Das SOC und seine Varianten: Wer es braucht

Das SOC und seine Varianten: Wer es braucht und wie Unternehmen die Funktion eines SOC sinnvoll aufbauen.

Ein Security Operations Center (SOC) ist in der Regel für alle Organisationen sinnvoll, die über wertvolle Daten verfügen, bestimmten regulatorischen Anforderungen unterliegen oder in risikoreichen Branchen tätig sind. SOCs sind zwar in größeren Organisationen häufiger anzutreffen, aber auch viele kleinere Unternehmen profitieren davon.

Zusammenfassung (TL; DR):

• Ein Security Operations Center (SOC) ist in der Regel für alle Organisationen sinnvoll, die über wertvolle Daten verfügen, bestimmten regulatorischen Anforderungen unterliegen oder in risikoreichen Branchen tätig sind
• In Europa insgesamt ist die SOC-Einführung in der Regel in regulierten Branchen und in größeren Unternehmen am höchsten. Finanzwesen, Gesundheitswesen und kritische Infrastruktur sind hier führend.
• Zu den Kerntechnologien gehören SIEM-Systeme (Security Information and Event Management) für die Protokollaggregation und -korrelation, EDR/XDR-Lösungen (Endpoint/Extended Detection and Response), Netzwerküberwachungstools und Schwachstellenscanner.

Die meisten Vorschriften, sei es die DSGVO oder NIS2, verlangen es nicht ausdrücklich, aber ein funktionierendes und gut besetztes SOC kann einen großen Beitrag zur Erreichung der Sicherheitsziele dieser Vorschriften leisten. Aus genau diesem Grund hat die Einführung von MDR (Managed Detection and Response)-Diensten massiv zugenommen. Dadurch können viel mehr Unternehmen, die sich den Aufbau eines eigenen, komplexen und teuren SOC nicht leisten können, von den Vorteilen adäquater externer Services profitieren und gleichzeitig die Einhaltung strenger regulatorischer Rahmenbedingungen erreichen.

In Europa insgesamt ist die SOC-Einführung in der Regel in regulierten Branchen und in größeren Unternehmen am höchsten. Finanzwesen, Gesundheitswesen und kritische Infrastruktur sind hier führend.

Welche Tools und Technologien gehören hinein?

Zu den Kerntechnologien eines SOC gehören SIEM-Systeme (Security Information and Event Management) für die Protokollaggregation und -korrelation, EDR/XDR-Lösungen (Endpoint/Extended Detection and Response), Netzwerküberwachungstools und Schwachstellenscanner. Meist ergänzt werden sie durch Threat-Intelligence-Plattformen, SOAR-Tools (Security Orchestration, Automation and Response) für die Workflow-Automatisierung, Fallmanagementsysteme und Malware-Analyseumgebungen. Heutige SOCs integrieren auch Analysen des Benutzerverhaltens, Cloud-Sicherheitsüberwachungslösungen und zunehmend KI-gestützte Analysen, um Anomalien zu identifizieren und die Alarmmüdigkeit zu verringern.

Auch eine Frage der Kosten: Eigenes, externes oder as-a-Service?

Die Entscheidung zwischen Aufbau und Kauf eines Ökosystems hängt von der verfügbaren Sicherheitskompetenz, den Budgetbeschränkungen, der operativen Reife und den Geschäftsanforderungen ab.

Unternehmen, die ein eigenes SOC aufbauen, erwarten in der Regel die vollständige Kontrolle über Sicherheitsvorgänge, benutzerdefinierte Workflows und die Integration in interne Systeme. Oftmals müssen sie bestimmte Compliance-Standards erfüllen und detaillierte forensische Analysen durchführen können. Unternehmen, die sich für SOC-as-a-Service entscheiden, suchen in der Regel nach einer kostengünstigen und skalierbaren Lösung, die eine Überwachung rund um die Uhr, Incident Response und Zugang zu Cybersicherheitsexpertise bietet.

Ein weiterer beliebter Ansatz ist die Kombination von eigenen in Kombination mit externen Diensten, da dieses Konzept die Vorteile der schnellen Erkennung und Reaktion von MDR-Diensten mit dem detaillierten, fundierten Verständnis der Geschäftsanforderungen verbindet. Außerdem können sich die internen Sicherheitsmitarbeiter so ganz auf den Schutz ihrer wertvollsten digitalen Assets konzentrieren, ohne sich um die Bekämpfung der täglichen Cyberkriminalität kümmern zu müssen.

KMUs setzen auf SOC-as-a-Service oder MDR-Dienstleistungen

In der Regel bestimmt eine Kombination aus Kosten und Wirksamkeit die Wahl von SOC-as- a-Service. Es ist sehr schwierig, ein rund um die Uhr verfügbares SOC mit weniger als 15 bis 20 Mitarbeitern zu betreiben. Es muss Mitarbeiter für die Erstbewertung, Eskalationen an Bedrohungsjäger, Experten für Bedrohungsinformationen und mehr geben. Inhouse SOCs benötigen mindestens drei Schichten sowie Wochenenddienste und müssen Urlaub, Krankheit und Elternzeit berücksichtigen – eine erhebliche Investition. Für mittelständische und kleinere Unternehmen ist es daher in der Regel kostengünstiger auf SOC-as-as-Service oder MDR-Dienstleistungen zu setzen.

Darüber hinaus tragen MDR-Services dazu bei, zwei wichtige Kennzahlen zu verbessern: die Zeit bis zur Erkennung und die Zeit bis zur Reaktion. Bei einem Vorfall ist Zeit gleich Geld. MDR-Services sind täglich mit einer Vielzahl von Bedrohungsakteuren konfrontiert, sodass sie in der Lage sind, Bedrohungen schnell zu identifizieren und umgehend zu reagieren.

Sinnvoll ist es, den MDR-Dienst den Großteil der Cyberkriminalität zu überlassen, aber ein internes Tier-2- oder Tier-3-Team aus Threat-Huntern zu beschäftigen, welche die spezifischen Geschäftsanforderungen des Unternehmens verstehen und bei schwerwiegenderen Vorfällen die Kontrolle übernehmen können.

90 Prozent der Vorfälle außerhalb der Geschäftszeiten

Kleinere Unternehmen könnten zwar versuchen, SOC-Operationen während der Geschäftszeiten aufrecht zu erhalten, aber die Daten der Sophos Analysen zeigen, dass fast 90 Prozent der Vorfälle außerhalb der Geschäftszeiten auftreten. Viele Unternehmen setzen daher auf 24×7 MDR-Dienste in Kombination mit einem kleineren internen SOC mit Geschäftsexpertise. Damit benötigen sie nicht wie große Unternehmen ein SOC mit vollständiger Personalausstattung, profitieren aber dennoch einer Rund-um-die-Uhr-Abdeckung.

MSSPs essentiell im SOC-as-a-Service-Ökosystem

Managed Security Service Provider (MSSPs) spielen eine zentrale Rolle im SOC-as-a-Service-Ökosystem. Sie bieten Skaleneffekte, um Unternehmen, die sich kein eigenes SOC leisten können, spezialisierte Sicherheitsüberwachungsfunktionen anzubieten. MSSPs stellen Fachwissen, Technologie und kontinuierliche Abdeckung bereit und ermöglichen es, ihren Kunden einen ausgereiften Sicherheitsbetrieb zu implementieren, ohne die Kosten für den Aufbau und die Besetzung tragen zu müssen.