Articles

Was ist ein Security Operations Center (SOC)?

Optimierung eines Sicherheitsbetriebsmodells

Während die Bewältigung von Vorfällen einen Großteil der Ressourcen des SOC in Anspruch nimmt, ist der Chief Information Security Officer (CISO) für das größere Bild von Risiko und Compliance verantwortlich. Um Betriebs- und Datensilos in diesen Funktionen zu überbrücken, erfordert eine effektive Strategie eine adaptive Sicherheitsarchitektur, die es Unternehmen ermöglicht, optimierte Sicherheitsabläufe zu realisieren. Dieser Ansatz steigert die Effizienz durch Integration, Automatisierung und Orchestrierung und reduziert den Arbeitsaufwand bei gleichzeitiger Verbesserung des Informationssicherheitsmanagements.

Ein optimiertes Sicherheitsbetriebsmodell erfordert die Einführung eines Sicherheits-Frameworks, das die Integration von Sicherheitslösungen und Bedrohungsdaten in die täglichen Prozesse erleichtert. SOC-Tools wie zentralisierte und umsetzbare Dashboards helfen bei der Integration von Bedrohungsdaten in Dashboards und Berichte zur Sicherheitsüberwachung, um Betrieb und Management über sich entwickelnde Ereignisse und Aktivitäten auf dem Laufenden zu halten. Durch die Verknüpfung des Bedrohungsmanagements mit anderen Systemen für das Risiko- und Compliance-Management können SOC-Teams die gesamte Risikolage besser verwalten. Solche Konfigurationen unterstützen eine kontinuierliche Sichtbarkeit über Systeme und Domänen hinweg und können mit Hilfe von umsetzbaren Erkenntnissen eine bessere Genauigkeit und Konsistenz bei Sicherheitsoperationen erzielen. Zentralisierte Funktionen reduzieren den Aufwand für den manuellen Datenaustausch, Audits und das durchgängige Reporting.

Die Implementierung des Bedrohungsmanagements sollte mit einer durchdachten Bewertung beginnen. Zusätzlich zu den Verteidigungsmaßnahmen sollte eine Organisation Prozesse und Richtlinien bewerten. Wo ist die Organisation stark? Was sind die Lücken? Wie ist die Risikostellung? Welche Daten werden gesammelt, und wie viele dieser Daten werden verwendet?

Während jede Organisation anders ist, stellen bestimmte Kernfunktionen und Best Practices für den Sicherheitsbetrieb heute eine angemessene Sorgfalt dar. Ein vernünftiger Bedrohungsmanagementprozess beginnt mit einem Plan und umfasst die Erkennung (einschließlich der Berechnung der Grundlinie zur Förderung der Erkennung von Anomalien, der Normalisierung und der Korrelation), die Triage (basierend auf dem Risiko und dem Wert der Assets), die Analyse (einschließlich der Kontextualisierung) und das Scoping (einschließlich der iterativen Untersuchung). Bedrohungsmanagement-Prozesse speisen priorisierte und charakterisierte Fälle in Programme zur Reaktion auf Vorfälle ein. Ein gut definierter Reaktionsplan ist absolut entscheidend, um eine Bedrohung einzudämmen oder den Schaden einer Datenverletzung zu minimieren.

Bedrohungsmanagementplan für ein Security Operations Center (SOC)

Abbildung 1. Bedrohungsmanagementpläne integrieren und strukturieren viele Prozesse im gesamten Sicherheits- und IT-Betrieb.

Ein effektives Sichtbarkeits- und Bedrohungsmanagement stützt sich auf viele Datenquellen, aber es kann schwierig sein, die nützlichen und zeitnahen Informationen auszusortieren. Es hat sich gezeigt, dass die wertvollsten Daten Ereignisdaten sind, die von Gegenmaßnahmen und IT-Ressourcen erzeugt werden, Indikatoren für eine Gefährdung (Indicators of Compromise, IoCs), die intern (über Malware-Analysen) und extern (über Threat Intelligence Feeds) erzeugt werden, sowie Systemdaten, die von Sensoren zur Verfügung gestellt werden (z. B. Host, Netzwerk, Datenbank usw.).

Datenquellen wie diese sind nicht nur ein Input für das Bedrohungsmanagement. Sie fügen Kontext hinzu und machen die Informationen wertvoll und umsetzbar für eine präzisere, genauere und schnellere Bewertung während des iterativen und interaktiven Bedrohungsmanagements. Der Zugriff auf die richtigen Daten und deren effektive Nutzung zur Unterstützung von Plänen und Verfahren ist ein Maß für die Reife der Organisation. Ein „ausgereiftes“ Szenario würde einen Workflow beinhalten, der die richtigen Informationen weitergibt oder direkte Aktionen innerhalb von Betriebskonsolen und über Produkte hinweg ermöglicht. Dieser Ablauf integriert IT-Betriebs- und Sicherheitsteams und -Werkzeuge in die Vorfallsreaktion, wenn ein kritisches Ereignis eintritt.

Alle diese Bewertungen helfen dabei, Prioritäten zu setzen, wo eine Erhöhung der Investitionen oder eine Verringerung der Reibungsverluste erforderlich ist, damit die Implementierung des Bedrohungsmanagements den Zielen entspricht. Berater und Penetrationstests können helfen, die Strategie und den organisatorischen Reifegrad zu bewerten und die Sicherheitsreaktion auf Angriffe zu überprüfen, um ein aktuelles Maß für die Fähigkeit einer Organisation zu erhalten, bösartige Ereignisse zu erkennen und einzudämmen. Durch den Vergleich mit vergleichbaren Unternehmen kann diese Überprüfung helfen, die Notwendigkeit einer Neuausrichtung oder Investition in Cybersecurity Operations-Ressourcen zu rechtfertigen und zu erklären.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.