Höhere IT-Security mittels SOC und SIEM

SIEM-SOC

“Herzlich willkommen im Buzzword-Dschungel der IT-Security oder wollen wir doch lieber den Fachbegriff Cybersecurity nutzen?” Da die in diesem Artikel verwendeten Fachbegriffe sich teils überschneiden und nicht selbsterklärend sind, erläutern wir diese im Artikel verwendeten Kürzel wie folgt:

  • SOC steht für Security Operations Center
  • SIEM (Security Information and Event Management) ist ein wichtiger Bestandteil von SOC
  • SIEM ist eine Kombination aus SIM (Security Information Management und SEM (Security Event Management)

Warum SOC und SIEM für jedes Unternehmen zum Muss werden

Die Gefahren im Internet werden stetig größer und die Cyberangriffe immer ausgefallener und intelligenter. Nicht nur die Cyberschutz-Anbieter entwickeln Ihre Cyber Security Solutions weiter, sondern auch die Hacker Ihre Methoden, Ideen, Tools und Viren.

Gleichzeitig steht auf der Agenda von vielen Unternehmen die Digitalisierung, u.a. zur Sicherstellung der Wettbewerbsfähigkeit. Die oft vorhandene Vielzahl der Projekte rund um die Digitalisierung führt zu größeren Angriffsflächen und neuen Sicherheitsrisiken.

Lesetipp: An dieser Stelle haben wir über die Top 10 Hackerangriffe berichtet.

Die folgende Übersicht soll aufzeigen, über welche sicherheitsrelevanten Komponenten hinweg ein zeitgemäßer Cyberschutz, das jeweilige Unternehmen schützen muss. Beispielsweise müssen folgende Komponenten der IT-Infrastruktur überwacht werden:

  • Server-Systeme intern
  • Cloud-Lösungen
  • Interne Netzwerkkomponenten
  • Desktop-Computer
  • Notebook (Herausforderung: Homeoffice)
  • Smartphones & Tablets
  • Messenger-Dienste & Social-Media
  • Weitere Endgeräte mit Internetzugang
  • Office- und Business-Software
  • Datenbanken
  • Maschinenanbindungen
  • Videoüberwachungssysteme
  • Schließanlagen
  • IoT-Geräte
  • Über das Internet gesteuerte und kontrolliere Altsysteme (Retrofit)

Die obige Liste lässt sich sicherlich ergänzen. Diese Übersicht zeigt jedoch schon auf, wie groß die Herausforderungen für IT-Verantwortliche sind, um keine Sicherheitslücken system- und bereichsübergreifend aufkommen zu lassen.

Aus Anwendersicht berichtet Roman Rapoport von der Bergische Achsen KG, in seiner Funktion als Group Head of IT & Digitalisation, über den Aufbau einer IT-Security Organisation in einem mittelständischem Unternehmen. An dieser Stelle erhalten Sie ein kostenloses Konferenzticket, um den Vortrag Vorort in Dortmund oder digital live an Ihrem eigenen Bildschirm zu verfolgen.

Ein IT-Verantwortlicher alleine oder auch zwei bis drei IT-Administratoren können nicht, selbst mittels Security-Outsourcing, den höchstmöglichen IT-Sicherheitsstandard gewährleisten. Das haben Unternehmen erkannt und frühzeitig personelle Optimierungen durchgeführt, indem je nach Firmengröße, der Fokus auf den Cyberschutz, z.B. durch einen CISO (Chief Information Security Officer), sichergestellt wird. In vielen Unternehmen sind festangestellte Cyber-Security-Experten im Einsatz oder werden zumindest als externe Ressourcen eingebunden. Heutzutage muss intern oder extern eine 24-Stunden-Überwachung des Unternehmensnetzwerks sichergestellt werden, weshalb für die Mitarbeiter in einem SOC ein Schichtbetrieb unabdingbar ist.

Das SOC als Cyber-Security Zentrale

Alle eingebunden Cyber-Security-Experten und IT-Sicherheitsverantwortliche benötigen eine Informations- und Kommunikationsplattform. Dies ist wichtig, um abgestimmt und koordiniert zu jeder Zeit und in Echtzeit alle sicherheitsrelevanten Informationen für den bestmöglichen Cyberschutz eines Unternehmens transparent verfügbar zu haben. Diese Informationen sind beispielsweise:

  • Übersicht aller Sicherheitswarnungen
    (bösartig und gutartig, was zu einer Datenflut führt, allerdings gelöst werden kann)
  • Übersicht der installierten Softwarelösungen und genehmigten Geräte
  • Hersteller-Warnhinweise (z.B. Warnung im Jahr 2021 hinsichtlich Microsoft Exchange Schwachstellen)
  • Marktinformationen beispielsweise hinsichtlich Zero Days
  • Dokumentation sämtlicher Überwachungsaktivitäten
  • Alarmverfolgung mit deren Ursachenforschung
  • Historie bisheriger Sicherheitsvorfälle inklusive der damit verbundenen Maßnahmen
  • Informationen über Analysen (z.B. Malware-Analyse)
  • Forensische Untersuchungsergebnisse
  • Threat Hunting Informationen
  • Übersicht notwendiger Zertifizierungen
  • Überblick zu allen sicherheitsrelevanten Wartungsmaßnahmen
  • Informationen hinsichtlich sicherheitsrelevantem Fehlverhalten (Human Firewall)
  • Übersicht der Key Performance Indicators (KPIs) in Bezug auf den Cyberschutz

Aus Anwendersicht berichtet Roman Rapoport von der Bergische Achsen KG, in seiner Funktion als Group Head of IT & Digitalisation, über den Aufbau einer IT-Security Organisation in einem mittelständischem Unternehmen. An dieser Stelle erhalten Sie ein kostenloses Konferenzticket, um den Vortrag Vorort in Dortmund oder digital live an Ihrem eigenen Bildschirm zu verfolgen.

Der effektive Nutzen eines Security Operations Centers

Auf den Punkt gebracht investieren Unternehmen in ein SOC aus folgenden Gründen:

  • Unterbrechungsfreie Überwachung für einen 24/7-Cyberschutz
  • Bessere Transparenz bezüglich Sicherheitsanalysen
  • Operative und sofortige Erkennung von Fehlkonfigurationen
  • Besseres präventives und akutes Prioritätenmanagement
  • Präventive Entdeckung, bislang nicht bekannter Eindringlinge
  • Nachhaltiges Patch-Management für Sicherheitsupdates
  • Bessere Reaktionszeiten auf Warnhinweise und sicherheitsrelevante Marktinformationen
  • Schnellere Handlungsfähigkeit bei akuten Sicherheitsvorfällen
  • Effektivere Wiederherstellungsmaßnahmen
  • Sicherstellung einer ganzheitlichen und bereichsübergreifenden IT-Security
  • Aufbau einer individuellen Cyber-Security Knowledgebase mittels effektiver Dokumentation
  • Effizientere Kommunikation zwischen alle Verantwortlichen und Dienstleistern
  • Reduzierung der Kosten für die Wartung und Instandhaltung
  • Schadensvermeidung aufgrund von Cyberangriffen
  • Stressfreieres und koordiniertes Einhalten von IT-Policies
  • Sicherstellung der DSGVO und des Versicherungsanspruches

Ohne SIEM ist der Aufbau und Betrieb eines SOCs schwierig

Was wäre ein SOC ohne SIEM? Es ist eine große Herausforderung, den ganzheitlichen Cyberschutz alleine dem menschlichen Wissen, den bisherigen Erfahrungen aus vergangenen Sicherheitsvorfällen und der manuellen Dokumentation und Datenpflege zu überlassen. Aufgrund der Vielzahl an Sicherheitsmeldungen, die nicht alle bösartig sind, müssen bei wegen der sehr großen Datenmengen Sicherheitswarnungen bewerten und priorisiert werden. Hierfür benötigen die Cyber-Security-Experten die Unterstützung in Form von digitaler Intelligenz.

Da SIEM oft aufgrund der funktionalen Nähe mit einem SOC gleichgesetzt wird, finden Sie nachfolgend die markanten Funktionen für ein Security Information and Event Management:

  • Datensammlung auf Logdaten-Ebene (Ereignisprotokoll-Erstellung)
  • Sammlung der Daten von Security Devices und weiterer Quellen
  • Definition bestimmter Angriffsmuster zur Alarmierung
  • Sicherheitswarnungen für bisher unbekannten Angriffstechniken
  • Automatisierte Sicherheitshinweise (Intrusion Detection)
  • Nutzung von künstlicher Intelligenz zur Bedrohungserkennung
  • Bessere Transparenz mittels Datenfilterung (aufgrund der großen Datenmenge)
  • Datenvisualisierung
  • Ein SIEM kann als Managed Service integriert werden

Besuchen Sie Fachkongresse und tauschen Sie sich mit Anwendern aus

Immer wieder besteht die Möglichkeit zum Erfahrungsaustausch, in unserer Business-IT Community oder auch auf Fachkongressen und Veranstaltungen. Besonders interessant sich praxisbeispielorientierte Impulse von Lösungsanbietern und Vorträge, in denen Anwender ihre Erfahrungen teilen.

Aus Anwendersicht teilt Roman Rapoport von der BPW Bergische Achsen KG, in seiner Funktion als Group Head of IT & Digitalisation seine Erfahrungen in folgender Keynote:

Aufbau einer IT-Security Organisation bei einem Mittelstandsunternehmen

Cyber Security Fairevent Vortrag Human Firewall
Roman Rapoport, Group Head of IT & Digitalisation, BPW Bergische Achsen KG
  • Wie funktioniert der schrittweise Aufbau einer IT-Security Organisation bei einem Mittelstandsunternehmen?

    Ticket Cyber Security Fairevent 2022

    Teilnahme am nächsten Erfahrungsaustausch
    Nutzen Sie unser Kontingent als Medienpartner, und erhalten Sie als Early Bird Ticket ein kostenloses Ticket im Wert von 99,00 Euro.


    Ich wünsche folgenden Ticket als kostenlosen Leserservice

    Interesse zur Teilnahme Vorort in Dortmund
    Interesse zur Teilnahme digital im Cyber Security Showroom
    Interesse zur Teilnahme als Speaker
    Interesse zur Teilnahme als Aussteller


    Schnellregistrierung

    Vor- und Nachname

    Firmenname

    Funktion

    Ihre E-Mail

    DSGVO-Pflichtfeld: Ich willige ein, dass bei der Kontaktaufnahme über dieses Internetformular, meine Angaben zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert werden. Zur Teilnehmerregistrierung werden Ihre Daten vertrauensvoll an den Veranstalter übermittelt.

    Anzahl der Personen - benötigte Tickets?

    Weitere Informationen von Ihnen | Z. B. für die Tickets: Name, Vorname der einzelnen Personen oder zum aktuellen Bedarf:



    „Winserat/ Anzeige“

    Wir bedanken uns beim Cyber Security Fairevent 2022 für die Möglichkeit zur Vorberichtserstattung. Bei diesem Artikel handelt es sich um ein Winserat. Trotz Artikelsponsoring, welches notwendig ist, um unsere Leser/innen nicht mit Bannerwerbung vom Wesentlichen abzulenken, versichern wir eine kritische und herstellerunabhängige Berichtserstattung. Über 90 % unserer Inhalte sind redaktionell entstanden und mit den entsprechenden Hinweisen aus der Praxis, mittels eines Experteninterviews, ergänzt worden. So wie dieser Artikel sind alle weiteren Artikel klar gekennzeichnet.