Sie haben Fragen?
Immer häufiger sehen sich Unternehmen und Organisationen mit Advanced Persistent Threats (APT) konfrontiert. Die frühzeitige Erkennung und Abwehr solcher zielerichteten Angriffe auf IT-Infrastrukturen gestaltet sich zunehmend schwieriger. Vor allem die Größe und Komplexität moderner IT-Systeme und die daraus resultierende Vielzahl möglicher Eindringungspunkte spielen Cyberkriminellen in die Hände. Aber auch die Tatsache, dass Angreifer sich einer Vielzahl unterschiedlicher Tools und Vorgehensweisen bedienen, um ihr Ziele zu erreichen, erschwert die Arbeit zunehmend. Oft werden Angriffe viel zu spät erkannt, weil wichtige Spuren, die Hinweis auf im Gang befindliche Angriffsvorbereitungen sein können, übersehen werden.
Und selbst wenn Unternehmen über eigene Security Teams verfügen und diverse Erkennungstechnologien einsetzen, sind die Mitarbeiter von den zahllosen Warnmeldungen der verschiedenen Security Tools oft heillos überfordert. Das Problem: Cyber Security ist nicht mal so nebenher zu leisten. Benötigt werden umfangreiche sowohl personelle als auch technische Ressourcen und vor allem spezifisches IT Security Know-how. Genau das müsste der IT-Mitarbeiter, verantwortlich für den reibungslosen Betrieb der Systeme, aufbauen und vor allem aktuell halten – eine Mammutaufgabe. Häufig führt dies zu Interessenskonflikten und letztlich zur Vernachlässigung wichtiger Sicherheitsaspekte.
Erst durch ein Security Operations Center (SOC), das die gesamte IT-Infrastruktur rund um die Uhr überwacht, in dem umfassende Security-Kompetenz gebündelt ist und das sich ausschließlich der Systemsicherheit widmet, werden Gefahren beherrschbar.
Unabhängig davon, ob das SOC im Unternehmen selbst aufgebaut oder als Service von einem der zahllosen Dienstleister am Markt erbracht wird, sollte ein SOC mehrere Kernaufgaben erfüllen.
Umfassende Bestandsaufnahme
Auch wenn es logisch erscheint, ist zu erwähnen, dass durch die umfassende Bestandsaufnahme aller Ressourcen zunächst umfassende Transparenz und Sichtbarkeit hergestellt werden muss. Daher ist es besonders wichtig, dass das SOC jeden Server, Router, jede Firewall sowie alle aktiv eingesetzten Sicherheitstools identifiziert.
Logdaten-Erfassung
Die Grundlage zur Auswertung bilden Daten. Dabei sind Protokolle die wichtigste Informationsquelle, mit der Netzwerkaktivitäten beurteilt werden. Eine automatisierte Echtzeit-Datenerfassung zur Bewältigung der Vielzahl an Informationen ist dabei unerlässlich.
Präventive Maßnahmen
Durch die Installation von Sicherheitspatches, die regelmäßige Anpassung von Firewall-Richtlinien und die aktive Suche nach Risiken innerhalb des Unternehmens, ist das SOC in der Lage, Cyberangriffe zu verhindern.
Kontinuierliche Überwachung
Die kontinuierliche 24/7-Überwachung der Infrastruktur ist unerlässlich. Sie versetzt das SOC überhaupt erst in die Lage, schnell auf Cybersicherheitsvorfälle zu reagieren und Angriffe zu blockieren, bevor es zum Herunterfahren möglicherweise des gesamten Systems kommt.
Alarmmanagement
Durch automatisierte Erkennungssysteme werden von der Norm abweichendes Nutzerverhalten und verdächtige Vorgänge zuverlässig erkannt und an die Experten des SOC gemeldet. Aber erst durch die Expertenanalyse der automatisierten Warnmeldungen entfaltet das SOC seine Wirksamkeit. Bei der Bewertung ausgegebener Alarme nach Schweregrad, Priorität sowie Unterscheidung in True Positives und False Positives kommt profundes Expertenwissen zum Einsatz. Im Ernstfall leiten die SOC-Spezialisten schnellstmöglich Abwehrmaßnahmen ein.
Ursachenanalyse
Auch die Analyse eingetretener Sicherheitsvorfälle gehört zum Aufgabengebiet des SOC. Durch die umfassende Analyse und Diagnose werden eingesetzte Erkennungstechnologien und -werkzeuge kontinuierlich weiterentwickelt und verbessert, um gleichartige Ereignisse künftig zu verhindern.
Compliance Audits
Zusätzlich kann die Einhaltung gesetzlicher Vorgaben, wie zum Beispiel der DSGVO und deren gesetzeskonforme Verwaltung, Aufgabe des SOC sein.
