Security Operations Center (SOC)

Aus IT-Forensik Wiki

Security Operations Center (SOC)

Ein Security Operations Center (SOC) umfasst Mitarbeiter, Prozesse und Technologien, die für die Überwachung, Analyse und Aufrechterhaltung der Informationssicherheit eines Unternehmens verantwortlich sind1. Es sammelt in Echtzeit Daten aus den Netzwerken, Servern, Endpunkten und anderen digitalen Ressourcen des Unternehmens, um potenzielle Cybersicherheitsbedrohungen zu identifizieren und abzuwehren. Die meisten Security Operations Centers folgen einer "Hub and Spoke"-Struktur, die es dem Unternehmen ermöglicht, einen zentralen Datenspeicher zu erstellen. Zu den Aktivitäten und Verantwortlichkeiten des SOC gehören:

  • Netzwerküberwachung, um einen vollständigen Einblick in die digitalen Aktivitäten zu erhalten und Anomalien besser zu erkennen
  • Präventionstechniken zur Abschreckung und Abwehr von (un)bekannten Risiken
  • Bedrohungserkennung und -aufklärung, um den Ursprung, die Auswirkungen und den Schweregrad jedes Security Incidents bewerten zu können
  • Incident Response auf Vorfälle und Abhilfemaßnahmen mit einer Mischung aus automatisierten Technologien und menschlichem Eingreifen
  • Berichterstattung, um sicherzustellen, dass alle Vorfälle und Bedrohungen in den Datenspeicher eingespeist werden, so dass dieser in Zukunft präziser und reaktionsfähiger wird
  • Risiko- und Compliance-Funktionen zur Sicherstellung der Einhaltung von Branchen- und Regierungsvorschriften

Mitarbeiter

Das SOC besteht aus hochqualifizierten Security Analysts und Security Engeeners sowie aus Managern, die für einen reibungslosen Ablauf sorgen2. Die meisten SOCs verfolgen einen hierarchischen Ansatz zur Bewältigung von Sicherheitsproblemen, bei dem Analysten und Techniker je nach ihren Fähigkeiten und ihrer Erfahrung in Levels eingeteilt werden:

  • Level 1 - Triage: Kategorisierung und Priorisierung von Warnmeldungen, Eskalation von Vorfällen an Tier 2-Analysten
  • Level 2 - Reaktion auf Vorfälle: Untersucht und behebt eskalierte Vorfälle, identifiziert betroffene Systeme und den Umfang des Angriffs, nutzt Bedrohungsdaten, um den Gegner zu enttarnen
  • Level 3 - Threat Hunter: Sucht proaktiv nach verdächtigem Verhalten und testet und bewertet die Netzwerksicherheit, um fortgeschrittene Bedrohungen zu erkennen und Bereiche mit Schwachstellen oder unzureichend geschützten Anlagen zu identifizieren

Prozesse

Die Prozesse, die von einem SOC durchgeführt werden, sind vielschichtig und variieren ja nach Organisation. Zu den wichtigsten Prozessen eines SOC-Teams gehören:

  • Alarmtriage - Das SOC sammelt und korreliert Protokolldaten und stellt Tools bereit, mit denen Analysten diese überprüfen und relevante Sicherheitsereignisse erkennen können
  • Priorisierung von Alarmen - SOC-Analysten nutzen ihr Wissen über das Geschäftsumfeld und die Bedrohungslandschaft, um Alarme zu priorisieren und zu entscheiden, welche Ereignisse echte Sicherheitsvorfälle darstellen
  • Remediation and Recovery - Sobald ein Vorfall entdeckt wird, sind die SOC-Mitarbeiter dafür verantwortlich, die Bedrohung zu entschärfen, die betroffenen Systeme zu säubern und sie wieder in ihren normalen Betriebszustand zu versetzen
  • Postmortem and Reporting - Eine wichtige Aufgabe des SOC besteht darin, die Reaktion des Unternehmens auf einen Vorfall zu dokumentieren, zusätzliche forensische Analysen durchzuführen, um sicherzustellen, dass die Bedrohung vollständig eingedämmt wurde, und aus dem Vorfall zu lernen, um die Prozesse des SOC zu verbessern

Technologien

Um eine ganze Organisation effektiv überwachen zu können, benötigt das SOC eine Reihe von Tools und Produkten. Typische Technologien, die bei innerhalb eines SOCs zusammenspielen, sind:

  • Security information and event management (SIEM): Ein SIEM sammelt und kategorisiert Daten aus einer Vielzahl von Quellen im Netzwerk und analysiert diese, damit in Echtzeit darauf reagiert werden kann
  • Endpoint Detection and Response (EDR): Jedes Gerät, das eine Verbindung zu Ihrem Netzwerk herstellt, ist anfällig für Angriffe. Ein EDR kann Bedrohungen auf Endgeräten und in der Netzwerkumgebung erkennen und auf sie reagieren
  • Firewall: Sie überwacht den ein- und ausgehenden Netzwerkverkehr und blockiert ihn automatisch auf der Grundlage der von Ihnen festgelegten Regeln
  • Log-Management-System: Ermöglicht die Protokollierung aller Meldungen, die von jeder Software, Hardware und jedem Endgerät im Netzwerk stammen
  • Vulnerability Scanners und Penetrationstests: Ermöglicht es den Security Analysts Schwachstellen zu untersuchen und unentdeckte Schwachstellen im Netzwerk zu finden
  • Ticketing Tool: Ermöglicht es Alarme aus Überwachungsregeln zu dokumentieren und sammeln. Security Analysts können sich Alarme zur Bearbeitung zuweisen und so effektiv bearbeiten

1 https://www.crowdstrike.com/cybersecurity-101/security-operations-center-soc/ (25.05.22)

2 https://www.splunk.com/en_us/data-insider/what-is-a-security-operations-center.html (25.05.22)