SOC als Dienstleistung
Die letzte Verteidigungslinie
Fortsetzung des Artikels von Teil 1
Keine Frage der Größe
Gerade für kleine Unternehmen sind SOC-Services interessant, denn sie sind in der Regel nicht in der Lage, diese Leistung selbst zu erbringen. Häufig besteht die “IT-Abteilung” nur aus einem Mitarbeiter oder die Rechner werden von einem externen Dienstleister betreut. Dies heißt jedoch nicht, dass die Sicherheitsanforderungen deshalb geringer sind. Arztpraxen, Rechtsanwaltskanzleien oder Steuerberater verarbeiten hochsensible vertrauliche Informationen, deren Schutz auch gesetzlich gefordert wird. Bei der Wahl des Leistungsumfangs gilt es Augenmaß zu bewahren. Was nutzt etwa ein 24x7-Service, wenn das Unternehmen nachts oder am Wochenende gar nicht in der Lage ist, auf einen Alarm zu reagieren? Aber auch große Unternehmen setzen zunehmend auf SOC-Services, oft in Ergänzung zum eigenen Security Operations Center. So lassen sich beispielsweise Zeiten außerhalb der üblichen Bürozeiten abdecken, personelle Engpässe durch Urlaub oder Krankheit überbrücken oder auch zusätzliche Expertise etwa im Cloud-Bereich einkaufen, die im eigenen Haus nicht vorhanden ist oder nicht aufgebaut werden kann.
Vor der Kür kommt die Pflicht
Wer nun glaubt, mit dem Einkauf eines SOC-Services alle Sicherheitsrisiken beseitigt zu haben, der irrt. Das Security Operations Center ist die letzte Verteidigungslinie. Es nützt wenig, wenn alle anderen Abwehrmaßnahmen löchrig oder gar nicht vorhanden sind. Daher sollten Unternehmen vor der Einrichtung eines SOCs oder der Buchung eines entsprechenden Services neben den üblichen Sicherheitsmaßnahmen wie Netzwerkzonentrennung, Authentifizierung und Autorisierung über den Standard 802.1x, Firewalls und Intrusion Detection and Prevention-Systeme (IDP) folgende Sicherheitsmaßnahmen umsetzen:
- Einrichtung eines Security Information and Event Management (SIEM): SIEM-Systeme sammeln sämtliche im Netz anfallenden Informationen wie Anmeldungen, Log-Dateien oder Alarme, analysieren sie und stellen sie übersichtlich in einem Dashboard dar. Diese Informationen sind für das SOC-Team unverzichtbar, um Unregelmäßigkeiten und Auffälligkeiten erkennen zu können.
- Umfassende Endgerätesicherung (Endpoint Protection Platform, EPP, beziehungsweise Endpoint Detection and Response, EDR): Clients aller Art sind nach wie vor die Haupteinfallsquelle für Schadsoftware. EPP erkennt signaturbasiert bekannte Schadsoftware, EDR darüber hinaus auch nicht bekannte sowie Zero Day Exploits. Zusammen überwachen sie die Endpunkte umfassend und schlagen bei erkannter Malware oder verdächtigen Aktivitäten Alarm beziehungsweise blockieren diese.
- Vulnerability Management: Viele Angriffe sind nur deshalb erfolgreich, weil bekannte Schwachstellen in Firm- und Software nicht schnell genug beseitigt wurden oder Systeme nicht sicher konfiguriert sind. Das muss nicht immer aus Nachlässigkeit geschehen. Häufig wissen Unternehmen gar nicht so genau, welche Geräte, Betriebssysteme und Applikationen in ihrem Firmennetz aktiv sind. Ein Vulnerability Management entdeckt alle Assets und überprüft sie in regelmäßigen Abständen auf ihre Aktualität. Dies ist essentiell für einen späteren Remediation- beziehungsweise Patch-Prozess, in dem Patches oder Updates schnellstmöglich eingespielt werden. Auch SIEM, EPP / EDR und Vulnerability Management müssen nicht im eigenen Haus aufgebaut und betrieben werden. Dienstleister bieten sie als Managed Security Services an – oft in Kombination mit SOC-Dienstleistungen.
- Die letzte Verteidigungslinie
- Keine Frage der Größe
- Was KMU jetzt tun sollten
- SOC-Service-Mischformen
Lesen Sie mehr zum Thema
