Was ist ein Security Operations Center (SOC)?

Ein Security Operations Center (SOC) hilft Unternehmen bei der Vermeidung von Angriffen, indem es Bedrohungen identifiziert, untersucht und Mängelbeseitigungen durchführt.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Security Operations Center definieren
  • Erfahren, wie ein SOC Unternehmen vor Bedrohungen schützt
  • Funktionen eines SOC mit denen eines NOC vergleichen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Security Operations Center (SOC)?

Ein Security Operations Center (SOC), auch als Information Security Operations Center (ISOC) bezeichnet, ist eine spezielle Einrichtung, in der Sicherheitsexperten potenzielle Cyber-Bedrohungen überwachen, analysieren und bekämpfen. Aufgrund der verteilten Natur moderner Unternehmen beschreibt der Begriff „SOC“ häufig das Team von Sicherheitsentwicklern und -analysten, das diese Aufgaben wahrnimmt.

Obwohl die Architektur eines SOC von Unternehmen zu Unternehmen unterschiedlich ist, erfüllt es mehrere Schlüsselfunktionen:

  • Aktivitäten in Netzwerken, Servern, Datenbanken und Geräten tracken
  • Bedrohungen untersuchen und auf sie reagieren
  • Compliance gewährleisten und das Sicherheitsniveau erhöhen

In der Regel verlässt sich ein Unternehmen auf ein einziges internes SOC für die Verwaltung und Abwehr von Bedrohungen. Große Unternehmen können jedoch auch mehrere SOCs in verschiedenen Ländern betreiben (manchmal auch als Global Security Operations Center oder GSOC bezeichnet). Alternativ beauftragen sie eine externe Gruppe von Sicherheitsanalysten und Entwicklern.

Wie schützt ein SOC Unternehmen vor Bedrohungen?

Ein SOC kann auf viele verschiedene Arten aufgebaut werden und wird sich wahrscheinlich je nach den Bedürfnissen und Kapazitäten eines Unternehmens ändern. Im Allgemeinen lassen sich die Aufgaben eines SOC in drei Bereiche unterteilen:

Datenverlust

Inventarisierung der Assets: Um ein Unternehmen vor Bedrohungen zu schützen und Sicherheitslücken zu erkennen, benötigt ein SOC einen vollständigen Überblick über seine Systeme, Anwendungen und Daten sowie über die Sicherheitstools, die sie schützen. Für die Bestandsaufnahme kann ein Asset Discovery Tool verwendet werden.

Bewertung der Sicherheitslücken: Um die potenziellen Auswirkungen eines Angriffs abzuschätzen, kann ein SOC regelmäßige Tests der Hardware und Software eines Unternehmens durchführen und anhand der Ergebnisse seine Sicherheitsrichtlinien aktualisieren oder einen Reaktionsplan für Vorfälle entwickeln.

Vorbeugende Wartung: Sobald ein SOC die Sicherheitslücken in der Infrastruktur eines Unternehmens ausfindig gemacht hat, kann es Maßnahmen zur Stärkung des Sicherheitsniveaus ergreifen.Dazu gehören die Aktualisierung von Firewalls, die Pflege von Genehmigung- und Blockierlisten, das Patchen von Software und das Verfeinern von Sicherheitsprotokollen und -verfahren.

Bedrohungserkennung

Erfassung und Analyse von Protokollen: Ein SOC sammelt Protokolldaten, die durch Events im Netzwerk eines Unternehmens generiert werden (z. B. von Firewalls, Systemen zur Prävention und Erkennung von Eindringlingen usw.). Diese Daten werden dann auf Anomalien oder verdächtige Aktivitäten hin analysiert.Je nach Größe und Komplexität der Infrastruktur eines Unternehmens kann dieser Prozess viele Ressourcen beanspruchen und mit einem automatisierten Tool durchgeführt werden.

Überwachung von Bedrohungen: Ein SOC verwendet Protokolldaten, um Warnungen über verdächtige Aktivitäten und andere Indikatoren für eine kompromittierende Bedrohung (Indicators of compromise oder kurz IOC) zu erstellen.IOCs sind Anomalien in Daten (Unregelmäßigkeiten im Netzwerk-Traffic, unerwartete Änderungen von Systemdateien, nicht autorisierte Anwendungsnutzung, seltsame DNS-Anfragen oder andere Verhaltensweisen), die auf die Wahrscheinlichkeit eines Verstoßes oder ein anderen böswilligen Ereignissen hinweisen.

Security Information and Event Management (SIEM): Ein SOC arbeitet häufig mit einer SIEM-Lösung, um den Schutz vor Bedrohungen und die Mängelbeseitigung zu automatisieren.Zu den üblichen Funktionen eines SIEMs gehören:

  • Aggregation von Protokolldaten
  • Überwachung von Alarmen
  • Erweiterte Bedrohungsdaten
  • Analyse von Sicherheitsvorfällen
  • Compliance-Berichte

Schutz

Reaktion auf Vorfälle und Mängelbeseitigung: Wenn ein Angriff stattfindet, unternimmt ein SOC häufig mehrere Schritte, um den Schaden zu bekämpfen und die betroffenen Systeme wiederherzustellen.Dazu gehören die Isolierung infizierter Geräte, das Löschen kompromittierter Dateien, der Einsatz von Anti-Malware-Software und die Ursachenforschung.Mit diesen Erkenntnissen können SOCs bestehende Sicherheitsrichtlinien verbessern.

Compliance-Berichte: Nach einem Angriff unterstützt ein SOC ein Unternehmen bei der Einhaltung von Datenschutzbestimmungen (z. B. der DSGVO), indem es die zuständigen Behörden darüber informiert, wie viele und welche der geschützten Daten kompromittiert wurden.

Was sind gängige Arten von SOCs?

Bei der Einrichtung eines SOC gibt es mehrere Möglichkeiten. Zu den gängigsten Kategorien von SOCs gehören:

  • Ein internes SOC oder ein dediziertes SOC gehört dem Unternehmen, das es einsetzt, und wird von diesem betrieben.Zu den Vorteilen interner SOCs zählen schnellere Reaktionszeiten auf Vorfälle und maßgeschneiderte Sicherheitserkennungs- und -reaktionsfähigkeiten, aber sie können auch teurer und ressourcenintensiver sein als andere SOCs.
  • Verwaltete SOCs oder SOC-as-a-Service ermöglichen es Unternehmen, die SOC-Verantwortlichkeiten an einen externen Sicherheitsanbieter auszulagern. Die meisten verwalteten SOCs fallen in eine von zwei Kategorien: Managed Security Service Provider (MSSP) und Managed Detection and Response (MDR).
  • MSSP ist ein verwalteter SOC-Dienst, der Systeme und Daten überwacht. Die Hauptaufgabe eines MSSP besteht darin, Unternehmen beim Erkennen böswilliger Aktivitäten zu alarmieren. Dies geschieht durch die Katalogisierung von Netzwerkereignissen und das Erkennen von Anomalien.
  • MDR ist ein verwalteter SOC-Service, der die forensischen Fähigkeiten eines MSSP erweitert. Neben dem Tracking von Netzwerkaktivitäten und der Erstellung von Alarmen untersucht er auch potenzielle Bedrohungen, entfernt falsch-positive Ergebnisse aus Alarmen, bietet erweiterte Analytics und Bedrohungsdaten und hilft nach Sicherheitsvorfällen bei der Mängelbeseitigung.

Was ist ein Network Operations Center (NOC)?

Ein Network Operations Center (NOC), also ein Netzwerkbetriebszentrum, überwacht Netzwerkaktivitäten und Bedrohungen. Ein NOC-Team ist dafür verantwortlich, den Zustand des Unternehmensnetzwerks zu überwachen, Ausfälle vorherzusehen und zu unterbinden sowie Angriffe abzuwehren und routinemäßige Wartungsprüfungen für verschiedene Systeme und Software durchzuführen.

Im Gegensatz zu einem SOC, das böswillige Aktivitäten in der gesamten Infrastruktur eines Unternehmens verfolgt und bekämpft, konzentriert sich ein NOC ausschließlich auf die Netzwerksicherheit und Performance.

Bietet Cloudflare SOC-Dienste an?

Cloudflare Security Operations Center-as-a-Service kombiniert Erkennungs- und Überwachungsfeatures mit wichtigen Sicherheitstechnologien, wie einer Web Application Firewall (WAF), einer Bot-Management-Lösung und einer Prävention von DDoS-Angriffen. Durch die Auslagerung der SOC-Verantwortlichkeiten an Cloudflare können Unternehmen den Überblick über ihre Infrastruktur behalten, eingehende Bedrohungen verfolgen und bekämpfen und die allgemeinen Sicherheitskosten senken.