Cyber Defence Center – das SOC der Zukunft

Autor
Mathias Fuchs
Veröffentlicht
26. April 2017

Die aktuelle Cyber-Bedrohungslage ist riesig. Unternehmen müssen heutzutage leider davon ausgehen, dass ihre Systeme bereits infiltriert sind ‒ oder aber, dass sie nächstens Opfer einer Attacke werden. Es ist deshalb entscheidend, Infiltrationen zu erkennen, schnell darauf zu reagieren und das Sicherheitsdispositiv entsprechend zu optimieren. Genau hierfür braucht es ein Cyber Defence Center (– nein, kein Security Operational Center). Sie fragen sich, was der Unterschied ist und weshalb Sie eines brauchen? Dann sollten Sie unbedingt weiterlesen!

Nach wie vor sind die Nachrichten voll mit Meldungen von gezielten Hackerangriffen und Datendiebstahl – und zwar im ganz grossen Stil. Ein Blick auf die Entwicklung der Cyberattacken macht deutlich: Die Angreifer sind in der Regel keine Einzeltäter; Internetkriminalität ist inzwischen professionell organisiert. Es gibt auch dort eine Aufgabenteilung wie die Programmierung von Malware, den Versand von E-Mails, die gezielte Suche nach Sicherheitslücken (Expoits) oder die Bereitstellung von Exploit-Kits. Auch staatliche Hackgruppen greifen immer häufiger nicht nur andere staatliche Organisationen an, sondern auch private Unternehmen – und all das, unter Einsatz nahezu unbegrenzter Mittel.

Cyber Security besteht nicht nur aus (ICT-)Sicherheitsmauern

Deshalb müssen auch Unternehmen hinsichtlich der Cyber Security noch professioneller werden – und dürfen nicht nur (immer) höhere ICT-Sicherheitsmauern bauen. Der Trend geht klar in Richtung intensivere Überwachung von Sicherheitssystemen und Erkennung von Vorfällen, wie es auch das NIST Cyber Security Framework empfiehlt. Und das ist auch gut so! Es braucht neue Sicherheitsansätze, bei welchen die Detektion im Vordergrund steht und die Reaktion auf Angriffe ein wesentlicher Bestandteil der IT-Prozesse ist. Geschickt umgesetzt, kann so die Prävention zielgerichtet und kontinuierlich verbessert werden.

Unsere Erfahrung zeigt leider, dass diesbezüglich bei vielen Unternehmen noch «Luft nach oben» besteht. Dies widerspiegelt sich auch in der kürzlich veröffentlichten, internationalen Studie «EY’s 19th Global Information Security ‒ Survey 2016-17»:

  • Knapp die Hälfte der Befragten hat keine oder nur informelle Fähigkeiten für die Erkennung von Schwachstellen und kein Security Operation Center (SOC), um potentielle Cyberangriffe laufend zu überwachen.
  • 64 Prozent der Befragten haben kein Cyber Threat Intelligence-Programm, das Aufschlüsse über die aktuelle Bedrohungslage liefert.
  • 87 Prozent der Teilnehmenden gaben an, dass ihre Massnahmen zur Cybersicherheit die Bedürfnisse des Unternehmens nicht vollständig abdecken. Defizite scheint es dabei insbesondere im Bereich der Gefahrenerkennung zu geben.

Security Operation Center ist in aller Munde

Dies wären grundsätzlich alles Aufgaben, die ein Security Operation Center erledigt. Deshalb gilt ein SOC auch als eine entscheidende Entwicklung im Bereich der Cyber Security, um den immer komplexeren, raffinierteren Attacken zu begegnen. Jedoch gibt nur gerade jedes zweite Unternehmen an, ein SOC im Einsatz haben – und ob es sich dabei wirklich um ein SOC handelt, sei dahingestellt. Aber was macht ein SOC überhaupt? Primär liegt der Fokus auf der zentralen Überwachung von IT-Ressourcen und Daten, der Suche nach Anzeichen für Angriffe und der Steuerung von Reaktionen auf Cyber-Bedrohungen. Man kann sich ein SOC somit als «Kommandobrücke» vorstellen; und tatsächlich sehen viele Security Operation Center auch so aus. Somit werden Cyberangriffe dank umfassenden Security-Kompetenz abgewehrt ‒ sollte man jedenfalls meinen...

Der grösste Fehler: Security Operation ist viel zu oft IT Operation

In vielen Unternehmen muss sich das SOC jedoch auch um operative Aufgaben im Betrieb kümmern, womit die Erkennung von Angriffen, die Analyse und die Reaktion auf Vorfälle oft zu kurz kommt. Wenn also Ihre Kommandobrücke Helpdesk-Anfragen beantworten muss, stehen die Chancen für einen erfolgreichen Cyberangriff relativ gut. Gut für den Angreifer, aber schlecht für Sie!

Wie sollte also ein gutes SOC aussehen? Unsere Experten meinen, dass…

  • …der Fokus vor allem auf der Risikoidentifikation, der Erkennung von Sicherheitsvorfällen und der Reaktion liegen sollte.
  • …Aufgaben, soweit möglich und sinnvoll, automatisiert werden sollten, etwa bei der Reaktion auf Angriffe oder der Sammlung und Korrelation von Daten. So kann auch das Problem des Fachkräftemangels in den Griff bekommen werden.
  • …es aber auch weiterhin viele Prozesse im SOC gibt, die menschliches Eingreifen benötigen. Deshalb ist es für Unternehmen wichtig, entsprechende Personalplanung zu betreiben.
  • …Unternehmen, die keine Security-Mitarbeitenden einstellen können, eine hybride Personalplanung oder andere Strategien in Betracht ziehen sollten, die sowohl intern verfügbare Ressourcen als auch Outsourcing an einen externen Spezialisten mit einem eigenen Cyber Defence Center berücksichtigen.

SOC 2.0 – das Cyber Defence Center

Natürlich braucht es auch in einem Security Operation Center der Zukunft nebst entsprechenden Werkzeugen zur Erkennung von Attacken oder Infiltrationen IT-Spezialisten; aber noch viel wichtiger sind Cyber Threat- und Intelligence-Analysten sowie Security-Experten. Es muss also in einem Cyber Defence Center (CDC) eine klare Aufgabenteilung und trotzdem die eminent wichtige Teambildung geben zwischen dem Blue Team (Cyber Security- und Cyber Defence-Experten) und dem Red Team (Cyber Threat-Analysten und Penetration Tester). Denn in einem CDC laufen alle Fäden zur Erkennung, Analyse und Abwehr von Cyberangriffen zusammen. Erforderlich sind dafür erfahrene Experten mit einem umfassenden Know-how, Security-Tools und nicht zuletzt ein geschützter Operation-Raum mit den notwendigen Arbeitsplätzen für beide Teams.

Sie merken: Cyber Defence ist eine anspruchsvolle Arbeit. Insbesondere aufgrund des Fachkräftemangels fällt es den Unternehmen immer schwerer, kompetentes Personal aus dem Informatiksektor zu finden. Da Attacken rund um die Uhr erfolgen, muss ein Cyber Defence Center natürlich auch rund um die Uhr funktionieren, was den Personalbedarf zusätzlich erhöht. Selbstlernende Systeme und Lösungen mit Künstlicher Intelligenz, die die Security-Analysten im Bereich der Breach Detection unterstützen, können bis zu einem gewissen Grad Arbeitserleichterung bringen. Diese gilt es zu nutzen, gerade weil hier sicherlich auch weitere Fortschritte zu erwarten sind, die ein CDC noch effizienter machen. Eine Vollautomatisation wird es aber nie geben. Gerade weil auch in Zukunft Security Experten benötigt werden, steigt die Nachfrage nach geeigneten, externen Spezialisten, welche diese anspruchsvolle Arbeit für Unternehmen als «SOC as a Service» übernehmen.

Das neue InfoGuard Cyber Defence Center

InfoGuard-Logo-CDC

Ende Mai 2017 hat InfoGuard ein neues, 250m2 grosses Cyber Defence Center eröffnet, in welchem erfahrene Sicherheitsexperten und Analysten arbeiten. Die Services umfassen u.a. Security Information & Event Management (SIEM), Vulnerability Management, Breach Detection sowie Cyber Threat Intelligence, Incident Response und Forensik. Diese basieren auf führenden Detection-Technologien ‒ auch aus dem Bereich Artifical Intelligence und Machine Learning. Das neue CDC verfügt über ein mehrstufiges, physisches Sicherheitskonzept, wobei die Sicherheitssysteme rund um die Uhr, während 365 Tagen im Jahr, überwacht werden. Gleichzeitig erfüllt InfoGuard die strengen Vorgaben des Schweizer Datenschutzes und die Richtlinien für den schweizerischen Finanzsektor.

Sie wollen mehr erfahren zu unseren CDC-Services? Hier erfahren Sie mehr!

 

InfoGuard Cyber Defence Center

 

Artikel teilen