Hacker & Helden Teil 2:
Ein Blick hinter die Kulissen unseres
Security Operation Centers

In einer zunehmend digitalen Welt, in der Cyberbedrohungen immer komplexer und häufiger werden, spielt das Security Operation Center (SOC) eine entscheidende Rolle im Schutz von Unternehmen. Hier arbeiten Menschen und Technik im Einklang, um kontinuierlich ein hohes Sicherheitsniveau zu gewährleisten. Doch was genau passiert hinter den Kulissen unseres SOC und warum ist diese Mischung aus menschlichem Know-how und technologischen Lösungen so wichtig?

In unserem ersten Teil „Hacker & Helden Teil 1: Die unbequeme Wahrheit über Cyberbedrohungen“ haben wir dir einen Einblick in die täglichen Herausforderungen der modernen Cybersecurity gegeben. Wir haben gelernt, dass viele, vor allem mittelständische, Unternehmen immer noch der Auffassung sind, sie bräuchten keine Cybersecurity Strategie. Dieser Mythos wiederrum spielt den immer fortschrittlicher werdenden Hackern in die Karten – während wir außerdem verinnerlicht haben, dass es keine 100% Cybersicherheit mehr gibt, außer man stiege auf eine Schreibmaschine um. Aber … Wollen wir das?

Wir haben uns zu alledem mit Jochen (Manager Analytics & Response bei der Com-Sys) und Mario (Senior Security Analyst bei der Com-Sys) ausgetauscht.

Die einzigartige Kombination aus fortschrittlichen Technologien und menschlicher Expertise machen das SOC so effektiv. Während automatisierte Tools und Algorithmen kontinuierlich Daten analysieren und potenzielle Bedrohungen erkennen, ist es der menschliche Analyst mit geschultem Auge, welcher Alarme final bewertet und darauf reagiert. Diese Zusammenarbeit ist entscheidend, um sicherzustellen, dass Sicherheitsvorfälle nicht nur erkannt, sondern auch korrekt interpretiert und gehandhabt werden. Wie können wir uns das in der Praxis vorstellen?

CS: „In unserem Com-Sys Operation Center (SOC/NOC), läuft die Überwachung 24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr. Ein hochqualifiziertes Expertenteam überwacht unermüdlich Datenströme aus verschiedenen Quellen – von den Logs einzelner Geräte bis hin zu kompletten Cloud-Umgebungen. Diese Daten werden dann durch diverse Security-Tools geleitet, welche Anomalien und potenzielle Angriffe identifizieren und diese als Alarme weitergeben. Jeder dieser Alarme durchläuft mehrere Stufen der Überprüfung, bevor eine finale Entscheidung getroffen wird.“

CS: „Bei uns beginnt jeder Alarm mit einem sogenannten „Use-Case“, einem definierten Szenario, das bei bestimmten Ereignissen ausgelöst wird. Nach der initialen Identifikation durch das System wird der Alarm von einem Analysten geprüft und je nach Dringlichkeit an den Kunden weitergeleitet. Dies kann in weniger dringenden Fällen per E-Mail oder per Telefon bei kritischeren Vorfällen geschehen. Bei besonders schwerwiegenden Vorfällen wird auch die Rufbereitschaft rausgeklingelt. Ein strukturiertes Ticketsystem unterstützt dabei, dass kein Alarm unbeachtet bleibt und jede Bedrohung angemessen behandelt wird.“

Trotz der umfangreichen Automatisierung bleibt der menschliche Faktor unverzichtbar. Spezifische Handlungsmöglichkeiten, wie die Erstellung von Handlungsanweisungen oder die Isolierung von Systemen, erfordern oft eine manuelle Überprüfung und Freigabe. Diese halbautomatisierten Prozesse stellen sicher, dass Entscheidungen nicht nur auf Algorithmen basieren, sondern auch auf dem fundierten Wissen und der Erfahrung des SOC-Teams.

Die Arbeit in einem SOC erfordert nicht nur technisches Know-how, sondern auch ein hohes Maß an Verantwortungsbewusstsein und die Fähigkeit, unter Druck schnell und effektiv zu handeln. SOC-Analysten müssen ein tiefes Verständnis von Netzwerken, IT-Infrastrukturen und Sicherheitsprotokollen mitbringen. Die kontinuierliche Weiterbildung und Anpassung an neue Bedrohungen sind ebenfalls essenziell.

Ein Security Operation Center (SOC) ist in der Regel in verschiedene Eskalationsstufen unterteilt, die jeweils von spezialisierten Fachkräften betreut werden:

• Level 1: Erstbewertung und Risikobewertung
  Hier übernehmen Fachkräfte die Erstbewertung aller eingehenden Alarme. Diese „1st Line of Defense“ analysiert potenzielle Bedrohungen und entscheidet, ob weitere Maßnahmen erforderlich sind.
• Level 2: Vertiefte Analysen
  Auf dieser Stufe werden komplexere Analysen durchgeführt. Experten übernehmen hier die Aufgaben, die über die initiale Bewertung hinausgehen, und vertiefen die Untersuchung der Vorfälle.
• Level 3: Forensische Analysen und Incident Response
  In der höchsten Eskalationsstufe befassen sich spezialisierte Fachkräfte mit forensischen Analysen und Incident Response. Sie sind außerdem für die Eskalation von Kundenfällen verantwortlich und stellen sicher, dass schwerwiegende Sicherheitsvorfälle professionell und gründlich gelöst werden.

Bei einem global tätigen Unternehmen wie Com-Sys, das zahlreiche Kunden und Standorte betreut, ist eine 24/7-Überwachung unverzichtbar. Da viele Kunden auch internationale Standorte mit unterschiedlichen Zeitzonen haben, ist ein Schichtdienst notwendig, um sicherzustellen, dass jedes System kontinuierlich überwacht und potenzielle Bedrohungen in Echtzeit erkannt werden.

In der heutigen, zunehmend vernetzten Welt ist die Gefahr durch Hacker realer denn je. Statistisch gesehen können sich Hacker über Monate hinweg unerkannt in einem Unternehmensnetzwerk aufhalten. Diese Angriffe reichen von kurzen, aber verheerenden Kampagnen – beispielsweise der vollständigen Verschlüsselung eines Systems innerhalb von drei Tagen – bis hin zu jahrelanger Firmenspionage, die oft in einer finalen Verschlüsselung endet. Diese langen, unentdeckten Zeiträume im Netzwerk machen es Hackern möglich, erheblichen Schaden anzurichten, bevor eine Bedrohung überhaupt erkannt wird.

Doch es gibt Anzeichen, auf die Unternehmen achten sollten, um solche Angriffe zu identifizieren:

• Ungewöhnliche Verhaltensweisen in der IT-Infrastruktur: Plötzliche Änderungen im Verhalten von Systemen oder der Infrastruktur können ein erster Hinweis auf eine Kompromittierung sein.
• Neue Benutzerkonten: Wenn unerwartet neue, insbesondere administrative Benutzerkonten angelegt werden, sollte dies umgehend untersucht werden.
• Eingeschränkte Systemzugriffe: Sollte der Zugriff auf bestimmte Systeme oder Dienste plötzlich nicht mehr mit den üblichen Konten möglich sein, könnte dies auf einen laufenden Angriff hindeuten.
• Verschlüsselte Systeme und Lösegeldforderungen: Ein sehr eindeutiges Anzeichen ist, wenn Systeme verschlüsselt werden und eine Lösegeldforderung in Form einer Textdatei oder als Hintergrundbild erscheint.

Wenn ein Angriff identifiziert wird, ist schnelles und effektives Handeln entscheidend. Bei der Com-Sys setzen wir auf verschiedene Reaktionsmechanismen, um Bedrohungen zu neutralisieren:

• Manuelle Maßnahmen: Hierzu gehört die Erstellung spezifischer Handlungsanweisungen und die sofortige Alarmierung des Kunden bei festgestellten Gefahren.
• Halbautomatisierte Prozesse: Diese Prozesse laufen bis zu einem bestimmten Punkt automatisch ab, erfordern aber die Zustimmung eines Teammitglieds, bevor entscheidende Schritte, wie die Isolierung eines Systems oder die Sperrung eines Benutzerkontos, durchgeführt werden.
• Vollautomatisierte Maßnahmen: Diese Maßnahmen, wie die automatische Identifikation potenzieller Angriffe, laufen vollständig ohne menschliches Eingreifen ab und ermöglichen eine schnelle Reaktion.

Der Begriff „Handlungsempfehlung“ mag auf den ersten Blick theoretisch und passiv wirken, doch für Kunden sind diese Empfehlungen von unschätzbarem Wert. Es handelt sich dabei um konkrete, von Experten empfohlene Schritte, die dabei helfen, erkannte Bedrohungen zu mitigieren und Anomalien im Netzwerk zu beheben. Solche Empfehlungen tragen entscheidend zur Sicherheit und Stabilität der IT-Umgebung bei.

Ein Security Operation Center (SOC) ist eine komplexe und kostenintensive Einrichtung. Für viele Kunden ist es nicht immer nachvollziehbar, wie sich diese Kosten zusammensetzen und was letztlich das Ergebnis eines solchen Services ist.

Die Kosten eines SOC-Services setzen sich aus mehreren Komponenten zusammen:

• Lizenzkosten der eingesetzten Tools: Diese werden oft pro Asset berechnet und können je nach Volumen stark variieren.
• Personalkosten für den 24/7 Betrieb: Ein durchgehender Betrieb ist essenziell, um eine permanente Überwachung und Reaktion sicherzustellen.
• Serviceleistungen: Dazu gehören regelmäßige Meetings, Berichte und das allgemeine Management des SOC.

Ein SOC-Service kann entweder den Aufbau und die Übergabe des SOCs in die Verantwortung des Kunden umfassen oder als kontinuierlicher Service betrieben werden, bei dem die Com-Sys die Überwachung und Sicherheit dauerhaft übernimmt. SOC-Services sollten möglichst immer ausgelagert werden, damit sich die Unternehmen auf ihr Tagesgeschäft fokussieren können und ihre Teams entlastet, bzw. nicht mit so etwas belastet werden.

Ein SOC ist mehr als nur eine technische Einrichtung – es ist ein komplexes System, in dem Mensch und Maschine zusammenarbeiten, um die Sicherheit von Unternehmen zu gewährleisten. Bei Com-Sys zeigt sich, dass der Schlüssel zum Erfolg in der harmonischen Kombination von fortschrittlichen Tools und menschlicher Expertise liegt. Durch diese Symbiose können Bedrohungen nicht nur erkannt, sondern auch effektiv neutralisiert werden, was den Schutz unserer Kunden auf höchstem Niveau sicherstellt.

Danke Jochen und Mario, für eure Antworten und die Einblicke hinter die Kulissen des SOC!