Wie ist ein Security Operations Center aufgebaut?
Wie bereits mehrfach erwähnt, dient das SOC in einem Unternehmen nicht nur zur Überwachung, sondern auch zur Reaktion. Das Security Operations Center ist die Kommandozentrale, von der aus alles entschieden wird und in der jegliche Aspekte zusammenlaufen. Dementsprechend basiert ein Security Operations Centers auf drei verschiedenen Säulen, die insgesamt sicherstellen sollen, dass die Funktionen reibungslos, unterbrechungsfrei und effektiv erfüllt werden: Personen, Prozesse und Technologien.
Das SOC setzt dabei auf eine möglichst robuste und widerstandsfähige Netzwerktopologie, mit der sich jegliche Vorgänge entsprechend umfangreich überwachen lassen. Dabei geht es auch darum, jederzeit skalierbar zu bleiben, da Datenströme mitunter ungewollt oder unvorhersehbar anwachsen können.
Allgemein wird dabei zwischen cloudbasierten SOCs und On-premises SOCs unterschieden. Speziell die Cloud-Infrastruktur ermöglicht es Unternehmen, die anfänglichen Kosten und notwendigen Investitionen auf ein Minimum zu reduzieren. Von der Wartung und Instandhaltung aller Systeme ganz zu schweigen. On-premises SOCs hingen bieten zwar mehr Kontrolle, haben aber zugleich einen deutlich höheren Bedarf an Pflege und somit beständiger Wartung. Zudem müssen die Mitarbeiter verwaltet und organisiert werden, was ebenfalls etwaige Probleme bereiten kann. Der Aufwand ist somit um ein Vielfaches größer.
Es ist eine wichtige Entscheidung für Unternehmen, ob ein SOC-Dienstleister beauftragt oder eigenes SOC aufgebaut wird. Der Aufbau eines eigenen Security Operations Centers besitzt unweigerlich die geografische Nähe zu den überwachten Systemen – wobei der Aufwand, gerade für kleinere Unternehmen, jedoch in keinem Verhältnis dazu steht. Letztere sind besser damit beraten, die cloudbasierten Lösungen eines Dienstleisters zu wählen.
Welche unterschiedlichen Prozesse kommen zum Einsatz?
Im Security Operations Center kommen verschiedene Prozesse zum Einsatz. Sie unterscheiden sich je nach Unternehmen und müssen individuell gestaltet werden, aber es gibt auch grundlegende Prozesse, die in den meisten Fällen gleich sind oder zumindest ähnlich. Um die geht es in diesem Abschnitt, in dem wir Ihnen die typischen Prozesse eines SOCs ganz kurz vermitteln möchten, ohne dabei zu tief in die Details einzutauchen.
Grundsätzlich schaffen strukturierte Prozesse die Basis für einen reibungslosen Ablauf im SOC. Dabei kommen oft auch Frameworks zum Einsatz wie ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies) oder NIST (National Institute of Standards and Technology). Frameworks sind im Bereich des SOCs vorwiegend dafür da, die systematische Sicherheit zu gewährleisten und die Effizienz durch klare Prozesse noch einmal deutlich zu steigern.
Zu den weiteren Prozessen gehören unter anderem verschiedene Incident-Management-Prozesse. Bei diesen geht es um Erkennung, Eskalation, Reaktion und das abschließende Review. Im Wesentlichen geht es darum, dass durch bewährte Abläufe möglichst zeitnah und geordnet reagiert werden kann.
Darüber hinaus kommen sogenannte Playbooks zum Einsatz, also Anleitungen für bestimmte Abläufe. Damit werden wichtige Aufgaben standardisiert, wodurch das SOC-Team sehr gezielt auf die unterschiedlichen Bedrohungen und Vorkommnisse reagieren kann. Egal, ob Phishing-Angriff oder DDoS-Attacke, dank des Playbooks weiß jeder Mitarbeitende sofort, was zu tun ist und welche Richtlinien einzuhalten sind.
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge IT-Sicherheit
Ratgeber IT-Sicherheit
IT-Sicherheitstools
Interaktive Listen
Zertifikate IT-Sicherheit
