Wie ist ein Security Operations Center aufgebaut?

Wie ist ein Security Operations Center aufgebaut?
Wie bereits mehrfach erwähnt, dient das SOC in einem Unternehmen nicht nur zur Überwachung, sondern auch zur Reaktion. Dementsprechend gibt es innerhalb des Security Operations Center verschiedene Schichten, die allesamt sicherstellen sollen, dass genau das auch reibungslos und unterbrechungsfrei funktioniert. Von Netzwerküberwachung bis hin zur Analyse oder spezialisierten Mitarbeitern laufen im SOC viele heiße Drähte zusammen, um gemeinsam den großen Bereich der IT-Sicherheit im Blick und unter Kontrolle zu halten. Es ist die Kommandozentrale, von der aus alles entschieden wird und in der jegliche Aspekte zusammenlaufen.

Das SOC setzt dabei auf eine möglichst robuste und widerstandsfähige Netzwerktopologie, mit der sich jegliche Vorgänge entsprechend umfangreich überwachen lassen. Dabei geht es auch darum, jederzeit skalierbar zu bleiben, da Datenströme mitunter ungewollt oder unvorhersehbar anwachsen können.

Allgemein wird dabei zwischen cloudbasierten SOCs und On-premise SOCs unterschieden. Speziell die Cloud-Infrastruktur ermöglicht es Unternehmen, die anfänglichen Kosten und notwendigen Investitionen auf ein Minimum zu reduzieren. Von der Wartung und Instandhaltung aller Systeme ganz zu schweigen. On-premise SOCs hingen bieten zwar mehr Kontrolle, haben aber zugleich einen deutlich höheren Bedarf an Pflege und somit beständiger Wartung. Zudem müssen die Mitarbeiter verwaltet und organisiert werden, was ebenfalls etwaige Probleme bereiten kann. Der Aufwand ist somit um ein Vielfaches größer.

Die Entscheidung, ob ein SOC-Dienstleister gewählt oder eine eigene Lösung realisiert wird, ist entscheidend für den weiteren Verlauf. Der Aufbau eines eigenen Security Operations Centers besitzt unweigerlich die geografische Nähe zu den überwachten Systemen. Während der Aufwand, gerade für kleinere Unternehmen, jedoch in keinem Verhältnis dazu steht. Letztere sind besser damit beraten, die cloudbasierten Lösungen eines Dienstleisters zu wählen und für die eigenen Systeme entsprechend einzurichten

Welche unterschiedlichen SOC-Betriebsmodelle gibt es?

Das Security Operations Center kennt tatsächlich viele verschiedene Prozesse und Betriebsmodelle. Es ist, wie so oft, äußerst schwierig, einen Konsens zu finden, da sich ein SOC von Unternehmen zu Unternehmen sehr stark unterscheiden kann. Es gibt aber eben grundlegende Betriebsmodelle, die in den meisten Fällen gleich sind oder zumindest ähnlich und daher keiner Erklärung bedürfen. Um die geht es in diesem Abschnitt, in dem wir Ihnen die typischen Prozesse eines SOCs ganz kurz vermitteln möchten, ohne dabei zu tief in die Details einzutauchen.

Strukturierte Prozesse schaffen dabei die Basis für einen reibungslosen Ablauf. Dabei kommen oft auch Frameworks zum Einsatz wie ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies) oder NIST (National Institute of Standards and Technology). Frameworks sind im Bereich des SOCs vorwiegend dafür da, um die systematische Sicherheit zu gewährleisten und die Effizienz durch klare Prozesse noch einmal deutlich zu steigern.

Zu den weiteren Betriebsmodellen gehören dann unter anderem verschiedene Incident Management Prozesse. Bei diesen geht es um Erkennung, Eskalation, Reaktion und das abschließende Review. Also im Wesentlichen darum, dass durch kluge Modelle möglichst zeitnah und geordnet reagiert werden kann.

Zudem kommen Playbooks zum Einsatz, also gewissermaßen Anleitungen für bestimmte Abläufe. Damit werden wichtige Aufgaben standardisiert und das SOC-Team kann sehr gezielt auf die unterschiedlichen Bedrohungen und Vorkommnisse reagieren, gemäß dem jeweiligen Playbook natürlich. Egal, ob Phishing-Angriff oder DDoS-Attacke, jeder weiß dank des Playbooks sofort, was zu tun ist und welche Richtlinien einzuhalten sind. Ein wunderbares Modell, um das SOC-Team stets in der gleichen Spur zu halten.

Hier geht es zum Security Operation Center (SOC)

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge

newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
Folder - Beiträge - Icon
Podcasts
ITS-Couch: IT-Sicherheit-Podcasts
Folder - Beiträge - Icon
Videos
ITS-Couch: IT-Sicherheit-Videos

Ratgeber

Glühbirne - Ratgeber - Icon
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Buch Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”

Forum IT-Sicherheit

Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum

IT-Sicherheitstools

Selbstlernangebot IT-Sicherheit
Interaktive Awareness-Schulung
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten

Interaktive Listen

IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern

Zertifikate IT-Sicherheit

Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste

Veranstaltungen IT-Sicherheit

Anbieterverzeichnis IT-Sicherheit

ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content