Gefahrenabwehr im SOC

Lesezeit
4 Minuten
Bis jetzt gelesen

Gefahrenabwehr im SOC

22.09.2021 - 14:00
Veröffentlicht in:
Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt der Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs.
Cyberattacken werden zunehmend komplexer. Auch mittelständische Unternehmen geraten zunehmend ins Visier von Kriminellen und deren Advanced Persistent Threats (APT). Die Angreifer haben es entweder direkt auf die Daten der Unternehmen abgesehen oder nutzen sie indirekt als Sprungbrett zum Angriff auf andere, größere Betriebe, mit denen die Opfer als Partner digital verbunden sind. Um sich gegen solche immer komplexeren Angriffe abzusichern, versuchen viele Organisationen die IT-Sicherheit zu verbessern, indem sie ihre digitale Abwehrmauer erhöhen. Dies reicht gegen fortschrittliche Angriffsmethoden jedoch nicht aus, denn um sich heute adäquat gegen solche Angriffe abzusichern, müssen Unternehmen proaktiv vorgehen. Dies bedeutet unter anderem, aktiv Sicherheitslücken zu schließen und nach Angreifern suchen, insbesondere nach denen, die sich bereits unbemerkt im Netzwerk befinden. Ein solch proaktiver Ansatz ist jedoch gerade bei kleineren Betrieben mit begrenzten Mitteln schwer umzusetzen.

Vielen Organisationen fehlt das notwendige Budget, um ein entsprechend qualifiziertes Team von IT-Sicherheitsexperten zu beschäftigen. Und selbst wenn Budget für ein SOC (Security Operation Center) und deren Fachkräfte vorhanden ist, so fehlen am Arbeitsmarkt oft die Spezialisten, die unter allen IT-Berufen derzeit mit Abstand am begehrtesten sind. Der Fachkräftemangel in diesem Bereich führt sogar schon dazu, dass selbst große Unternehmen nur sehr schwer ein kompetentes SOC-Team aufstellen und langfristig halten können. Als Lösung für dieses Problem setzen deshalb immer mehr Organisationen auf externe Expertenteams im Rahmen von Managed-Detection-and-Response-Diensten (MDR). Diese externen Services fungieren als externes SOC für Unternehmen, die kein In-House-SOC haben, oder fungieren als verlängerter Arm des SOCs, um dieses zu unterstützen und gemeinsam die Sicherheit der Organisation zu erhöhen.

MDR – externe IT-Sicherheit für Organisationen
Die Arbeit der Experten in einem SOC basiert auf Daten aus zahlreichen unterschiedlichen Quellen. Etwa Daten, die ein Endpoint-Detection-and-Response-Werkzeug (EDR) im Unternehmen sammelt, den aggregierten Daten in einem Security Information and Event Management (SIEM) oder Threat-Informationen aus der Telemetrie von Millionen anderer Endpunkte, die mit maschinellem Lernen interpretiert werden.

Externe Experten in MDR-Diensten tun im Prinzip dasselbe. Sie kombinieren den Nutzen der fortschrittlichsten Sicherheitslösungen auf dem Markt mit der notwendigen menschlichen Intuition – und langjähriger Expertise in der Arbeit für verschiedene Unternehmen und Organisationen. Dabei ist es ihre Aufgabe, ständig die Sicherheit ihrer Kunden im Blick zu haben. Sie beseitigen aktiv beispielsweise bereits erfolgreich installierte Malware, erkennen auffälliges Verhalten einer Fileless-Attacke und verhindern größere Schäden, falls doch einmal ein Angriff Erfolg hatte. Zudem beraten sie ihre Kunden aktiv, um die Abwehrmechanismen kontinuierlich zu verbessern.

So funktioniert MDR
Im Rahmen eines MDR-Dienstes arbeiten verschiedene Teams an der Sicherheit ihrer Kunden. Erste Ansprechpartner sind die Security Account Manager. Sie agieren zum einem als Schnittstelle zwischen Kunden und Expertenteam. Zum anderen bewerten sie alle Informationen basierend auf der Kenntnis der Unternehmensnetze. Sie veranlassen notwendige Recherchen, das Erstellen von Risikoprofilen oder die Definition von Abwehrmaßnahmen durch andere Sicherheitsanalysten. Zugleich beraten sie Kunden zu allen Fragen der IT-Sicherheit.

Ihre Arbeit basiert auf der Arbeit anderer Spezialistenteams: Eine Gruppe interpretiert aktuelle Sicherheitsalarme, andere schätzen individuelle Risiken ein. Dabei berücksichtigen sie Angriffe auf branchenspezifische IT-Technologien und Mitbewerber. Sie definieren außerdem kundenspezifische Kataloge mit Sofortmaßnahmen für den Ernstfall. Ein weiteres Team hält sämtliche Abwehr- und Infrastruktursysteme im SOC ständig verfügbar.

MDR-Dienste basieren auf vier Säulen
Je länger und besser die Expertenteams ihre Kunden kennen, umso besser können sie deren IT schützen. Ausgangspunkt ist dabei die ausführliche Bestandsaufnahme der IT des Unternehmens und seiner digitalen Prozesse zu Beginn der Zusammenarbeit. Hier geht es nicht nur um die jeweilige Risikolage, sondern vor allem auch darum, ein möglichst detailliertes Bild des normalen Betriebs zu zeichnen. Nur so lässt sich normales von abweichendem Verhalten unterscheiden. Ein kontinuierlich wirkender MDR-Dienst beruht auf vier Säulen:
  1. Prevention: Grundlegende Abwehrtechnologien filtern bekannte Malware und verdächtige Aktivitäten im Vorfeld heraus. So haben die Sicherheitsanalysten Zeit, sich auf unbekannte Gefahren und individuell entworfene APTs zu konzentrieren, die die Tools nicht sehen oder abwehren können. Zudem überprüfen die Experten, ob sich die Mitarbeiter an die Sicherheitsrichtlinien halten.
  2. Detection: Technologien zum Schutz von Endpunkten wie Bitdefender XEDR helfen bei der Abwehr von Risiken. MDR-Teams suchen zudem aktiv nach neuen Angriffen, die den Kunden, seine Technologie und die Branche besonders betreffen. Um dies frühzeitig zu erkennen, überprüfen sie vor allem Vorgänge, die von normalen Abläufen abweichen. Ein Beispiel: Eine ungefilterte Suche nach allen Prozessen und Aktivitäten eines PowerShell-Tools ist verdächtig. Denn ein berechtigter Administrator, der sich mit dem System auskennt, würde in der Regel gezielt nach bestimmten Prozessen filtern und sich nicht alles anschauen.
  3. Response: Ein wichtiger Pluspunkt für externe Sicherheit ist die schnelle Reaktionszeit im Ernstfall. SOC-Experten führen schon, ehe sie eine Gefahr melden, die Maßnahmen durch, welche Kunde und Dienstleister vorab gemeinsam abgestimmt und vereinbart haben: Sie blockieren zum Beispiel IP-Adressen, setzen Passwörter zurück, isolieren oder entfernen Systeme zu Beginn einer Ransomware-Attacke aus dem Netz. Was der externe Dienstleister im Ernstfall ohne Rücksprache tun darf, betrifft dabei aber niemals die Grundlagen der zu schützenden Infrastruktur.
  4. Reporting: Bericht zu erstatten ist vor allem hinsichtlich der Dokumentationsvorgaben durch die DSGVO wichtig. Kunden sind nicht von den Informationen abgeschnitten und können sich auch selbst einschalten: Sie können sich selbst in die Systeme des MDR-Dienstes einloggen und sehen so die gleichen Informationen wie die externen Experten. Zurückliegende Aktivitäten lassen sich nachvollziehen, um forensische Rückschlüsse über die Attacke zu ziehen.
Fazit
Alle Cyberangriffe, insbesondere sehr komplexe und gezielte Angriffe, werden von Menschen geplant und durchgeführt. Und solange die Angreifer aus Fleisch und Blut sind, spielt auch der Mensch eine entscheidende Rolle in der Abwehr. Denn Menschen handeln anders als Maschinen. Zwar helfen künstliche Intelligenz und maschinelles Lernen dabei, Attacken schneller zu erkennen, etwa über die Erkennung von Anomalien im Nutzerverhalten, doch es bedarf trainierter und erfahrener Analysten, um alle zugänglichen Informationen der Telemetrie zu nutzen und daraus die oftmals gut verschleierten Absichten der Angreifer zu erkennen. Organisationen, die nicht das nötige Budget haben, ein eigenes SOC aufzubauen oder die ihr bestehendes SOC mit erfahrenen Sicherheitsexperten unterstützen wollen, können auf MDR-Dienste setzen, um ihre IT-Sicherheit maßgeblich zu erhöhen. So fügen sie ihrem Arsenal technologischer Abwehrlösungen den Faktor Mensch hinzu.

ln/Daniel Clayton, VP of Global Services bei Bitdefender

Tags

Ähnliche Beiträge

Künstliche Intelligenz nutzen und datenschutzkonform agieren Redaktion IT-A… Mi., 13.03.2024 - 08:17
Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.

Mit Mikrosegmentierung Sicherheitsrisiken minimieren

Netzwerksegmentierung dient der Abwehr von Schadsoftware, die sich nach der Infiltration des Netzwerks seitlich darin ausbreitet. Die Mikrosegmentierung untergliedert noch granularer, sodass zwischen einzelnen Unterbereichen des Netzwerks der Zugang beschränkt ist. Werden diese beiden Methoden miteinander kombiniert, lässt sich die Cybersicherheit eines Unternehmens merklich verbessern und Sicherheitsrisiken reduzieren.