Security Operations Center

IT-Security

Security Operations Center

Kein Unternehmen ist in der digitalen Welt vor Cyberangriffen sicher. Ob Online-Shop, Finanzinstitut oder Tech-Unternehmen – jede Organisation mit einer Internetpräsenz kann zum Ziel von Angreifern werden. Hierbei sind die Bedrohungen von Datendiebstahl, Ransomware bis hin zu gezielten Angriffen auf IT-Infrastrukturen sehr weitreichend.

Daher setzen immer mehr Unternehmen auf ein Security Operations Center um diesen Gefahren zu begegnen oder die Auswirkungen eines erfolgreichen Angriffes zu minimieren.

Doch was genau sind die Aufgaben eines Security Operations Centers?


Überwachung der IT

So gut wie jeder Server, der über das Internet erreichbar ist, wird ständig angegriffen, da Kriminelle automatisierte Programme nutzen, um verschiedene IP-Adressen auf Schwachstellen zu überprüfen. Auch sehr viele andere Angriffsmethoden werden genutzt. Die Absichten hierfür sind unterschiedlich.

Aus diesem Grund ist eine ständige Überwachung der IT-Infrastruktur unumgänglich. Zur IT-Infrastruktur zählen nicht nur die Server, sondern das gesamte Netzwerk. Also auch Endgeräte einzelner Mitarbeiter, Access Points für WLAN oder Smart-TVs (z.B. in Meetingräumen) – quasi jedes Gerät, das mit dem Netzwerk verbunden ist.

server room


Erkennung und Analyse von Bedrohungen

SOCs müssen Bedrohungen und Sicherheitsvorfälle frühzeitig erkennen. Dazu werden die Datenströme innerhalb und außerhalb des Netzwerkes analysiert. Hierfür setzen SOCs auf Software wie "Intrusion Detection Systems" (IDS) und "Intrusion Prevention Systems" (IPS), die automatisch auf Vorfälle reagieren können.

Außerdem vergleichen andere Sicherheitsprogramme die erkannten Vorfälle mit Datenbanken um Muster eines Angriffes zu erkennen. Diese Datenbanken enthalten Informationen aus verschiedenen Quellen, z.B. über gemeldete schädliche IPs (abuseipdb), bekannte Schadprogramme oder bekannte Sicherheitslücken etc.

Eine schnelle und präzise Analyse ist wichtig, um Falschmeldungen (false positives) zu minimieren und gezielte Gegenmaßnahmen einleiten zu können.


Reaktion auf Sicherheitsvorfälle (Incident Response)

Sobald eine Bedrohung als ein echter Sicherheitsvorfall erkannt wurde, tritt die Incident-Response-Phase in Kraft. Hierbei ist das Ziel, den Angriff so schnell wie möglich einzudämmen, um Schäden zu minimieren.

Zunächst wird analysiert welche Geräte des Netzwerkes betroffen sind und wie weit der Angreifer in das Netzwerk eingedrungen ist. Anschließend sorgen gezielte Maßnahmen, wie z.B. das Isolieren kompromittierter Geräte, das Sperren von Benutzerkonten oder sogar das Herunterfahren ganzer Server.

Die Maßnahmen hängen von mehreren Faktoren ab. Nicht immer ist jede Maßnahme geeignet. Daher wird jeder Schritt vom Sicherheitsvorfall so genau wie möglich dokumentiert um im Nachhinein den Angriff besser zu verstehen und die Maßnahmen gegen den Vorfall zu optimieren.


Forensische Analyse

Nach dem Sicherheitsvorfall ist vor dem Sicherheitsvorfall, da kein Netzwerk dauerhaft widerstandsfähig bleibt. Deshalb ist die forensische Analyse besonders wichtig.

Bei der forensischen Analyse beginnt das SOC die Ursache, den Ablauf und die Auswirkungen des Angriffs genauer zu untersuchen. Hierbei wird die zuvor erstellte Dokumentation überprüft und die Systemprotokolle sowie die Netzwerkanalyse ausgewertet um zu verstehen wie der Angreifer erfolgreich in die IT-Infrastruktur des Unternehmens eindringen konnte. Auch die hinterlassenen Spuren des Angreifers sind für die spätere Verfolgung durch Behörden entscheidend.

Flüchtige Datenträger (z.B. Arbeitsspeicher) müssen vor einem Neustart oder Herunterfahren gesichert werden. Hierfür gibt es spezielle Forensik-Tools.

Nach der forensischen Analyse hat man ein Gesamtbild des Sicherheitsvorfalls und kann anhand dessen das Netzwerk besser absichern in dem man z.B. Schwachstellen schließt, Richtlinien anpasst oder Schulungen für die Mitarbeiter des Unternehmens durchführt.


Threat Intelligence

Da IT-Sicherheit einem ständigen Katz-und-Maus-Spiel gleicht, gehört Threat Intelligence zur Routineaufgabe für einen SOC. Unter Threat Intelligence versteht man die ständige Weiterbildung und das Sammeln von Informationen bezüglich neuer Angriffsmethoden. Hierfür nutzt man, die weiter oben erwähnten, Datenbanken für Schadprogramme und Exploits. Auch das Austauschen mit anderen Unternehmen oder IT-Sicherheitsnetzwerken gehört zur Arbeit dazu.


Penetrationstests

Wer das Vorgehen von Angreifern kennen und abwehren will, muss denken wie ein Angreifer und das eigene Netzwerk auf Schwachstellen überprüfen. Dies nennt man Penetrationstest (pen test). Pentesting ist ein äußerst vielseitiges und umfangreiches Thema, weshalb es einen eigenen Artikel wert ist. Daher hier nur eine kurze Erklärung.

Zum Pentesting gehört unter anderem das Testen von bekannten Schwachstellen (exploitdb) oder Phishing-Simulationen, um die Mitarbeiter für Social-Engineering-Angriffe zu sensibilisieren. Aber auch die physische Sicherheit des Unternehmens wird regelmäßig überprüft. Hierunter versteht man das Testen von Zugängen zu Bereichen mit wichtigen Daten (Serverraum, Büros etc.).



soc

Die Arbeit in einem Security Operations Center ist komplex und alles andere als ein Routinejob. Ein SOC Mitarbeiter sollte insbesondere fundierte Fachkenntnisse, analytisches Denkvermögen, Stressresistenz und Teamfähigkeit mitbringen.