Trend Micro
SOC und Technologie: Inhouse vs. Managed
Viele Unternehmen überlegen, ob sie ein eigenes SOC (Security Operations Center) aufbauen sollen, um ihre Cyberabwehr zu stärken. Dabei geht es in der Regel darum, die IT-Umgebung 24/7 zu monitoren, Bedrohungen frühzeitig zu erkennen und schnell zu reagieren.
Die Entscheidung für oder gegen ein Inhouse-SOC will gut überlegt sein. Denn solche Projekte sind mit hohem Aufwand und erheblichen Kosten verbunden. Sie enden nicht, sobald das SOC aufgebaut ist, sondern umfassen auch den kontinuierlichen Betrieb. Unternehmen sollten sich daher fragen: Haben wir dafür langfristig die nötigen finanziellen und personellen Ressourcen? Es bringt nichts, mühsam ein SOC aufzubauen, nur um dann zwei Jahre später festzustellen, dass sich der Betrieb nicht rechnet und man aus Personalmangel wieder aufgeben muss.
SOC-Mitarbeiter finden und binden
Eine der größten Herausforderungen im SOC ist die Tatsache, dass der Pool an verfügbaren Experten sehr begrenzt ist. Denn Security-Spezialisten sind auf dem Arbeitsmarkt schwer zu finden. Und selbst wenn man sie angeworben hat, heißt das nicht, dass sie auch längerfristig im Unternehmen bleiben. Das hängt unter anderem damit zusammen, dass die klassischen SOC-Aufgaben auf Dauer wenig attraktiv sind. Im Kern geht es darum, die Security-Daten eines Unternehmens zu analysieren, Anomalien zu erkennen, die Funde in einer Triage zu bewerten sowie adäquate Gegenmaßnahmen einzuleiten. Acht Stunden am Tag Security-Systeme in einem einzelnen mittelständischen Unternehmen zu überwachen, kann mitunter jedoch schnell eintönig werden – ganz im Gegenteil zu einem Managed Service Provider wo es täglich zu spannenden Vorfällen kommt. Daher kündigen viele Mitarbeiter bereits nach kurzer Zeit wieder, und das Unternehmen muss erneut auf Personalsuche gehen. Um die Arbeit abwechslungsreicher zu gestalten, lohnt es sich, darüber nachzudenken, weitere Security-Themen wie Vulnerability Management, Threat Intelligence oder die Incident-Response-Koordination im SOC anzusiedeln. Je spannender die Aufgaben, desto höher die Chance, dass spezialisierte Fachkräfte im Unternehmen bleiben.
Lohnt sich ein eigenes SOC?
Allein die Personalkosten für einen SOC-Betrieb sind teuer. Zwar gibt es unterschiedliche Konzepte. Um einen proaktiven 24/7-Schichtbetrieb zu stemmen, braucht man jedoch mindestens 12 Mitarbeiter. Da Security-Analysten hochspezialisiert und auf dem Arbeitsmarkt heiß begehrt sind, haben sie auch entsprechende Gehaltsvorstellungen. Meist liegen diese deutlich über dem Niveau der anderen IT-Mitarbeiter, was intern für Unmut sorgen könnte. Dabei sollten Unternehmen auch an die künftige Entwicklung denken, denn wenn eine erwünschte Gehaltserhöhung ausbleibt, finden unzufriedene Spezialisten schnell anderswo ein besseres Angebot. Wandern dann gleich mehrere Kollegen zusammen ab, steht der SOC-Betrieb vor dem Aus. Zu den Personalkosten kommen die Kosten für die Technologie. SIEM- und SOAR-Plattformen sowie Threat-Intelligence-Analysen sind teuer. Da sich Security-Anforderungen schnell ändern, muss man immer damit rechnen, dass in Zukunft weitere Investitionen in neue Technologie nötig sein werden. Wer all diese Kosten realistisch durchkalkuliert, kommt meist zu dem Schluss, dass sich ein SOC im Eigenbetrieb kaum lohnt.
Managed SOC Services statt Eigenbetrieb
Immer mehr Unternehmen gehen daher dazu über, SOC-Services von einem Dienstleister zu beziehen. Dieser stellt dann die nötigen Spezialisten bereit, übernimmt das Security-Monitoring und die Analyse. Sobald er eine Bedrohung erkennt, die behandelt werden muss, verständigt er den Kunden und unterstützt ihn bei der Eindämmung. Was in Managed-SOC-Services alles enthalten ist, hängt immer vom Anbieter ab. Häufig stellt dieser auch die SIEM-, XDR- oder SOAR-Plattform bereit und betreibt sie. Im Vergleich zum Eigenbetrieb haben solche Modelle viele Vorteile. Unternehmen sparen damit Kosten und verlagern die personellen Risiken auf den Dienstleister. Gleichzeitig profitieren sie von dessen kundenübergreifendem Know-how. Ganz aus der Verantwortung sind Unternehmen aber nicht. Sie brauchen trotzdem zwei bis drei Security-Spezialisten im eigenen Haus, die als Schnittstelle zum MSP dienen. Dieses Cyber-Defense-Kernteam sollte in der Lage sein, die Gefahrenmeldungen des SOC-Dienstleisters zu verstehen und die Maßnahmen im Unternehmen zu koordinieren. Wichtige Entscheidungen – etwa welche Risiken man eingehen will und ob man Systeme vom Netz nimmt – muss am Ende immer die Geschäftsleitung treffen.
Die richtige Technologie wählen
Ohne geeignete Security-Technologie ist jedes SOC blind – ganz gleich ob gemanagt oder selbst betrieben. Aber welche ist die richtige? Hersteller von SIEM-, XDR- und SOAR-Lösungen buhlen um die Gunst der Kunden. Sie alle haben ihre Berechtigung. Welche am besten passt, hängt immer vom Einzelfall ab. Um das herauszufinden, sollten Unternehmen tiefer ansetzen und das Fundament betrachten: die Daten. Sowohl SIEM (Security Information and Event Management) als auch XDR (Extended Detection and Response) sammeln Telemetriedaten der angeschlossenen Security-Systeme, analysieren und korrelieren sie zu Warnungen. Ein SOAR (Security Orchestration Automation and Response) kann dann automatisiert auf die im SIEM oder XDR ermittelten Anomalien reagieren und Security-Funktionen steuern. Wie gut die Lösungen funktionieren, hängt maßgeblich von der Qualität der Daten ab, die einfließen. Daher sollten Unternehmen im ersten Schritt ermitteln, welche Datenstruktur sie haben, welche Sensorik bereits im Einsatz ist und wie sich die Datenquellen anschließen lassen. Kann die zentrale Plattform aus den Daten überhaupt ein aussagekräftiges Angriffsbild erzeugen? Vielleicht muss man erst noch Endpunkt-Security nachrüsten, um fehlende Informationen zu ergänzen.
Was ist besser: SIEM oder XDR?
SIEM und XDR unterscheiden sich darin, welche Datenquellen sich anschließen lassen und wie einfach die Datenpflege ist. Grob gesagt ist ein SIEM offener, aber auch erheblich aufwändiger. Grundsätzlich kann man nahezu alle Systeme anbinden, die in irgendeiner Form Logdaten erzeugen. Wenn die Integration nicht bereits vom Hersteller vorbereitet ist, kann das jedoch komplex werden. Im SIEM landen Daten in unterschiedlichen Formaten. Damit das System diese Puzzleteilchen zusammensetzen kann, müssen sie zunächst normalisiert, also in eine einheitliche Struktur gebracht werden. Bei XDR entfällt dieser Arbeitsschritt. Hier landen die Daten bereits in der richtigen Form im Data Lake und lassen sich sofort analysieren. Dafür arbeitet die XDR-Plattform aber auch nur mit bestimmter, vom Hersteller unterstützter Sensorik zusammen. Zusammenfassend bedeutet das: XDR eignet sich für Unternehmen, die eine relativ standardisierte Infrastruktur haben und manuellen Aufwand reduzieren wollen. Im Zusammenspiel mit einem Managed Service können so auch kleinere Unternehmen schnell und einfach eine leistungsfähige Detection und Response etablieren. SIEM ist empfehlenswert, wenn man eine sehr diverse IT-Umgebung hat und zum Beispiel Legacy-Systeme einbinden möchte, erfordert aber auch viel Know-how und Arbeitszeit. SIEM oder XDR muss keine Entweder-Oder-Entscheidung sein. Größere Unternehmen oder professionelle SOC-Anbieter kombinieren gerne beide Technologien: Das XDR korreliert die Daten dann vor und übergibt sie ans SIEM, wo weitere Quellen einfließen. Dadurch reduzieren sich SIEM-Kosten, weil weniger Events pro Sekunde lizenziert werden müssen. Außerdem wird die Analyse beschleunigt. Die Ergebnisse aus dem SIEM können dann ins SOAR einfließen und ein automatisiertes Incident Handling auslösen.
Fazit
Die Entscheidung für ein Inhouse-SOC erfordert umfassende Überlegungen aufgrund hoher Kosten und personeller Herausforderungen. Angesichts des begrenzten Pools an Security-Experten neigen Unternehmen vermehrt dazu, auf Managed SOC Services zurückzugreifen, um Kosten zu sparen und personelle Risiken zu minimieren. Die Auswahl zwischen SIEM und XDR sollte dabei auf den individuellen Anforderungen basieren, wobei auch eine kombinierte Nutzung beider Technologien eine effiziente Sicherheitslandschaft ermöglichen kann.
