In den letzten Wochen und Monaten haben wir an dieser Stelle viel über Cyber Defence geschrieben. Inzwischen ist Ihnen sicher klar geworden, dass die schnelle Erkennung und noch schnellere Reaktion auf Cyberattacken in einem Cyber Defence Center entscheidend sind, um Ihre Cyber Resilience zu stärken. In diesem Beitrag möchten wir Ihnen aufzeigen, was Sie alles beim Aufbau eines Cyber Defence Centers beachten müssen – und weshalb gerade das Outsourcing in diesem elementaren Teil der Cyber Security eine sinnvolle und wirtschaftliche Alternative ist.
Gemäss Gartner Research hat die Erkennung und Reaktion bei Cyberattacken oberste Priorität. und dieser Trend wird noch einige Jahre anhalten. Dies ist nicht verwunderlich, da das Management des mit diesen Ereignissen verbundenen Risikos und die Konzentration auf die Minimierung der Auswirkungen wirtschaftlich sinnvoll ist und nur so Ihre Cyber Resilience nachhaltig optimiert wird – wie wir Ihnen bereits in einem früheren Artikel aufgezeigt haben.
Und so ist es auch nicht verwunderlich, dass sich viele Unternehmen mit dem Aufbau eines Security Operations Center (oder kurz SOC) auseinandersetzen. Denn ein SOC ist früher oder später unerlässlich, um die Erkennungs- und Reaktionsfähigkeiten zu verbessern. Unternehmen und auch wir sind überzeugt, dass sich nur mit einem Cyber Defence Center die aktuellen und zukünftigen Herausforderungen in der Cyber Security meistern lassen!
Ein SOC, oder wie wir es nennen Cyber Defence Center, ist der Schlüssel, um die zunehmend komplexen und raffinierten Cyberangriffe abwehren zu können. Zuerst stehen Unternehmen aber vor grundlegenden Fragen: Wie baue ich ein SOC? Was kostet das? Habe ich das notwendige Know-how resp. die richtigen Fachkräfte? Dies sind nur einige wenige von vielen brennenden Fragen. Aber der Aufbau eines eigenen Cyber Defence Center ist nicht die einzige Möglichkeit, um die Erkennung und Reaktion auf Cyberattacken zu verbessern. Und auch nicht immer die beste – und schon gar nicht die günstigste Variante.
Aber schön der Reihe nach: Was braucht es für ein Cyber Defence Center überhaupt? Ein Cyber Defence Center besteht üblicherweise aus einem Team von erfahrenen Security-Analysten, welche die Aufgabe haben, Sicherheitsangriffe zu erkennen, zu analysieren, Gegenmassnahmen abzuleiten und damit schliesslich auch die Mitigation zu unterstützen. Dies ist aber nur die halbe Wahrheit! Denn es braucht nebst den gut ausgebildeten Experten auch Tools und entsprechende Prozesse.
Natürlich bilden die Security-Analysten das Herz des Cyber Defence Centers. Trotz allen technischen Fortschritten im Bereich der künstlichen Intelligenz gibt es nach wie vor keinen Ersatz für die menschlichen Fertigkeiten. Dies wird sich auch in naher Zukunft nicht ändern.
Dabei müssen sie die erkannten Auffälligkeiten bzw. Anomalien einer Analyse unterziehen. Dabei werden False Positives aussortiert, Standardfälle nach einem vordefinierten Prozess abgearbeitet und schwierigere oder komplexere Sicherheitsvorfälle an die Senior-Analysten oder Forensiker weitergeleitet. Durch die Analyseergebnisse müssen entsprechende Gegenmassnahmen (Incident Response) abgeleitet werden, welche vom Cyber Defence-Team selbst oder in Zusammenarbeit mit Experten von anderen Security-Bereichen umgesetzt werden. Daneben zählen aber auch proaktive Tätigkeiten wie Threat Hunting und Threat Intelligence zum Tätigkeitsgebiet der Analysten. Das Anforderungsprofil an die Mitarbeitenden eines Cyber Defence Centers sind dabei sehr hoch – und erfahrene Security-Analysten gibt es definitiv nicht wie Sand am Meer. Zudem sind sie sehr gefragt, da viele Unternehmen daran sind, ihre Cyber Defence-Fähigkeiten auszubauen. Womit wir beim ersten grossen Stolperstein für das eigene SOC wären – dem Fachkräftemangel!
Cyber Defence kann aber auch mit den besten Experten alleine nicht umgesetzt werden. Damit diese ihre Aufgaben erfolgreich meistern können, müssen sie in die Lage versetzt werden, die Bedrohungslage rasch erkennen und bewerten zu können. Und dafür braucht es die richtigen Informationen zur richtigen Zeit sowie die richtigen Werkzeuge. Zur Verteidigung braucht es deshalb technologische Unterstützung in Form einer zentralen Security Intelligence-Plattform und entsprechenden Agenten auf den Endgeräten. Sie sammelt automatisch alle Informationen aus den Infrastrukturkomponenten, vergleicht diese mit externen Threat Feeds und untersucht sie in Echtzeit auf Angriffe. Ergänzt wird dieses System mit Breach Detection-Systemen, welche den Datenverkehr mit Hilfe von Data Science, maschinellem Lernen und Verhaltensanalysen durchsuchen und auswerten. Wird ein Angriff erkannt – oder befindet sich ein Angreifer bereits im internen Netz –, muss ein Unternehmen jederzeit in der Lage sein, schnell zu reagieren, indem beispielsweise auf jedem Endgerät eine Analyse gestartet werden kann. Nur so lässt sich die gesamte Infrastruktur flächendeckend nach «Indicators of Compromice» (IOC) wie Prozess-, File-Hashes, Directory Pfade oder involvierte externe IP-Adressen durchsuchen. Wichtig dabei zu beachten ist, dass alle Werkzeuge an das jeweilige Unternehmen und dessen Risiken und Bedürfnisse angepasst werden müssen. Ansonsten wird der Nutzen der Tools nur minimal sein – womit wir beim zweiten kritischen Erfolgsfaktor wären.
Wenn Sie die richtigen Mitarbeitenden im Cyber Defence Center gebündelt und die richtigen Tools im Einsatz haben, was fehlt dann noch? Genau, das Bindeglied zwischen den Security-Analysten und den Tools, nämlich funktionierende Schnittstellen und etablierte Prozesse. Die Integration des Cyber Defence Centers in die Prozesslandschaft des Unternehmens wie beispielsweise dem Risikomanagement sind essentiell. Dazu gehört natürlich auch die Abbildung der Infrastruktur und Assets in den Tools des Cyber Defence Centers. Denn am Ende des Tages geht es bei der Cyber Security ja genau um den Schutz dieser «Kronjuwelen»! Aber natürlich spielen auch innerhalb des Cyber Defence Centers etablierte Prozesse eine wesentliche Rolle. Um besser skalieren zu können, arbeiten Analysten üblicherweise in verschiedenen «Levels» bzw. «Tiers». Junior-Analysten kümmern sich um Standardfälle und eskalieren komplexere Angriffsmuster an die Senior-Analysten oder allenfalls noch weiter an dedizierte Experten für Threat-Analysen und Forensik. Dabei sind vordefinierte Playbooks wichtig, um eine effiziente Abarbeitung und die gleichbleibende Qualität garantieren zu können.
Unser Tipp: Die Playbooks müssen in Fleisch und Blut der Analysten übergegangen sein, denn im Falle eines Security Incidents gilt es schnell zu sein. Wenn dann die Prozesse nicht funktionieren, geht wertvolle Zeit verloren. Dadurch verspielen Sie den Vorteil, den Sie sich mit einem tollen Team und den richtigen Werkzeugen im Cyber Defence Center geschaffen haben.
Ein Cyber Defence Center trägt entscheidend zur Cyber Security bei. Anhand der vorgestellten kritischen Erfolgsfaktoren müssen sich Unternehmen fragen, ob sie selber ein solches aufbauen und betreiben möchten, oder diese Leistung bei einem Partner zukaufen. Eine allgemeingültige Antwort auf diese Frage gibt es nicht – und ein Entscheid muss gut überlegt sein.
Wir wollen Ihnen aber einige Gedanken mit auf den Weg geben – schliesslich geht es dabei um einen strategischen Entscheid für Ihre Cyber Security. Aus unserer Sicht sind es grundsätzlich zwei Entscheidungskriterien, die meistens eine gute Basis für einen «Make or Buy»-Entscheid liefern:
Die enormen Kosten, die mit dem Aufbau und dem Betrieb eines Cyber Defence Centers verbunden sind, machen deutlich, dass das Outsourcing an einen qualifizierten Drittanbieter eine valide, ideale Option für viele Unternehmen ist – egal welcher Grösse. Was Sie sonst noch alles bei einem «Make or Buy» Entscheid beachten müssen, haben wir Ihnen in einem ausführlichen Leitfaden zusammengefasst: