SOC als Dienstleistung
Die letzte Verteidigungslinie
Fortsetzung des Artikels von Teil 3
SOC-Service-Mischformen
Eine der größten Herausforderungen beim Aufbau eines SOCs insbesondere für kleine und mittelständische Unternehmen sind die Kosten, bei denen es sich in erster Linie um Personalkosten handelt. Ein SOC muss rund um die Uhr besetzt sein – schließlich können Hackerangriffe Unternehmen zu jeder Tages- und Nachtzeit treffen. Die Mitarbeiter müssen also in mehreren Schichten arbeiten, was die benötigte Personalstärke deutlich erhöht. Berücksichtigt man zudem Ausfälle durch Urlaub und Krankheit, so kommt man auf eine minimale Mitarbeiterzahl von acht Personen. Die meisten Leitfäden empfehlen kleineren und mittleren Unternehmen jedoch eine SOC-Besetzung mit zehn bis 15 Mitarbeitern. Eine alternative Lösung ist die Einbindung externer Dienstleister. Das muss allerdings nicht eine Entweder-oder-Entscheidung sein: Entweder das Unternehmen organisiert sein SOC selbst oder übergibt es komplett an eine externe Firma. Stattdessen sind verschiedene Mischformen möglich. So gibt AirITSystems in seinem Whitepaper “Security Operations Center – Die Antwort auf eine veränderte Bedrohungslage” Empfehlungen, wie sich die Mitarbeiter des SOCs beispielsweise in zwei Gruppen einteilen lassen:
Die eine Gruppe von Analysten, Level 1 genannt, hat eine einfache Security-Ausbildung, ihre Mitglieder decken den Schichtdienst ab. Sie werten in erster Linie die Meldungen und Alarme der technischen Systeme aus – also von SIEM und Vulnerability-Management – und folgen dabei schriftlich festgelegten Anleitungen, die sich aus dem übergreifenden Sicherheitskonzept des Unternehmens ableiten. Ihre Aufgabe ist der Nachweis, dass es sich bei einer Warmeldung um einen Fehlalarm handelt. Gelingt ihnen das, ist kein weiteres Eingreifen erforderlich. Falls nicht, geben sie den Fall weiter an die zweite Gruppe, Level 2.
Auf diesem Level sind die höher qualifizierten SOC-Mitarbeiter zu finden. Sie sind Bereitschaftsdiensten zugeteilt, müssen jedoch nicht ständig vor Ort sein. Sobald sie von einem Mitglied von Level 1 über einen Sicherheitsvorfall informiert werden, beginnen sie mit einer eingehenden Analyse, die unter anderem eine Spurensuche im Netzwerk oder auch die Untersuchung von Code in einer Sandbox umfasst. Falls sich herausstellt, dass es sich tatsächlich um einen Angriff auf die IT-Systeme des Unternehmens handelt, sind sie für die Information des Computer Emergency Response Teams zuständig, das dann die Organisation der Abwehrmaßnahmen und die Bekämpfung übernimmt. Jede der beiden SOC-Gruppen können Mitarbeiter eines Dienstleisters bilden. (DK)
- Die letzte Verteidigungslinie
- Keine Frage der Größe
- Was KMU jetzt tun sollten
- SOC-Service-Mischformen
Lesen Sie mehr zum Thema
