Cybersicherheit: Vertrauen Sie ganz auf das SOC von POST

Mit der Beauftragung eines Security Operations Center (SOC) stellen Organisationen eine ständige Überwachung sämtlicher Aktivitäten innerhalb ihrer Informationssysteme sicher, um schnell und effizient auf Angriffe oder Anomalien reagieren zu können. Zur Veranschaulichung geben wir Ihnen mit diesem Artikel die Gelegenheit, sich einmal in die Rolle eines Kunden des SOC von POST zu versetzen.

Das Security Operations Center (SOC) trägt wesentlich dazu bei, die Sicherheit einer Organisation und insbesondere ihrer Informationssysteme zu gewährleisten. Durch die Analyse verschiedener Logdateien bzw. von in Computersystemen ablaufenden Ereignissen sollen Anomalien oder Angriffe erkannt werden. Diese Logdateien können sämtliche Aktivitäten auf Servern, Datenbanken, Anwendungen, Firewalls und zahlreichen anderen Geräten darstellen. Diese Informationen werden an das SOC übermittelt, das die Geschehnisse an sieben Tagen die Woche rund um die Uhr überwacht. Gemäß festgelegten Regeln können im Rahmen der Analyse der Logdateien Warnungen ausgegeben und Verfahren aktiviert werden, mit denen schnell auf Probleme reagiert werden soll. Bei einer Beauftragung des SOC kann der Kunde sich beruhigt zurücklehnen. Seine äußerst wertvollen digitalen Vermögenswerte werden kontinuierlich überwacht.

Umsetzung unter Berücksichtigung der Unternehmensumstände

Für eine optimale Überwachung der Informationssysteme ist es jedoch zunächst erforderlich, die Umstände des Unternehmens sowie dessen Aktivitäten, Standort, Lieferanten, Bedürfnisse und Risiken zu berücksichtigen. Die Mitarbeiter des SOC von POST informieren sich daher über die Aktivitäten des Kunden, insbesondere um zu bestimmen, was zu den normalen Aktivitäten gehört, die über die Informationssysteme erfolgen.

Überdies muss der Überwachungsbereich des SOC eingegrenzt werden, um die verfügbaren Logdateien zu identifizieren und die relevantesten von ihnen zu übermitteln, sodass eine qualitativ hochwertige Überwachung gewährleistet ist. Ein SOC kann Firewalls, Server, Laptops, Datenbanken, Antivirenprogramme, IDS, IPS, VPN usw. überwachen. D. h. sämtliche Geräte, die das Versenden von Logs über das IP-Protokoll ermöglichen. Anhand des gewünschten Umfangs und des finanziellen Spielraums des Kunden lassen sich die Anzahl der zu überwachenden Elemente und das Volumen der zu analysierenden Logdateien genauer abstecken.

Festlegung von Überwachungsregeln

Die wichtigste Herausforderung ist anschließend die Aufstellung von Regeln für die Überwachung. Eine Regel kann zum Beispiel festlegen, dass eine Warnmeldung ausgelöst wird, wenn die Logdateien eine oder mehrere spezifische Bedingungen erfüllen.

Das SOC von POST arbeitet mit einer Reihe generischer Regeln, die standardmäßig auf die Technologien der Kunden angewendet werden und die es ermöglichen, Risiken zu überwachen, denen sämtliche Akteure ausgesetzt sind. Weitere Regeln sind je nach Unternehmenskontext festzulegen.

Einrichtung von Warnmeldungen und sofortige Kontrollen

Man unterscheidet verschiedene Kategorien von Regeln.

Zwar wird durch alle Regeln eine Warnmeldung ausgelöst, doch nur in manchen Fällen wird ein Ticket eröffnet und eine Kontrolle in Echtzeit durchgeführt.

Die übrigen Regeln dienen hauptsächlich der Berichterstattung im Rahmen von internen oder externen Audits. Dank einer spezifischen Korrelationsstrategie des SOC von POST ist eine Überwachung der Warnmeldungen auch ohne Kontrolle in Echtzeit möglich.

Wird eine Warnmeldung ausgelöst, die eine Kontrolle in Echtzeit erfordert, kann das Team im Rahmen der ersten Stufe:

• erste Untersuchungen durchführen;
• die Warnung als Fehlalarm einstufen und das Ticket schließen;
• die Teams kontaktieren, die die IT-Systeme verwalten, damit sie mehr Kontext bzw. Erklärungen liefern;
• den Kunden kontaktieren und ihm alle erforderlichen Informationen übermitteln;
• die zweite Stufe innerhalb des SOC ausrufen, wenn eine umfassende Untersuchung nötig ist.

Nützliche Indikatoren für das Sicherheitsmanagement

Wenn Regeln Fälle betreffen, für die keine Echtzeitkontrollen erforderlich sind, erfolgt keine sofortige Untersuchung. Vielmehr werden Berichte oder Dashboards erstellt, um Aktivitäten im Nachhinein zu überprüfen, oder zur Vorbereitung eines Audits. Diese Daten ermöglichen ein besseres Verständnis der Systemaktivitäten, sodass beispielsweise die festgelegten Regeln angepasst werden können.

Testung und fortwährende Weiterentwicklung der Regeln

Jede Regel ist vor dem tatsächlichen Einsatz einem Test zu unterziehen, um sicherzustellen, dass die erzielten Ergebnisse den Erwartungen entsprechen. Die Regeln müssen kontinuierlich verfeinert werden, insbesondere um unnötigerweise ausgelöste Fehlalarme zu reduzieren.

Kontinuierliche Verbesserung im Dialog mit dem Kunden

Neben der operativen Überwachung sieht das Team des SOC regelmäßige Kundenmeetings vor, um die Situation zu besprechen, die Überwachung neuer Schwachstellen zu erwägen, Warnmeldungen zu überprüfen und eventuell erforderliche Anpassungen zu erörtern. Diese Meetings können während der Implementierungsphase wöchentlich mit dem SOC abgehalten werden und finden nach erfolgter Einrichtung mindestens einen Monat lang statt. Zu den Besprechungspunkten zählen der weitere Bedarf, Kundenentwicklungen, eventuell benötigte neue Indikatoren oder die Anpassung von Berichten oder Dashboards. Ziel ist es, einen „Black Box“-Effekt zu vermeiden. Im Rahmen dieser regelmäßigen Meetings kann der Kunde über alle beobachteten Ereignisse unterrichtet werden.

Durch den regelmäßigen Austausch ist das SOC von POST Teil eines kontinuierlichen Verbesserungsprozesses, damit der Kunde optimal abgesichert ist und die Servicequalität seinen Erwartungen entspricht.