Ohne Security Operation Center keine effektive Angriffsabwehr › ComConsult

Ohne Security Operation Center keine effektive und effiziente Angriffsabwehr

04.10.2018 / Dr. Simon Hoff / Senior-Berater

aus dem Netzwerk Insider Oktober 2018

Ein Kernelement der operativen Informationssicherheit ist das effiziente und effektive Management von Schwachstellen und Sicherheitsvorfällen.

Wir benötigen hierzu eine zentrale Stelle an der sicherheitsrelevante Informationen und Ereignisse zusammenlaufen, protokolliert und in Echtzeit analysiert werden. Hier sollten auch Schwachstellen in der IT systematisch erfasst und in die Analyse miteinbezogen werden. Dabei sollte auch die Information vorliegen, welche Risiken hinsichtlich der Informationssicherheit bestehen, welche Sicherheitsmaßnahmen umzusetzen sind und wie der Umsetzungsstatus ist. Bei Feststellung von Sicherheitsvorfällen kann von dieser zentralen Stelle aus unmittelbar reagiert werden, Sofortmaßnahmen können eingeleitet werden und im Nachgang auf Basis des gesammelten Datenmaterials können forensische Analysen durchgeführt werden.

Wir brauchen also einen Leitstand für die Informationssicherheit, ein sogenanntes Security Operation Center (SOC).

Herz und Gehirn eines SOC ist ein System für das Security Information and Event Management (SIEM), das eine Aufzeichnung und Echtzeitanalyse von Ereignissen zur Erkennung und Analyse von Anomalien und Sicherheitsvorfällen ermöglicht. SIEM-Systeme greifen hierzu auf unterschiedlichste Informationsquellen, wie System-Logs und Monitoring-Daten, zu und IT-Systeme können aktiv Ereignisse an ein SIEM-System melden.

Um Anomalien und Sicherheitsvorfälle wie Angriffe zu erkennen, muss ein SIEM system- und anwendungsübergreifend Daten analysieren und korrelieren. Neben der Verwendung von Signaturen und anderer Techniken, wie wir sie von Virenschutz-Lösungen und Intrusion-Prevention-Systemen (IPS) kennen, arbeitet ein modernes SIEM hierzu mit Künstlicher Intelligenz und statistischen Modellen. Beispiele für Systeme, die typischerweise über ein SIEM überwacht werden, sind Sicherheitskomponenten (z.B. Firewalls, IPS, VPN Gateways), Systeme für das Privileged Access Management (PAM), exponierte Server, die als Einstiegspunkt für Angriffe dienen können und Server mit hohem Schutzbedarf. Weiterhin hat ein SIEM typischerweise Schnittstellen zu Virenschutz-Lösungen und zu Schwachstellen-Scannern.

Schwachstellen-Scanner sind eine weitere wichtige Komponente in einem SOC. Diese Werkzeuge können automatisiert IT-Systeme hinsichtlich bekannter Schwachstellen untersuchen und dabei z.B. ungesicherte Schnittstellen oder veraltete Patch-Level feststellen. Schwachstellen-Scanner alleine reichen aber nicht für ein Schwachstellen-Management aus. Im SOC muss ein möglichst vollständiges Bild der aktuellen Bedrohungslage für die überwachte IT vorliegen. Meldungen zu Schwachstellen und potentiellen Sicherheitsvorfällen können dabei auch von IT-Nutzern, Administratoren oder von externen Quellen eingehen.

Trotz all der Technik und maschinellen Intelligenz im SOC ist es letztendlich der menschliche Administrator im SOC der entscheiden muss, ob für eine festgestellte Schwachstelle Handlungsbedarf besteht oder, ob es sich bei einem gemeldeten Ereignis tatsächlich um einen Sicherheitsvorfall handelt. In diesem Fall muss vom SOC aus eine entsprechende Reaktion über ein Incident Management System / Ticketing System angestoßen und nachverfolgt werden. Je nach Organisation der jeweiligen Institution kann es auch sein, dass die Mitarbeiter im SOC selbst aktiv werden. In diesem Fall ist es erforderlich, dass vom SOC neben rein lesenden Zugriffen auch weitergehende administrative Zugriffe auf gewisse IT-Komponenten (z.B. Sicherheitskomponenten) möglich sind.

Das SOC ist die zentrale Stelle für die Behandlung von Schwachstellen und Sicherheitsvorfällen und in den Prozessen sind entsprechende Schnittstellen zu Incident Management, Notfallmanagement, Risikomanagement, konventionellem Monitoring und Configuration Management (inklusive Zugriff auf die entsprechende Dokumentation z.B. CMDB) vorzusehen.

Die notwendige Kompetenz der Mitarbeiter im SOC ist dabei nicht zu unterschätzen, denn tiefgehende Kenntnisse der fachlichen und betrieblichen Prozesse, der IT-Architekturen, der genutzten Systeme und Anwendungen können notwendig sein, um gemeldete Ereignisse überhaupt zu verstehen und schnell richtig einzuschätzen.

Ein SOC kann als eigenständige separate Struktur getrennt von anderen IT-Managementumgebungen realisiert werden. Dabei muss man allerdings beachten, dass eine Vielzahl von Schnittstellen zur überwachten IT und zum konventionellen Monitoring von Netzwerk, Servern und Anwendungen bestehen. Außerdem werden gewisse Komponenten automatisch mehrfach überwacht, wie es etwa bei einer Firewall der Fall ist. Eine Firewall ist zunächst eine Netzkomponente wie ein Switch. Verfügbarkeit und Fehlermeldungen würden daher auch im Monitoring des Netzwerks und nicht nur im SOC erfasst.

Auch ein Betrieb eines SOC durch einen externen Dienstleister ggf. im Rechenzentrum des Dienstleisters oder als Cloud-Dienst ist nicht unüblich. Oft ist an dieser Stelle das Argument, dass man die notwendige Kompetenz für die Informationssicherheit nicht mehr selbst bereitstellen kann und daher auf einen Dienstleister angewiesen ist. Nur muss an dieser Stelle berücksichtigt werden, dass ein SOC einen tiefgehenden Zugriff auf die IT hat und eng mit der gesamten IT-Prozesslandschaft verknüpft sein muss, und genau hier liegt die Schwierigkeit beim Outsourcing eines SOC.