Ein Security Operations Center (SOC) hilft Unternehmen bei der Vermeidung von Angriffen, indem es Bedrohungen identifiziert, untersucht und Mängelbeseitigungen durchführt.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein Security Operations Center (SOC), auch als Information Security Operations Center (ISOC) bezeichnet, ist eine spezielle Einrichtung, in der Sicherheitsexperten potenzielle Cyber-Bedrohungen überwachen, analysieren und bekämpfen. Aufgrund der verteilten Natur moderner Unternehmen beschreibt der Begriff „SOC“ häufig das Team von Sicherheitsentwicklern und -analysten, das diese Aufgaben wahrnimmt.
Obwohl die Architektur eines SOC von Unternehmen zu Unternehmen unterschiedlich ist, erfüllt es mehrere Schlüsselfunktionen:
In der Regel verlässt sich ein Unternehmen auf ein einziges internes SOC für die Verwaltung und Abwehr von Bedrohungen. Große Unternehmen können jedoch auch mehrere SOCs in verschiedenen Ländern betreiben (manchmal auch als Global Security Operations Center oder GSOC bezeichnet). Alternativ beauftragen sie eine externe Gruppe von Sicherheitsanalysten und Entwicklern.
Ein SOC kann auf viele verschiedene Arten aufgebaut werden und wird sich wahrscheinlich je nach den Bedürfnissen und Kapazitäten eines Unternehmens ändern. Im Allgemeinen lassen sich die Aufgaben eines SOC in drei Bereiche unterteilen:
Inventarisierung der Assets: Um ein Unternehmen vor Bedrohungen zu schützen und Sicherheitslücken zu erkennen, benötigt ein SOC einen vollständigen Überblick über seine Systeme, Anwendungen und Daten sowie über die Sicherheitstools, die sie schützen. Für die Bestandsaufnahme kann ein Asset Discovery Tool verwendet werden.
Bewertung der Sicherheitslücken: Um die potenziellen Auswirkungen eines Angriffs abzuschätzen, kann ein SOC regelmäßige Tests der Hardware und Software eines Unternehmens durchführen und anhand der Ergebnisse seine Sicherheitsrichtlinien aktualisieren oder einen Reaktionsplan für Vorfälle entwickeln.
Vorbeugende Wartung: Sobald ein SOC die Sicherheitslücken in der Infrastruktur eines Unternehmens ausfindig gemacht hat, kann es Maßnahmen zur Stärkung des Sicherheitsniveaus ergreifen.Dazu gehören die Aktualisierung von Firewalls, die Pflege von Genehmigung- und Blockierlisten, das Patchen von Software und das Verfeinern von Sicherheitsprotokollen und -verfahren.
Erfassung und Analyse von Protokollen: Ein SOC sammelt Protokolldaten, die durch Events im Netzwerk eines Unternehmens generiert werden (z. B. von Firewalls, Systemen zur Prävention und Erkennung von Eindringlingen usw.). Diese Daten werden dann auf Anomalien oder verdächtige Aktivitäten hin analysiert.Je nach Größe und Komplexität der Infrastruktur eines Unternehmens kann dieser Prozess viele Ressourcen beanspruchen und mit einem automatisierten Tool durchgeführt werden.
Überwachung von Bedrohungen: Ein SOC verwendet Protokolldaten, um Warnungen über verdächtige Aktivitäten und andere Indikatoren für eine kompromittierende Bedrohung (Indicators of compromise oder kurz IOC) zu erstellen.IOCs sind Anomalien in Daten (Unregelmäßigkeiten im Netzwerk-Traffic, unerwartete Änderungen von Systemdateien, nicht autorisierte Anwendungsnutzung, seltsame DNS-Anfragen oder andere Verhaltensweisen), die auf die Wahrscheinlichkeit eines Verstoßes oder ein anderen böswilligen Ereignissen hinweisen.
Security Information and Event Management (SIEM): Ein SOC arbeitet häufig mit einer SIEM-Lösung, um den Schutz vor Bedrohungen und die Mängelbeseitigung zu automatisieren.Zu den üblichen Funktionen eines SIEMs gehören:
Reaktion auf Vorfälle und Mängelbeseitigung: Wenn ein Angriff stattfindet, unternimmt ein SOC häufig mehrere Schritte, um den Schaden zu bekämpfen und die betroffenen Systeme wiederherzustellen.Dazu gehören die Isolierung infizierter Geräte, das Löschen kompromittierter Dateien, der Einsatz von Anti-Malware-Software und die Ursachenforschung.Mit diesen Erkenntnissen können SOCs bestehende Sicherheitsrichtlinien verbessern.
Compliance-Berichte: Nach einem Angriff unterstützt ein SOC ein Unternehmen bei der Einhaltung von Datenschutzbestimmungen (z. B. der DSGVO), indem es die zuständigen Behörden darüber informiert, wie viele und welche der geschützten Daten kompromittiert wurden.
Bei der Einrichtung eines SOC gibt es mehrere Möglichkeiten. Zu den gängigsten Kategorien von SOCs gehören:
Ein Network Operations Center (NOC), also ein Netzwerkbetriebszentrum, überwacht Netzwerkaktivitäten und Bedrohungen. Ein NOC-Team ist dafür verantwortlich, den Zustand des Unternehmensnetzwerks zu überwachen, Ausfälle vorherzusehen und zu unterbinden sowie Angriffe abzuwehren und routinemäßige Wartungsprüfungen für verschiedene Systeme und Software durchzuführen.
Im Gegensatz zu einem SOC, das böswillige Aktivitäten in der gesamten Infrastruktur eines Unternehmens verfolgt und bekämpft, konzentriert sich ein NOC ausschließlich auf die Netzwerksicherheit und Performance.
Cloudflare Security Operations Center-as-a-Service kombiniert Erkennungs- und Überwachungsfeatures mit wichtigen Sicherheitstechnologien, wie einer Web Application Firewall (WAF), einer Bot-Management-Lösung und einer Prävention von DDoS-Angriffen. Durch die Auslagerung der SOC-Verantwortlichkeiten an Cloudflare können Unternehmen den Überblick über ihre Infrastruktur behalten, eingehende Bedrohungen verfolgen und bekämpfen und die allgemeinen Sicherheitskosten senken.