Wer arbeitet in einem Security Operations Center?
Wer arbeitet in einem Security Operations Center?
In der Regel arbeiten innerhalb des Security Operations Centers ausgebildete IT-Sicherheitsexperten aus sämtlichen Bereichen. Als SOC-Team sind diese dann, neben der allgemeinen Überwachung und Auswertung von allen sicherheitsrelevanten Aspekten, auch für die Orchestrierung von IT-Sicherheitsmaßnahmen verantwortlich. Das SOC stellt damit auch eine proaktive Abwehr in Bezug auf mögliche Cybersicherheitsangriffe dar.
Besteht das Security Operations Center somit nicht On-premises, ist es Teil der Managed Security Service (MSS). Also den Dienstleistungen im Bereich Cybersicherheit, die ausgelagert und von externen Anbietern, sogenannten Managed Security Service Providern (MSSP), angeboten werden.
Wie so vieles im Bereich der IT-Sicherheit kann somit auch das Security Operations Center eine ausgelagerte Abteilung sein. In diesem Fall wird der Service eines IT-Sicherheitsunternehmens in Anspruch genommen. Diese bekommen fortan alle relevanten Daten zur Verfügung gestellt und behalten die IT-Sicherheit Ihres Unternehmens unter Beobachtung. Kommt es zu besonderen Vorkommnissen, wird ein sofortiger Alarm ausgelöst. Es besteht also weiterhin eine enge Verbindung, um schnell Maßnahmen einleiten zu können und alle notwendigen Informationen weitergeben und verarbeiten zu können. Doch schauen wir uns an notwendige Schulungen und Verantwortlichkeiten des SOCs noch einmal etwas genauer an.
Schulung und kontinuierliche Weiterbildung im SOC
In der IT-Sicherheit ist heute nichts so, wie es morgen ist. Was meinen wir damit? Die Bedrohungslage verändert sich in wenigen Augenblicken und was gestern noch als vergleichsweise sicher galt, erscheint heute bereits unsichere Praxis zu sein. In kaum einem anderen Bereich ist die kontinuierliche Schulung und Weiterbildung der Mitarbeiter so bedeutend, wie in der IT-Sicherheit und speziell dann, wenn es um umfassende zentrale Stellen geht, wie auch das SOC eine ist, bei dem die essenziellen Bestandteile der Cybersecurity im Unternehmen festgelegt und erhalten werden.
Ohne regelmäßige Schulungen und gezielte Weiterbildungsmaßnahmen laufen SOC-Mitarbeiter daher in die Gefahr, längst überholte Strategien anzuwenden oder *alarmmüde* zu werden. Des Weiteren sind moderne IT-Infrastrukturen in letzter Zeit zunehmend komplexer geworden. Im Bereich der IT-Systeme benötigt es daher eine große Menge an Fachwissen, um modernen Angriffen entsprechend versiert entgegentreten zu können. Das kommt aber nicht von ungefähr und läuft ihren Mitarbeitern auch nicht auf dem Weg zur Arbeit zu, sondern ist das Resultat eines kontinuierlichen Lernprozesses.
Schulungen und Weiterbildungen umfassen also nicht nur sicherheitsrelevante Aspekte, sondern beschäftigen sich auch ganz allgemein mit der IT. Es geht dabei um ein weitreichendes Verständnis von Plattformen, Tools, Techniken, Strategien und Maßnahmen wie dem Threat Hunting oder der Incident Response. Je nach Position und Stand natürlich, denn in einem SOC arbeiten vom Management über SOC-Analysten bis zu Threat-Huntern und IT-Forensikern viele unterschiedliche IT-Sicherheitsspezialisten gemeinsam an der IT-Sicherheit ihres Unternehmens
Verantwortlichkeiten innerhalb eines SOC-Teams
Das SOC besteht aus einer Vielzahl an IT-Sicherheitsexperten, die im Falle des Security Operations Centers unterschiedliche Aufgaben übernehmen. Vom Analysten, der die Vorgänge genauer überwacht, hin zum Responder, der auf Bedrohungslagen entsprechend schnell reagiert oder dem SOC-Management, welches den Gesamtüberblick behält, ist im Grunde also alles vertreten.
Qualifikationen und Soft Skills sind dabei von entscheidender Bedeutung, um die Arbeit innerhalb eines SOC-Teams zu meistern. Gerade Teamarbeit und Kommunikationsfähigkeit sind oft entscheidende Fähigkeiten, die neben den fachlichen Qualifikationen und Zertifikaten ein großes Plus in die gemeinsame Arbeit einbringen. Bei einem inhouse SOC im Unternehmen müssen Mitarbeiter zudem kontinuierlich weitergebildet werden. Darüber hatten wir im vorherigen Absatz bereits berichtet.
Da in einem SOC normalerweise Schichtarbeit und somit ein 24/7-Betrieb herrscht, wird den entsprechenden Mitarbeitern im Security Operations Center einiges abverlangt. Beim SOC geht es wirklich darum, dass ein Team rund um die Uhr die Sicherheit aller IT-Systeme im Auge behält und auf Vorfälle augenblicklich reagieren kann. Das ist wichtig, zu verstehen, um die Bedeutung des SOCs selbst wertschätzen zu können.
Aber schauen wir uns noch einmal kurz die einzelnen Verantwortlichkeiten innerhalb eines SOC-Teams an. Die können zwar, je nach Größe des SOCs und dem jeweiligen Unternehmen, durchaus mal variieren, doch meist sind folgende Positionen vorzufinden.
Positionen innerhalb des Security Operations Center
SOC-Manager: Im SOC Management geht es um die strategische Ausrichtung des Security Operations Centers. Das Management koordiniert somit die unterschiedlichen Teams, entscheidet darüber, welche Rollen und Positionen im SOC verteilt werden und sorgt so dafür, dass die Prozesse des Security Operations Centers entsprechend reibungslos verlaufen. Ein SOC-Manager nimmt also die Führungsposition im Security Operations Center ein. Er trägt die Gesamtverantwortung für das SOC, die strategische Ausrichtung, Planung und die Koordination von täglich anfallenden Aufgaben. Zudem berichtet er an die Geschäftsführung sowie weitere wichtige Stakeholder im Unternehmen. Er ist daher immer auch eine wichtige Schnittstelle, die relevante Informationen an die Geschäftsleitung weitergibt und zudem wichtige Budgets verwaltet, mit denen dann weitere Technologien integriert werden können oder Modernisierungen im SOC stattfinden.
SOC-Analysten: Die sogenannten Security-Analysten sind in einem SOC nicht nur von entscheidender Bedeutung, sondern auch maßgeblich für dessen Erfolg verantwortlich. Security-Analysten durchforsten tagtäglich die Log-Dateien, analysieren eintreffende Warnungen sowie gewöhnliche Meldungen, aber ebenso Auffälligkeiten innerhalb der IT-Infrastruktur. Sie überwachen und analysieren im SOC also nahezu alles und betrachten sämtliche Sicherheitsprotokolle überaus genau. Ihr Fachwissen erstreckt sich dabei über verschiedene Bereiche, wie etwa Netzwerk- und Systemsicherheit, Malware-Analyse oder Schwachstellenmanagement. Um akute und zukünftige Vorfälle besser bewältigen zu können, analysieren sie, was ihnen in die Finger kommt, um daraus weitere Schlüsse und bleibende Erkenntnisse abzuleiten. Sie arbeiten zudem in unterschiedlichen Kompetenzstufen. Dazu weiter unten noch ein wenig mehr.
Incident Responder: Die Incident Responder, oft auch nur Responder genannt, sind ausgebildete Experten für IT-Sicherheit. Sie reagieren bei Sicherheitsvorfällen augenblicklich, treffen Entscheidungen unter hohem Druck, leiten Mitarbeiter durch das weitere Vorgehen, aktivieren Gegenmaßnahmen oder trennen Systeme sogar ganz vom Netzwerk, wenn diese in Gefahr sind. Alles mit dem Zweck, möglichen Schaden vom angegriffenen Unternehmen abzuwenden. Die Herausforderung eines Incident Responders ist es, präzise Entscheidungen zu treffen, obwohl die Situation heikel und brandgefährlich sein kann. Er muss daher jederzeit einen kühlen Kopf bewahren, auch wenn alles schon brennt. Bei der Incident Response geht es darum, schnellstmöglich und trotzdem nicht kopflos zu reagieren, um Sicherheitsprobleme effizient zu beseitigen und Cyberangriffe erfolgreich abzuwehren, ehe sie großen Schaden an der IT-Infrastruktur verursachen können.
SOC Threat Hunter: Sogenannte Threat Hunter beschäftigen sich in einem SOC mit der Suche nach Schwachstellen und potenziellen Bedrohungen. Anders als die SOC-Analysten sind die SOC Threat Hunter jedoch weniger reaktiv als vielmehr proaktiv tätig. Die Bedrohungssuche ist dabei eine enorm wichtige proaktive Methode, um Bedrohungen im Netzwerk zeitnah zu identifizieren und eliminieren zu können. Threat Hunter sind daher durchgehend damit beschäftigt, manuell sowie automatisiert nach möglichen Bedrohungsmustern zu suchen. Durch ihre proaktive Arbeit gelingt es ihnen, selbst komplexe Angriffe zu erkennen, bevor sie größeren Schaden anrichten können. Ziel ist es dabei immer, Angriffe zu erkennen, noch bevor diese überhaupt stattfinden. Das schaffen sie, indem sie ungewöhnliche Verhaltensmuster enttarnen, die von gewöhnlichen Überwachungssystemen nicht richtig erkannt werden können. Hier sind die Threat Hunter im besten Fall immer einen Schritt voraus und erkennen bösartige Akteure noch vor den automatischen Systemen.
SOC IT-Forensiker: Die IT-Forensik befasst sich mit der forensischen Beweissicherung. Ein IT-Forensiker analysiert systematisch die erfolgten Angriffe, sichert Daten dazu in möglichst unveränderter und somit unverfälschter Form, analysiert und bewertet diese, um sie anschließend auswerten und bei Bedarf präsentieren zu können. Am Ende beantwortet ein IT-Forensiker die klassischen Fragen. Also was, wo, wann und wie passiert ist und wer dafür verantwortlich war. Es geht somit vornehmlich um die saubere Aufarbeitung von Cyberangriffen, mit der eventuellen Beweissicherung für kommende Verfahren. Ein Forensik-Spezialist im SOC ist also geschult darin, die Ursprünge eines Angriffs zu erforschen. Dafür rekonstruiert er häufig den Angriff selbst und versucht, das Angriffsmuster und die genutzte Methode durch Rekonstruktion vollständig zu verstehen. Außerdem ist es seine Aufgabe, darüber hinaus festzustellen, welche Daten überhaupt kompromittiert wurden.
Unterschiede zwischen Level 1, Level 2 und Level 3
Für gewöhnlich werden Mitarbeiter, ganz speziell die SOC-Analysten, in unterschiedliche Kompetenzstufen unterteilt. Jedes Level umfasst dabei vielfältige Verantwortlichkeiten, die dem jeweiligen Mitarbeiter zuteilwerden. Diese möchten wir uns an dieser Stelle einmal kurz genauer ansehen und beleuchten, was es mit selbigen auf sich hat.
Level 1: Hierbei handelt es sich für gewöhnlich um Neulinge im Team, deren Hauptaufgabe es ist, Alarme und Warnmeldungen aus Überwachungssystemen wie dem SIEM (Security Information und Event Management) zu durchforsten. Im Kern der Sache sollen sie Falschmeldungen entlarven und die wirklich wichtigen Meldungen, also potenziell ernsthafte Sicherheitsvorfälle, entsprechend an einen Level 2 SOC-Analysten weiterleiten.
Level 2: Bei Level 2 SOC-Analysten ist mehr technisches Fachwissen vorhanden, weshalb sie auch die eskalierten Vorfälle von Level 1 übernehmen und bearbeiten. Bei diesen führen sie nun weitere Analysen durch, versuchen Angriffsmuster und Angriffsart zu erkennen. Dazu sichten sie die Log-Dateien von betroffenen Systemen und schauen sich den Netzwerkverkehr ein wenig genauer an. Kleinere Vorfälle können die Analysten gleich beheben, komplexere werden an Incident Responder und IT-Forensiker übergeben.
Level 3: Bei den SOC-Analysten im Level 3 handelt es sich um die am meisten qualifiziertesten Analysten im SOC. Sie wissen daher ganz genau, wie auch hochkomplexe Angriffe abgewehrt werden können und wie ihnen bei der Aufarbeitung begegnet werden sollte. Woran die vorherigen Level gescheitert sind, erledigen die Level 3 SOCs das Ganze innerhalb kürzester Zeit. Außerdem sind sie bedeutungsvolle Bausteine bei der Optimierung der Sicherheitsarchitektur eines Unternehmens, stehen den IT-Forensikern mit ihrem Fachwissen zur Verfügung und sind bei tieferen Analysen und Untersuchungen stets mit involviert. Zudem koordinieren sie oft das gesamte Analysten-Team im SOC und sind auch für andere Positionen verantwortlich. Sie berichten schlussendlich an das Management und haben für selbiges häufig eine beratende Position inne.
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge
Ratgeber
IT-Sicherheitstools
Interaktive Listen
Zertifikate IT-Sicherheit
