11.05.2021

Wie funktioniert ein SOC?

soc2.jpg

Welche Aufgaben erfüllen SOC Analysten? (L1 / L2 / L3)

Um zu verstehen wie ein Security Operations Center (kurz SOC) funktioniert, muss erst definiert werden, was ein SOC ist und welche Aufgaben vom SOC bewältigt werden.

Was ist ein SOC (auch «CDC» Cyber Defense Center genannt)?

Eine Einrichtung, in der ein Informationssicherheitsteam untergebracht ist, das für die kontinuierliche Überwachung und Analyse der Sicherheitslage eines Unternehmens verantwortlich ist. Im SOC werden Aktivitäten in Netzwerken, Servern, Endpunkten, Datenbanken, Anwendungen, Websites und weiteren Systemen überwacht.

Was ist das Ziel eines SOC?

Ziel des SOC-Teams ist es, Cybersicherheitsvorfälle zu erkennen, zu analysieren und darauf zu reagieren, indem es eine Kombination aus Technologielösungen und Prozessen einsetzt. Ebenfalls kann durch die stete Überwachung von Vorfällen (Incidents) die Cyber-Resilienz eines Unternehmens verbessert werden.

Welche Aufgaben erfüllt ein SOC?

Das SOC überwacht Sicherheitsdaten, die in der gesamten IT-Infrastruktur der Organisation generiert werden, von den Host-Systemen und Anwendungen bis hin zu Netzwerk- und Sicherheitsgeräten wie Firewalls und Malware Protection Lösungen.
Durch die Kombination einer Reihe fortschrittlicher Tools und der Fähigkeiten erfahrener Cybersicherheitsexperten erfüllt das Security Operations Center die folgenden wichtigen Funktionen:

  • Überwachung von Sicherheitsereignissen, Erfassung, Untersuchung und Auslösung von Alarmen
  • Verwaltung der Reaktion auf Sicherheitsvorfälle, einschließlich Malware-Analyse und forensische Untersuchungen
  • Threat Intelligence Management (Bedroungsaufklärung)
  • Risikobasiertes Management der Schwachstellen (insbesondere die Priorisierung von Patches)
  • Threat-Hunting
  • Verwaltung und Wartung von Sicherheitsgeräten
  • Erstellung von Daten und Metriken für die Einhaltungsberichte


Vorteile eines Security Operations Center

Der Hauptvorteil eines SOC ist die Verbesserung der Erkennung von Sicherheitsvorfällen durch kontinuierliche Überwachung und Analyse von Netzwerkaktivitäten und Erkenntnissen aus dem Bereich Cyber Intelligence. Durch die Analyse von Aktivitäten in den Netzwerken der Organisation rund um die Uhr können SOC-Teams Sicherheitsvorfälle frühzeitig erkennen und darauf reagieren. Dies ist von entscheidender Bedeutung, da Zeit eines der kritischsten Elemente einer wirksamen Reaktion auf Cyber Security Vorfälle ist.

Die SOC-Überwachung rund um die Uhr gibt Organisationen einen bedeutenden Vorteil im Kampf gegen Vorfälle und Eingriffe, unabhängig von Quelle, Tageszeit oder Art des Angriffs. Die Lücke zwischen der Zeit, die der Angreifer benötigt einzudringen und der Zeit bis zur Erkennung des Angriffs wird verringert. Das hilft Organisationen, den Überblick über die Bedrohungen in ihrer Umgebung zu behalten und ihr Risiko zu begrenzen.

Zu den wichtigsten Vorteilen eines SOC gehören:

  • Ununterbrochene Überwachung und Analyse auf verdächtige Aktivitäten
  • Verbesserte Reaktionszeit auf Vorfälle und Managementpraktiken der Vorfälle
  • Verringerter Abstand zwischen dem Zeitpunkt der Kompromittierung und dem Zeitpunkt der Entdeckung
  • Software- und Hardware-Ressourcen werden für einen ganzheitlicheren Sicherheitsansatz zentralisiert
  • Effektive Kommunikation und Zusammenarbeit, um Taktiken und Techniken der Angreifer zu erkennen und einzuordnen, zum Beispiel durch Nutzung des MITRE ATT&CK Frameworks
  • Reduktion der mit Sicherheitsvorfällen verbundenen Kosten
  • Mehr Transparenz und Kontrolle über Sicherheitsoperationen
  • Etablierte Beweismittelkette für Daten, die in der Cybersecurity Forensik verwendet werden

Wer arbeitet in einem SOC?

Security Operations Center sind in der Regel mit Sicherheitsanalysten und -Engineers sowie Managern besetzt, die die Sicherheitsabläufe überwachen. Die SOC-Mitarbeiter arbeiten eng mit den Incident-Response-Teams des Unternehmens zusammen, um sicherzustellen, dass Sicherheitsprobleme nach ihrer Entdeckung schnell behoben werden.

  • Manager: Der Leiter der Gruppe ist in der Lage, in jede Rolle zu schlüpfen und gleichzeitig die gesamten Sicherheitssysteme und -verfahren zu beaufsichtigen.
  • Analyst: Analysten stellen Daten zusammen und analysieren sie, entweder aus einem bestimmten Zeitraum (z. B. dem letzten Quartal) oder nach einer Sicherheitsverletzung.
  • Ermittler: Nach einer Sicherheitsverletzung findet der Ermittler heraus, was passiert ist und warum, wobei er eng mit dem Responder zusammenarbeitet (oft übernimmt eine Person        sowohl die Rolle des "Ermittlers" als auch die des "Responders").
  • Beantworter (Responder): Es gibt eine Reihe von Aufgaben, die mit der Reaktion auf einen Sicherheitsverstoß einhergehen. Eine Person, die mit diesen Anforderungen vertraut ist, ist in einer Krise unverzichtbar.
  • Auditor: Die aktuelle und zukünftige Gesetzgebung bringt Compliance-Anforderungen mit sich. Diese Rolle hält sich über diese Anforderungen auf dem Laufenden und stellt sicher, dass Ihre Organisation sie erfüllt

Und welche Aufgaben führen nun die erwähnten SOC Analysten aus?

Was macht ein L1 SOC-Analyst?

  • Überwachung und Analyse von Cybersicherheitsereignissen
  • Triage von Sicherheitsereignissen und Vorfällen und Erkennung von Anomalien
  • Sicherstellung der Vollständigkeit der Vorfallsinformationen
  • Analyse von Phishing-E-Mails, die von internen Endbenutzern gemeldet werden
  • Eskalation von zu bearbeitenden Vorfällen an das L2 SOC-Team, falls relevant
  • Nachverfolgung von Abhilfemaßnahmen
  • Triage bei allgemeinen Informationssicherheitstickets.

Was macht ein L2 SOC-Analyst?

  • Analyse von Sicherheitsprotokolldaten aus einer großen Anzahl IT-Sicherheitsgeräte
  • Bereitstellung von Incident Response (IR)-Support, wenn die Analyse einen verfolgbaren Vorfall bestätigt
  • Bereitstellung von Bedrohungs- und Schwachstellenanalysen
  • Analysieren und Reagieren auf bisher unentdeckte Software- und Hardwareschwachstellen
  • Untersuchen, Dokumentieren und Berichten über Informationssicherheitsprobleme und aufkommende Trends
  • Erstellung/Überprüfung/Änderung der Dokumentation nach Bedarf, einschließlich aller Prozesse und Verfahren, um sicherzustellen, dass diese auf dem neuesten Stand sind und dem Standard entsprechen
  • Aktualisierung des Change-Management-Kalenders

Was macht ein L3 SOC-Analyst?

  • Analyse von Alarmen aus Security Event und Information Management Tools
  • Vulnerability Scanning und Reporting
  • Priorisierung und Nachverfolgung der Behebung von Schwachstellen
  • Forensische Arbeiten wie Threat Hunting und Reverse-Engineering von Angriffen
  • Isolierung und Entfernung von Malware


Wir hoffen, Ihnen mit diesem Beitrag einen guten Einblick in das Thema Security Operations Center gegeben zu haben.
 


Wussten Sie, dass Sie unser SOC auf Anfrage besichtigen können? Fragen Sie uns an: verkauf(at)bwdigitronik.ch
 

 

 

 

Quellen:

https://digitalguardian.com/blog/what-security-operations-center-soc

https://www.logpoint.com/de/blog/security-operations-center/

https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-soc/ 

https://www.helixsecurity.cloud/l2-soc-analyst/