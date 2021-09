Gefahrenabwehr im SOC

Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt der Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs.

Blick in das Security Operations Center von Bitdefender, San Antonio (Texas).

Cyberattacken werden zunehmend komplexer. Auch mittelständische Unternehmen geraten zunehmend ins Visier von Kriminellen und deren Advanced Persistent Threats (APT). Die Angreifer haben es entweder direkt auf die Daten der Unternehmen abgesehen oder nutzen sie indirekt als Sprungbrett zum Angriff auf andere, größere Betriebe, mit denen die Opfer als Partner digital verbunden sind. Um sich gegen solche immer komplexeren Angriffe abzusichern, versuchen viele Organisationen die IT-Sicherheit zu verbessern, indem sie ihre digitale Abwehrmauer erhöhen. Dies reicht gegen fortschrittliche Angriffsmethoden jedoch nicht aus, denn um sich heute adäquat gegen solche Angriffe abzusichern, müssen Unternehmen proaktiv vorgehen. Dies bedeutet unter anderem, aktiv Sicherheitslücken zu schließen und nach Angreifern suchen, insbesondere nach denen, die sich bereits unbemerkt im Netzwerk befinden. Ein solch proaktiver Ansatz ist jedoch gerade bei kleineren Betrieben mit begrenzten Mitteln schwer umzusetzen.



Vielen Organisationen fehlt das notwendige Budget, um ein entsprechend qualifiziertes Team von IT-Sicherheitsexperten zu beschäftigen. Und selbst wenn Budget für ein SOC (Security Operation Center) und deren Fachkräfte vorhanden ist, so fehlen am Arbeitsmarkt oft die Spezialisten, die unter allen IT-Berufen derzeit mit Abstand am begehrtesten sind. Der Fachkräftemangel in diesem Bereich führt sogar schon dazu, dass selbst große Unternehmen nur sehr schwer ein kompetentes SOC-Team aufstellen und langfristig halten können. Als Lösung für dieses Problem setzen deshalb immer mehr Organisationen auf externe Expertenteams im Rahmen von Managed-Detection-and-Response-Diensten (MDR). Diese externen Services fungieren als externes SOC für Unternehmen, die kein In-House-SOC haben, oder fungieren als verlängerter Arm des SOCs, um dieses zu unterstützen und gemeinsam die Sicherheit der Organisation zu erhöhen.



MDR – externe IT-Sicherheit für Organisationen

Die Arbeit der Experten in einem SOC basiert auf Daten aus zahlreichen unterschiedlichen Quellen. Etwa Daten, die ein Endpoint-Detection-and-Response-Werkzeug (EDR) im Unternehmen sammelt, den aggregierten Daten in einem Security Information and Event Management (SIEM) oder Threat-Informationen aus der Telemetrie von Millionen anderer Endpunkte, die mit maschinellem Lernen interpretiert werden.



Externe Experten in MDR-Diensten tun im Prinzip dasselbe. Sie kombinieren den Nutzen der fortschrittlichsten Sicherheitslösungen auf dem Markt mit der notwendigen menschlichen Intuition – und langjähriger Expertise in der Arbeit für verschiedene Unternehmen und Organisationen. Dabei ist es ihre Aufgabe, ständig die Sicherheit ihrer Kunden im Blick zu haben. Sie beseitigen aktiv beispielsweise bereits erfolgreich installierte Malware, erkennen auffälliges Verhalten einer Fileless-Attacke und verhindern größere Schäden, falls doch einmal ein Angriff Erfolg hatte. Zudem beraten sie ihre Kunden aktiv, um die Abwehrmechanismen kontinuierlich zu verbessern.