Im Themengebiet der IT-Sicherheit wird mit haufenweise Abkürzungen um sich geworfen. SOC steht in diesem Fall für Security Operation Center (SOC) und nicht für System on a Chip (SoC).

Was macht ein SOC?

Im Artikel über SIEM (Security Incident and Event Management) habe ich euch einen kurzen Abriss dazu gegeben, wie Security Incidents erkannt werden können und wie Systeme dies automatisiert tun können. Ein SOC setzt jetzt meist auf einem funktionierenden SIEM auf und erweitert es um die operative Komponente (deswegen ‚Operation Center‘).

Das bedeutet in einem SOC wird (bestenfalls) 24h am Tag, 7 Tage die Woche Security Incidents beobachtet, Sicherheitslücken gemonitort und aktuelle Bedrohungen analysiert. Dies bedeutet ein SOC arbeitet nicht nur reaktiv, sondern auch proaktiv in dem Schwachstellen gefunden und beseitigt werden (mehr dazu im Vulnerability Management) und neue Bedrohungen bezogen auf die eigene Infrastruktur analysiert werden.

Was sollte ein SOC leisten?

Neben den eigentlichen Prozessen ist es wichtig, dass das SOC eine zentrale Stelle im Unternehmen darstellt, d.h. das SOC muss Informationen von allen Systemen, Prozessen, Anwendungen und Komponenten erhalten, um einen ganzheitlichen Überblick zu haben. Außerdem müssen die Experten im SOC aus vielen verschiedenen Bereichen kommen: Neben Security Analysten, braucht es auch Experten für bestimmte Technologien und Security Engineers. Außerdem sollte das SOC, wie bereits erwähnt, rund um die Uhr besetzt sein.

Was ist ein SOC as a Service?

Die genannten Kriterien kann ein Unternehmen allein meist nicht erfüllen, da finanzielle und personelle Ressourcen fehlen. Aus diesem Grund haben sich inzwischen viele externe Dienstleister darauf spezialisiert ein SOC as a Service anzubieten. Dies bedeutet, dass der Kunde seine Informationen (meist viele Logquellen, organisatorische Prozesse usw.) an den SOCaaS-Anbieter liefert und dieser dann die Analysen vornimmt. Je nach Ausprägung kann der Dienstleister dann sogar die Mitigation und Forensik auf den Systemen des Kunden übernehmen oder diese Leistung erbringt der Kunde selber.

Wichtig ist dabei, dass der SOCaaS-Anbieter die Prozesse und Regeln des Kunden kennen muss, um zu bewerten, ob bestimmte Aktionen im Netzwerk normal sind oder schon ein Anzeichen für einen Eindringling sind. Die Auslagerung dieser kritischen Dienstleistung bedarf also einer ausführlichen Planung, Übergangsphase und dauerhafter Betreuung.


0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.