müller: Da gab es tatsächlich einige: Angefangen von inzwischen gängigen Phishing-Mails bis hin zu großen Trojanern wie z.B. Emotet. Täglich gibt es neue Berichte über Angriffe. Während Ransomware weniger häufig detektiert wird, steigen Angriffe durch Kryptomining und Phishing-Mails. Deshalb ist es enorm wichtig, hier immer auf dem Laufenden zu sein und das Wissen, das wir zusammentragen, mit dem Hub zu teilen. Wir konnten für uns als Erfolg verbuchen, dass die sogenannte Dwell Time, also die Zeit zwischen dem erfolgten Angriff und dessen Detektion, spürbar abnimmt. Künftig ist es unsere Aufgabe, auf bestehende und kommende Trends zu reagieren und den Service unseres Security Operations Centers weiter auszubauen.

Was erwartet die Hub-Mitglieder künftig?

Lau: Neben der Anbindung von weiteren Datenquellen wird bei der Auswertung der Daten vermehrt künstliche Intelligenz zum Einsatz kommen. Hierdurch sollen Fehlalarme reduziert und schnellere Analysen erstellt werden. Im Sommer dieses Jahres möchten wir ein auf die Wünsche unserer Mitglieder angepasstes Kundendashboard mit Live-Daten zur Verfügung stellen. Im nächsten Schritt planen wir zudem einen Rund-um-die-Uhr-Service sowie eine neue Systemumgebung. Letztere wird es uns ermöglichen, weitere Dienste zu überwachen. Aktuell haben wir lediglich den Netzwerktraffic im Blick. Künftig wird unser SOC aber auch weitere Protokolldateien, etwa von Betriebssystemen, überwachen können.

Wie genau gelangt man als Unternehmen nun ins SOC?

Müller: Die technische Anbindung des Security Operations Centers an die jeweilige IT-Infrastruktur dauert zumeist nur wenige Stunden. Es gibt keinerlei Systemvoraussetzungen. Im Netzwerk des Unternehmens werden zur gesamtheitlichen Beobachtung der Zugänge – teils virtuelle – Sensoren implementiert, die sich einfach in jede Netzwerkstruktur einbinden lassen. Über eine sichere Internetverbindung gelangen die Informationen in Echtzeit auf die Dashboards der IT-Security-Analysten des SOC. Neben ihnen erhält auch die hauseigene IT-Abteilung Zugang zum Dashboard und kann Ereignisse nachverfolgen bzw. begleiten. In den meisten Fällen können Unternehmen direkt aufgeschaltet werden. Im Zweifelsfall, etwa weil bereits der Verdacht eines erfolgten Angriffs besteht, durchlaufen einzelne Unternehmen Sicherheitstests. Das heißt, unsere Sicherheitsexperten werden selbst zum Hacker. Mit dem Unterschied, dass sie sich ganz bewusst und gezielt auf die Suche nach Sicherheitslücken in der Infrastruktur des Unternehmens begeben.

Dazu setzen wir speziell konzipierte Schwachstellen- und Penetrationstests ein. Sie untersuchen Server, Clients, Netzwerkkomponenten, Drucker, Firewall und Router, aber auch Webapplikationen wie Internet oder Intranet, Portale und Shops ebenso wie die WLAN-Umgebung selbst. Damit weiß das Unternehmen relativ rasch, woran es gegebenenfalls arbeiten und welche Schutzmaßnahmen es ergreifen muss. In vielen Fällen kann die IT-Sicherheit allein mit diesen Maßnahmen schon auf ein ganz anderes Niveau gebracht werden. Notfallpläne für den Fall des Cyberangriffs gehören natürlich auch mit dazu.

Das heißt, dass man trotz Mitgliedschaft im SOC mit einem Angriff rechnen muss?

Lau: Sosehr wir es uns auch wünschen, einen 100-pro-zentigen Schutz vor Cyberangriffen gibt es nicht. In unseren Gesprächen mit IT-Verantwortlichen ist die größte Befürchtung, dass Hacker die Firewall überwinden und in das Firmennetz eindringen. Denn der schnellste Weg für Hacker ist, selbst Teil des internen Systems zu werden, um den Zugriff auf interne Daten zu erhalten. Dazu setzen Angreifer u.a. auf die sogenannten Social-Engineering-Methoden. Das sind beispielsweise die Fälle, in denen der Chef den Mitarbeiter bittet, schnellstens Geld an irgendein Konto zu überweisen. Und dann kommt es für die Unternehmen auf gut funktionierende Überwachungsmechanismen an. Mechanismen, die dabei unterstützen, Veränderungen innerhalb des Netzwerktraffics oder Auffälligkeiten in den Client- und Serversystemen rasch zu erkennen.

Wie unterstützen Sie betroffene Unternehmen, wenn ein Angriff erfolgreich war?

Müller: Die SOCaaS-Mitglieder können sich stets darauf verlassen, dass wir auch im Ernstfall persönlich für sie da sind. Das heißt, wir unterstützen die Verantwortlichen, die Folgen eines Angriffs zu ermitteln und geeignete Maßnahmen einzuleiten, z.B. entsprechende Log-Dateien auszuwerten und die betroffenen Systeme zu identifizieren. Dabei stehen die Verfügbarkeit und das Wiederherstellen der Informationssicherheit an erster Stelle. Laut Bundesdatenschutzgesetz und der Europäischen Datenschutzgrundverordnung gibt es übrigens für diese Fälle eine Informationspflicht. Auch beim Umgang mit den Behörden helfen Ihnen dann unsere Experten weiter.

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Joerg Lammerich

Certified OSSTMM 3.0 Professional Security Tester

Zum Profil von Joerg Lammerich

Kontakt

Nehmen Sie mit uns Kontakt auf

Breifumschlag Kontaktformular Breifumschlag +49 0228 81000 0 Breifumschlag Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink