Höhere IT-Security mittels SOC und SIEM

SIEM-SOC

„Herzlich willkommen im Buzzword-Dschungel der IT-Security oder wollen wir doch lieber den Fachbegriff Cybersecurity nutzen?“ Da die in diesem Artikel verwendeten Fachbegriffe sich teils überschneiden und nicht selbsterklärend sind, erläutern wir diese im Artikel verwendeten Kürzel wie folgt:

  • SOC steht für Security Operations Center
  • SIEM (Security Information and Event Management) ist ein wichtiger Bestandteil von SOC
  • SIEM ist eine Kombination aus SIM (Security Information Management und SEM (Security Event Management)

Warum SOC und SIEM für jedes Unternehmen zum Muss werden

Die Gefahren im Internet werden stetig größer und die Cyberangriffe immer ausgefallener und intelligenter. Nicht nur die Cyberschutz-Anbieter entwickeln Ihre Cyber Security Solutions weiter, sondern auch die Hacker Ihre Methoden, Ideen, Tools und Viren.

Gleichzeitig steht auf der Agenda von vielen Unternehmen die Digitalisierung, u.a. zur Sicherstellung der Wettbewerbsfähigkeit. Die oft vorhandene Vielzahl der Projekte rund um die Digitalisierung führt zu größeren Angriffsflächen und neuen Sicherheitsrisiken.

Lesetipp: An dieser Stelle haben wir über die Top 10 Hackerangriffe berichtet.

Die folgende Übersicht soll aufzeigen, über welche sicherheitsrelevanten Komponenten hinweg ein zeitgemäßer Cyberschutz, das jeweilige Unternehmen schützen muss. Beispielsweise müssen folgende Komponenten der IT-Infrastruktur überwacht werden:

  • Server-Systeme intern
  • Cloud-Lösungen
  • Interne Netzwerkkomponenten
  • Desktop-Computer
  • Notebook (Herausforderung: Homeoffice)
  • Smartphones & Tablets
  • Messenger-Dienste & Social-Media
  • Weitere Endgeräte mit Internetzugang
  • Office- und Business-Software
  • Datenbanken
  • Maschinenanbindungen
  • Videoüberwachungssysteme
  • Schließanlagen
  • IoT-Geräte
  • Über das Internet gesteuerte und kontrolliere Altsysteme (Retrofit)

Die obige Liste lässt sich sicherlich ergänzen. Diese Übersicht zeigt jedoch schon auf, wie groß die Herausforderungen für IT-Verantwortliche sind, um keine Sicherheitslücken system- und bereichsübergreifend aufkommen zu lassen.

Ein IT-Verantwortlicher alleine oder auch zwei bis drei IT-Administratoren können nicht, selbst mittels Security-Outsourcing, den höchstmöglichen IT-Sicherheitsstandard gewährleisten. Das haben Unternehmen erkannt und frühzeitig personelle Optimierungen durchgeführt, indem je nach Firmengröße, der Fokus auf den Cyberschutz, z.B. durch einen CISO (Chief Information Security Officer), sichergestellt wird. In vielen Unternehmen sind festangestellte Cyber-Security-Experten im Einsatz oder werden zumindest als externe Ressourcen eingebunden. Heutzutage muss intern oder extern eine 24-Stunden-Überwachung des Unternehmensnetzwerks sichergestellt werden, weshalb für die Mitarbeiter in einem SOC ein Schichtbetrieb unabdingbar ist.

Das SOC als Cyber-Security Zentrale

Alle eingebunden Cyber-Security-Experten und IT-Sicherheitsverantwortliche benötigen eine Informations- und Kommunikationsplattform. Dies ist wichtig, um abgestimmt und koordiniert zu jeder Zeit und in Echtzeit alle sicherheitsrelevanten Informationen für den bestmöglichen Cyberschutz eines Unternehmens transparent verfügbar zu haben. Diese Informationen sind beispielsweise:

  • Übersicht aller Sicherheitswarnungen
    (bösartig und gutartig, was zu einer Datenflut führt, allerdings gelöst werden kann)
  • Übersicht der installierten Softwarelösungen und genehmigten Geräte
  • Hersteller-Warnhinweise (z.B. Warnung im Jahr 2021 hinsichtlich Microsoft Exchange Schwachstellen)
  • Marktinformationen beispielsweise hinsichtlich Zero Days
  • Dokumentation sämtlicher Überwachungsaktivitäten
  • Alarmverfolgung mit deren Ursachenforschung
  • Historie bisheriger Sicherheitsvorfälle inklusive der damit verbundenen Maßnahmen
  • Informationen über Analysen (z.B. Malware-Analyse)
  • Forensische Untersuchungsergebnisse
  • Threat Hunting Informationen
  • Übersicht notwendiger Zertifizierungen
  • Überblick zu allen sicherheitsrelevanten Wartungsmaßnahmen
  • Informationen hinsichtlich sicherheitsrelevantem Fehlverhalten (Human Firewall)
  • Übersicht der Key Performance Indicators (KPIs) in Bezug auf den Cyberschutz

Der effektive Nutzen eines Security Operations Centers

Auf den Punkt gebracht investieren Unternehmen in ein SOC aus folgenden Gründen:

  • Unterbrechungsfreie Überwachung für einen 24/7-Cyberschutz
  • Bessere Transparenz bezüglich Sicherheitsanalysen
  • Operative und sofortige Erkennung von Fehlkonfigurationen
  • Besseres präventives und akutes Prioritätenmanagement
  • Präventive Entdeckung, bislang nicht bekannter Eindringlinge
  • Nachhaltiges Patch-Management für Sicherheitsupdates
  • Bessere Reaktionszeiten auf Warnhinweise und sicherheitsrelevante Marktinformationen
  • Schnellere Handlungsfähigkeit bei akuten Sicherheitsvorfällen
  • Effektivere Wiederherstellungsmaßnahmen
  • Sicherstellung einer ganzheitlichen und bereichsübergreifenden IT-Security
  • Aufbau einer individuellen Cyber-Security Knowledgebase mittels effektiver Dokumentation
  • Effizientere Kommunikation zwischen alle Verantwortlichen und Dienstleistern
  • Reduzierung der Kosten für die Wartung und Instandhaltung
  • Schadensvermeidung aufgrund von Cyberangriffen
  • Stressfreieres und koordiniertes Einhalten von IT-Policies
  • Sicherstellung der DSGVO und des Cyber-Risk Versicherungsanspruches

Ohne SIEM ist der Aufbau und Betrieb eines SOCs schwierig

Was wäre ein SOC ohne SIEM? Es ist eine große Herausforderung, den ganzheitlichen Cyberschutz alleine dem menschlichen Wissen, den bisherigen Erfahrungen aus vergangenen Sicherheitsvorfällen und der manuellen Dokumentation und Datenpflege zu überlassen. Aufgrund der Vielzahl an Sicherheitsmeldungen, die nicht alle bösartig sind, müssen bei wegen der sehr großen Datenmengen Sicherheitswarnungen bewerten und priorisiert werden. Hierfür benötigen die Cyber-Security-Experten die Unterstützung in Form von digitaler Intelligenz.

Da SIEM oft aufgrund der funktionalen Nähe mit einem SOC gleichgesetzt wird, finden Sie nachfolgend die markanten Funktionen für ein Security Information and Event Management:

  • Datensammlung auf Logdaten-Ebene (Ereignisprotokoll-Erstellung)
  • Sammlung der Daten von Security Devices und weiterer Quellen
  • Definition bestimmter Angriffsmuster zur Alarmierung
  • Sicherheitswarnungen für bisher unbekannten Angriffstechniken
  • Automatisierte Sicherheitshinweise (Intrusion Detection)
  • Nutzung von künstlicher Intelligenz zur Bedrohungserkennung
  • Bessere Transparenz mittels Datenfilterung (aufgrund der großen Datenmenge)
  • Datenvisualisierung
  • Ein SIEM kann als Managed Service integriert werden