Startseite » Ratgeber » Security Operation Center (SOC) » Wie ist ein Security Operations Center aufgebaut?
Wie ist ein Security Operations Center aufgebaut?
Wie ist ein Security Operations Center aufgebaut?
Wie bereits mehrfach erwähnt, dient das SOC in einem Unternehmen nicht nur zur Überwachung, sondern auch zur Reaktion. Dementsprechend gibt es innerhalb des Security Operations Center verschiedene Schichten, die allesamt sicherstellen sollen, dass genau das auch reibungslos und unterbrechungsfrei funktioniert. Von Netzwerküberwachung bis hin zur Analyse oder spezialisierten Mitarbeitern laufen im SOC viele heiße Drähte zusammen, um gemeinsam den großen Bereich der IT-Sicherheit im Blick und unter Kontrolle zu halten. Es ist die Kommandozentrale, von der aus alles entschieden wird und in der jegliche Aspekte zusammenlaufen.
Das SOC setzt dabei auf eine möglichst robuste und widerstandsfähige Netzwerktopologie, mit der sich jegliche Vorgänge entsprechend umfangreich überwachen lassen. Dabei geht es auch darum, jederzeit skalierbar zu bleiben, da Datenströme mitunter ungewollt oder unvorhersehbar anwachsen können.
Allgemein wird dabei zwischen cloudbasierten SOCs und On-premise SOCs unterschieden. Speziell die Cloud-Infrastruktur ermöglicht es Unternehmen, die anfänglichen Kosten und notwendigen Investitionen auf ein Minimum zu reduzieren. Von der Wartung und Instandhaltung aller Systeme ganz zu schweigen. On-premise SOCs hingen bieten zwar mehr Kontrolle, haben aber zugleich einen deutlich höheren Bedarf an Pflege und somit beständiger Wartung. Zudem müssen die Mitarbeiter verwaltet und organisiert werden, was ebenfalls etwaige Probleme bereiten kann. Der Aufwand ist somit um ein Vielfaches größer.
Die Entscheidung, ob ein SOC-Dienstleister gewählt oder eine eigene Lösung realisiert wird, ist entscheidend für den weiteren Verlauf. Der Aufbau eines eigenen Security Operations Centers besitzt unweigerlich die geografische Nähe zu den überwachten Systemen. Während der Aufwand, gerade für kleinere Unternehmen, jedoch in keinem Verhältnis dazu steht. Letztere sind besser damit beraten, die cloudbasierten Lösungen eines Dienstleisters zu wählen und für die eigenen Systeme entsprechend einzurichten
Welche unterschiedlichen SOC-Betriebsmodelle gibt es?
Das Security Operations Center kennt tatsächlich viele verschiedene Prozesse und Betriebsmodelle. Es ist, wie so oft, äußerst schwierig, einen Konsens zu finden, da sich ein SOC von Unternehmen zu Unternehmen sehr stark unterscheiden kann. Es gibt aber eben grundlegende Betriebsmodelle, die in den meisten Fällen gleich sind oder zumindest ähnlich und daher keiner Erklärung bedürfen. Um die geht es in diesem Abschnitt, in dem wir Ihnen die typischen Prozesse eines SOCs ganz kurz vermitteln möchten, ohne dabei zu tief in die Details einzutauchen.
Strukturierte Prozesse schaffen dabei die Basis für einen reibungslosen Ablauf. Dabei kommen oft auch Frameworks zum Einsatz wie ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies) oder NIST (National Institute of Standards and Technology). Frameworks sind im Bereich des SOCs vorwiegend dafür da, um die systematische Sicherheit zu gewährleisten und die Effizienz durch klare Prozesse noch einmal deutlich zu steigern.
Zu den weiteren Betriebsmodellen gehören dann unter anderem verschiedene Incident Management Prozesse. Bei diesen geht es um Erkennung, Eskalation, Reaktion und das abschließende Review. Also im Wesentlichen darum, dass durch kluge Modelle möglichst zeitnah und geordnet reagiert werden kann.
Zudem kommen Playbooks zum Einsatz, also gewissermaßen Anleitungen für bestimmte Abläufe. Damit werden wichtige Aufgaben standardisiert und das SOC-Team kann sehr gezielt auf die unterschiedlichen Bedrohungen und Vorkommnisse reagieren, gemäß dem jeweiligen Playbook natürlich. Egal, ob Phishing-Angriff oder DDoS-Attacke, jeder weiß dank des Playbooks sofort, was zu tun ist und welche Richtlinien einzuhalten sind. Ein wunderbares Modell, um das SOC-Team stets in der gleichen Spur zu halten.