SOC als Dienstleistung
Die letzte Verteidigungslinie
Hackerangriffe müssen schnell erkannt werden, um eine Infektion einzudämmen und den Schaden zu begrenzen. Dafür sollte ein Security Operations Center Bestandteil jeder IT-Sicherheitsstrategie sein. KMU können dieses beispielsweise als SOC-Service über Dienstleister beziehen.
“Anbei Ihre Rechnung” oder “Hier wie besprochen das Dokument” – Mails mit solchen und ähnlichen Inhalten finden sich in letzter Zeit vermehrt in den Postfächern von Mitarbeitern. Die Absender sind bekannte Kontakte und erscheinen vertrauenswürdig. Auch die angehängte Office-Datei sieht harmlos aus. Öffnet der Empfänger das Dokument und klickt auf “Inhalte aktivieren”, nimmt das Unheil allerdings seinen Lauf: Der Trojaner Emotet beginnt mit seiner Arbeit. Zunächst ist davon allerdings wenig zu merken, denn der Schädling nimmt erst einmal nur Kontakt zu seinem Command-and-Control-Server auf, um weitere Schadsoftware wie Trikot oder Mimikatz nachzuladen. Diese beginnt auf dem Client, Passwörter und Outlook-Kontakte zu sammeln, um sich dann über Netzwerkfreigaben auszubreiten. Dabei gilt: Je länger die Infektion unentdeckt bleibt, desto größer ist der Schaden. Hat die Malware ausreichend Zeit, sich in der gesamten IT-Infrastruktur zu verbreiten, können die Folgekosten in die Millionen gehen.
Schnell erkennen und eindämmen
Der schnellen Erkennung erfolgreicher Hackerangriffe kommt daher eine enorm wichtige Rolle zu. Für sie ist im Wesentlichen das sogenannte Security Operations Center (SOC) zuständig. Als eine Art “IT-Sicherheitsleitstand” überwacht es alle Aktivitäten in der IT-Infrastruktur, identifiziert Schwachstellen und protokolliert Angriffe. Seine wesentliche Aufgabe ist allerdings nicht die Prävention, sondern die Erkennung und Eindämmung bereits eingedrungener Schadsoftware oder Hacker. Für den Aufbau und Betrieb eines SOC ist eine hervorragend ausgebildete Security-Mannschaft notwendig, die nicht nur über ausreichende Technologiekenntnisse verfügt, sondern auch die aktuellen Methoden der Angreifer (Tactics, Technicques and Procedures, TTP) versteht. Angesichts des eklatanten Fachkräftemangels im Security-Bereich sind solche Experten auf dem Markt extrem schwer zu finden und müssen sehr gut bezahlt werden.
Es ist deshalb kein Wunder, dass die Nachfrage nach externen SOC-Services drastisch zunimmt. Nach Prognosen des Marktforschungsunternehmens Markets and Markets wächst der globale Markt für SOC-Dienstleistungen jedes Jahr um 25 Prozent. Da die Anbieter externer SOC-Leistungen viele Kunden betreuen, können sie Skaleneffekte nutzen und so ihre Services im Vergleich zum Eigenbetrieb oftmals kostengünstiger anbieten. Da die Experten mit unterschiedlichen Kundenszenarien konfrontiert sind, ist ihr Erfahrungshorizont in vielen Fällen größer als in einem selbst betriebenen SOC. Erkenntnisse aus Angriffen auf einen Kunden können zudem sehr schnell allen anderen zur Verfügung gestellt werden. Auch die zunehmende Verbreitung von Cloud-Computing kann für externe SOC-Services sprechen: Zum einen vereinfacht die Cloud deren Bereitstellung, zum anderen haben die Security-Analysten in spezialisierten Sicherheitszentren sehr viel mehr Erfahrung in der Überwachung und Absicherung von Cloud-Ressourcen verschiedener Anbieter, als dies intern meist der Fall ist.
- Die letzte Verteidigungslinie
- Keine Frage der Größe
- Was KMU jetzt tun sollten
- SOC-Service-Mischformen
Lesen Sie mehr zum Thema
