Wer arbeitet in einem Security Operations Center?

Im Security Operations Center arbeiten hochqualifizierte IT-Sicherheitsexperten aus unterschiedlichen Bereichen. Innerhalb des SOC-Teams sind sie, neben der allgemeinen Überwachung und Auswertung von allen sicherheitsrelevanten Aspekten, auch für die Orchestrierung von IT-Sicherheitsmaßnahmen verantwortlich. Im SOC arbeiten Analysten auf unterschiedlichen Ebenen, die beispielsweise erste Bewertungen von Alarmen durchführen, Malware-Spezialisten, Incident Responder und IT-Forensiker Hand in Hand. Während die genannten Rollen auf Sicherheitsvorfälle reagieren gehen Threat Hunter proaktiv gegen Cyberbedrohungen vor. Sie analysieren das Netzwerk auf bisher unentdeckte Bedrohungen und empfehlen Maßnahmen, um die Sicherheitsrisiken zu minimieren.

Besteht das Security Operations Center nicht On-premises, ist es Teil der Managed Security Services (MSS), also den Dienstleistungen im Bereich Cybersicherheit, die ausgelagert und von externen Anbietern (sogenannten Managed Security Service Providern, MSSP), erbracht werden.

Wie so vieles im Bereich der IT-Sicherheit kann somit auch das Security Operations Center eine ausgelagerte Abteilung sein. In diesem Fall wird der Service eines IT-Sicherheitsunternehmens in Anspruch genommen, das die gesamte Arbeit des SOC fortan übernimmt.

Schulung und kontinuierliche Weiterbildung im SOC

In der IT-Sicherheit ist heute nichts so, wie es morgen ist. Was meinen wir damit? Die Bedrohungslage, Methoden und Techniken der Hacker verändern sich stetig was gestern noch als vergleichsweise sicher galt, kann heute bereits unsichere Praxis sein. In kaum einem anderen Bereich ist die kontinuierliche Schulung und Weiterbildung der Mitarbeitenden daher so bedeutend, wie in der IT-Sicherheit. Speziell dann, wenn es um umfassende zentrale Stellen geht, wie auch das SOC eine ist, das die Cybersecurity verantwortet.

Ohne regelmäßige Schulungen und gezielte Weiterbildungsmaßnahmen laufen SOC-Mitarbeiter daher in die Gefahr, wichtige Veränderungen zu verpassen, längst überholte Strategien anzuwenden oder Alarme nicht mehr richtig einzuordnen. Des Weiteren sind moderne IT-Infrastrukturen in letzter Zeit immer komplexer geworden. Im Bereich der IT-Systeme benötigt es daher großes Fachwissen, um modernen Angriffen entsprechend versiert entgegentreten zu können. Das kommt aber nicht von ungefähr und läuft selbst hochqualifizierten Mitarbeitern nicht auf dem Weg zur Arbeit zu, sondern ist das Resultat eines laufenden Lernprozesses, der von kontinuierlichen Schulungen und Weiterbildungen getragen wird.

Trainings und Fortbildungen umfassen also nicht nur sicherheitsrelevante Aspekte, sondern beschäftigen sich auch ganz allgemein mit der IT. Es geht dabei um ein weitreichendes Verständnis rund um Plattformen, Tools, Techniken, Strategien. Dabei nehmen Threat Hunting und Incident Response im SOC eine immer größere Bedeutung ein.

Verantwortlichkeiten innerhalb eines SOC-Teams

Das SOC besteht aus einer Vielzahl an IT-Sicherheitsexperten, die im Falle des Security Operations Centers unterschiedliche Aufgaben übernehmen. Vom Analysten, der die Vorgänge genauer überwacht, hin zum Responder, der auf Bedrohungslagen entsprechend schnell reagiert oder dem SOC-Management, das den Gesamtüberblick behält, ist im Grunde alles vertreten.

Qualifikationen und Soft Skills sind dabei von entscheidender Bedeutung, um die Arbeit innerhalb eines SOC-Teams zu meistern. Gerade Teamarbeit, gegenseitige Unterstützung und Kommunikation, Austausch und Diskussionensind oft entscheidende Faktoren, die neben den fachlichen Qualifikationen und Zertifikaten ein großes Plus in die gemeinsame Arbeit einbringen, die Mitarbeiter weiterentwickeln und eine „Alarmmüdigkeit“ verhindern.

Da im SOC normalerweise Schichtarbeit und somit ein 24/7-Betrieb herrscht, wird den entsprechenden Mitarbeitern im Security Operations Center einiges abverlangt. Beim SOC geht es darum, dass ein Team rund um die Uhr die Sicherheit aller IT-Systeme im Auge behält und auf Vorfälle augenblicklich reagieren kann. Schichten müssen sich für die reibungslosen Übergaben überlappen, Nächte und Feiertage sind lückenlos abzudecken, die personelle Ausstattung muss Krankheiten, Urlaub und Weiterbildungszeiten berücksichtigen.

Aber schauen wir uns noch einmal kurz die einzelnen Verantwortlichkeiten innerhalb eines SOC-Teams an. Die können zwar, je nach Größe des SOCs und dem jeweiligen Unternehmen, durchaus variieren, dennoch sind meist folgende Positionen vorzufinden:

Positionen innerhalb des Security Operations Center

SOC-Manager: Im SOC-Management geht es um die strategische Ausrichtung und Führung des Security Operations Centers. Das Management koordiniert die unterschiedlichen Teams, entscheidet darüber, welche Rollen und Positionen im SOC verteilt werden und sorgt so dafür, dass die Prozesse des Security Operations Centers entsprechend reibungslos verlaufen. Ein SOC-Manager nimmt also die Führungsposition im Security Operations Center ein. Er trägt die Gesamtverantwortung für das SOC, die strategische Ausrichtung, Planung und die Koordination von täglich anfallenden Aufgaben. Zudem berichtet er an die Geschäftsführung sowie weitere wichtige Stakeholder im Unternehmen. Er ist daher immer auch eine wichtige Schnittstelle, die relevante Informationen an die Geschäftsleitung weitergibt und zudem wichtige Budgets verwaltet, mit denen dann weitere Technologien integriert werden können oder Modernisierungen im SOC stattfinden.

SOC-Analysten: Die sogenannten Security-Analysten bilden den Kern des SOC, sind die größte Gruppe und  bestimmen maßgeblich über dessen Erfolg. Security-Analysten durchforsten tagtäglich die Log-Dateien, analysieren eintreffende Warnungen sowie gewöhnliche Meldungen, aber ebenso Auffälligkeiten innerhalb der IT-Infrastruktur. Sie überwachen und analysieren im SOC also nahezu alles und betrachten sämtliche Sicherheitsprotokolle überaus genau. Ihr Fachwissen erstreckt sich dabei über verschiedene Bereiche, wie etwa Netzwerk- und Systemsicherheit, Malware-Analyse oder Schwachstellenmanagement. Um akute und zukünftige Vorfälle besser bewältigen zu können, analysieren sie, was ihnen in die Finger kommt, um daraus weitere Schlüsse und Erkenntnisse abzuleiten. Sie arbeiten zudem in unterschiedlichen Kompetenzstufen. Dazu weiter unten noch ein wenig mehr (Link?).

Incident Responder: Die Incident Responder, oft auch nur Responder genannt, sind ausgebildete Experten für IT-Sicherheit. Sie reagieren bei Sicherheitsvorfällen augenblicklich, treffen Entscheidungen unter hohem Druck, leiten Mitarbeiter durch das weitere Vorgehen. Sie aktivieren Gegenmaßnahmen oder trennen Systeme sogar ganz vom Netzwerk, wenn von diesen Gefahr ausgeht. Alles mit dem Zweck, möglichen Schaden vom angegriffenen Unternehmen abzuwenden. Die Herausforderung eines Incident Responders ist es, präzise Entscheidungen zu treffen, obwohl die Situation heikel und brandgefährlich sein kann. Er muss daher jederzeit einen kühlen Kopf bewahren, auch wenn alles schon brennt. Bei der Incident Response geht es darum, schnellstmöglich und trotzdem nicht kopflos zu reagieren, um Sicherheitsprobleme effizient zu erkennen, zu beseitigen und Cyberangriffe erfolgreich abzuwehren, ehe sie großen Schaden an der IT-Infrastruktur verursachen können.

SOC Threat Hunter: Sogenannte Threat Hunter beschäftigen sich in einem SOC mit der Suche nach Schwachstellen und potenziellen Bedrohungen. Anders als die SOC-Analysten sind die SOC Threat Hunter jedoch weniger reaktiv als vielmehr proaktiv tätig. Die Bedrohungssuche ist dabei eine enorm wichtige proaktive Methode, um sich auf potentielle Bedrohungen frühzeitig einstellen zu können, diese zu identifizieren und zeitnah entgegen zu wirken.. Threat Hunter sind daher durchgehend damit beschäftigt, manuell sowie automatisiert nach möglichen Bedrohungsmustern zu suchen (Threat Analyse). Durch ihre proaktive Arbeit gelingt es ihnen, selbst komplexeste Angriffe zu erkennen, bevor sie größeren Schaden anrichten können. Ziel ist es dabei immer, Angriffe zu erkennen, noch bevor diese überhaupt stattfinden. Das schaffen sie, indem sie ungewöhnliche Verhaltensmuster enttarnen, die von gewöhnlichen Überwachungssystemen nicht richtig erkannt werden können. Hier sind die Threat Hunter im besten Fall immer einen Schritt voraus und erkennen bösartige Akteure noch vor den automatischen Systemen.

SOC IT-Forensiker: Die IT-Forensik befasst sich mit der forensischen Beweissicherung. Ein IT-Forensiker analysiert systematisch die erfolgten Angriffe, sichert Daten dazu in möglichst unveränderter und somit unverfälschter Form, analysiert und bewertet diese, um sie anschließend auswerten und bei Bedarf präsentieren zu können. Am Ende beantwortet ein IT-Forensiker die klassischen Fragen: Also was, wo, wann und wie passiert ist und wer dafür verantwortlich war. Es geht somit vornehmlich um die saubere Aufarbeitung von Cyberangriffen, mit der eventuellen Beweissicherung für kommende Verfahren. Ein Forensik-Spezialist im SOC ist also geschult darin, die Ursprünge eines Angriffs zu erforschen. Dafür rekonstruiert er häufig den Angriff selbst und versucht, das Angriffsmuster und die genutzte Methode durch Rekonstruktion vollständig zu verstehen. Außerdem ist es seine Aufgabe, darüber hinaus festzustellen, welche Daten überhaupt kompromittiert wurden.

Unterschiede zwischen Level 1, Level 2 und Level 3

Für gewöhnlich werden Mitarbeiter, ganz speziell die SOC-Analysten, in unterschiedliche Level eingeteilt. Jedes Level umfasst dabei vielfältige Verantwortlichkeiten, die der jeweilige Mitarbeiter zu erfüllen hat. Diese möchten wir uns an dieser Stelle einmal kurz genauer ansehen und beleuchten, was es damit auf sich hat:

Level 1: Hierbei handelt es sich um Analysten, deren Hauptaufgabe es ist, Alarme und Warnmeldungen aus Überwachungssystemen wie dem SIEM (Security Information und Event Management) zu durchforsten. Im Kern der Sache sollen sie Falschmeldungen entlarven und die wirklich wichtigen Meldungen, also potenziell ernsthafte Sicherheitsvorfälle, entsprechend an einen Level 2 SOC-Analysten weiterleiten.

Level 2: Aufgabe der Level 2 SOC-Analysten ist es, die von Level 1 zuvor eskalierten Alarme zu übernehmen und zu bearbeiten. Sie führen weitere Analysen durch, versuchen Angriffsmuster und Angriffsart zu erkennen, um diese in aussagekräftigen Berichten zusammenzufassen. Dazu sichten sie die Log-Dateien von betroffenen Systemen und schauen sich den Netzwerkverkehr genauer an. Kleinere Vorfälle können die Analysten gleich beheben, komplexere werden an Incident Responder und IT-Forensiker übergeben.

Level 3: Bei den SOC-Analysten im Level 3 handelt es sich um jene im SOC, die auch hochkomplexe Angriffe abwehren können. Sie beschäftigen sich vorrangig mit der Auswertung einzelner Dateien, Malware oder anderer Daten. Außerdem sind sie in die Optimierung der Sicherheitsarchitektur eines Unternehmens involviert und stehen den IT-Forensikern mit ihrem Fachwissen zur Verfügung. Sie berichten schlussendlich an das Management und haben für selbiges häufig eine beratende Position inne.

Hier geht es zum Security Operation Center (SOC)

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit

newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Folder - Beiträge - Icon
Podcasts
ITS-Couch: IT-Sicherheit-Podcasts
Folder - Beiträge - Icon
Videos
ITS-Couch: IT-Sicherheit-Videos

Ratgeber IT-Sicherheit

Glühbirne - Ratgeber - Icon
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Buch Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”

Forum IT-Sicherheit

Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum

IT-Sicherheitstools

Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten

Interaktive Listen

IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern

Zertifikate IT-Sicherheit

Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste

Veranstaltungen IT-Sicherheit

Anbieterverzeichnis

ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content