SOC und SIEM: Wie Mensch und Maschine für mehr Sicherheit sorgen

Jetzt Artikel teilen:

Was SOC und SIEM bedeuten – und warum Unternehmen mit dieser Kombination aus Automatisierung und menschlichem Know-how die eigene IT-Security nachhaltig verbessern.

IT-Security spielt eine immer wichtigere Rolle in den komplexer werdenden IT-Infrastrukturen. Gerade angesichts der stetig steigenden Zahl an Geräten und Anwendungen innerhalb eines Netzwerks oder einer Cloud-Infrastruktur ist es unumgänglich, auf intelligente Monitoring-Lösungen zu setzen. So lassen sich Schwachstellen im Netzwerk rechtzeitig wahrnehmen und Cyberangriffe zuverlässig erkennen und eliminieren.

Eine entscheidende Rolle kommt hierbei dem Security Operations Center (SOC) sowie dem Security Information and Event Management (SIEM) zu. Die Kombination dieser beiden Elemente generiert einen echten Mehrwert, egal ob kritische Ressourcen und Daten in der Cloud oder in hybriden IT-Umgebungen geschützt werden sollen.

SOC und SIEM als Service nutzen

IT-Security in Zeiten von Covid-19

Dabei geht es gerade in der Corona-Pandemie angesichts zunehmender Arbeit im Homeoffice auch um Risiken, die sich aus dezentraler Arbeit in unterschiedlich gut abgesicherten Netzen mit teilweise schlecht abzusichernden Endgerätekategorien ergeben. Malware und Phishing-Attacken, Ransomware und CEO-Fraud sind nur einige der Angriffsszenarien, die aktuell auf Unternehmen und ihre IT-Abteilungen vermehrt zukommen.

Wie ein modernes SOC und ein optimiertes SIEM die IT-Verantwortlichen hier unterstützen können, erfahren Sie im Folgenden.

Was leistet ein Security Information and Event Management (SIEM)?

Bei einem SIEM handelt es sich um ein Softwareprodukt, das – lokal installiert oder als Cloud-Service – Schwachstellen und Sicherheitslücken in Echtzeit bewertet. Dazu überwacht es sämtliche Sicherheitsalarme der Anwendungen und Komponenten im Netzwerk. Diese laufen in einer Konsole zusammen, die sämtliche Logfiles aus den gesamten Informationsquellen einer IT-Infrastruktur analysiert und bewertet.

Das SIEM bringt die zwei Konzepte Security Information Management (SIM) und Security Event Management (SEM) zusammen. Es umfasst somit:

  1. die Fähigkeit, Daten von Netzwerk- und Sicherheitskomponenten zu sammeln, zu analysieren und darzustellen,
  2. die Behandlung von Sicherheitslücken,
  3. Log-Dateien von Betriebssystemen, Datenbanken und Anwendungen,
  4. externe Bedrohungen,
  5. Warnungen in Echtzeit.

Security Operations Center (SOC): Der Expertenservice für schnelle Reaktion

Das SOC ist die menschliche Komponente der IT-Sicherheit. Denn hier sind echte Security-Experten im Einsatz. So bildet das SOC ein grundlegendes Element, um sicherheitsrelevanten Ereignissen vorzubeugen oder diese zu behandeln. Dazu überwacht es zentral sämtliche Hardware- und Softwarekomponenten sowie -prozesse. Dies soll ebenso wie die Analyse des menschlichen Verhaltens aller Anwender dazu beitragen, Sicherheitsrisiken zu analysieren und zu bewerten und bei ansteigendem Gefahrenpotential zu warnen – rund um die Uhr an 365 Tagen. Das Security Operations Center eines Unternehmens (oder eines Dienstleisters, der diese Aufgabe zentral für eine Vielzahl an Unternehmen realisiert) unterliegt einem permanenten Wandel – so wie sich Technologien, Prozesse und Menschen situativ unterschiedlich verhalten.

Wie funktioniert ein SOC? Schematische Darstellung. Quelle: Kudelski Security

Ein SOC nutzt modernste Technologien und Methoden, um verdächtiges Verhalten aufzudecken und entsprechend zu reagieren. Quelle: Kudelski Security

Wie hängen SIEM und SOC zusammen?

Bei den Mitarbeitern eines SOC handelt es sich um Sicherheitsfachleute, die auf Basis einer SIEM-Software und mit einem zuvor definierten (und regelmäßig an aktuelle Bedrohungsszenarien angepassten) Regelwerk (Runbook) auf latente Bedrohungen oder konkrete Angriffe reagieren. Im Falle eines Alarms bewerten die Experten diesen auf Basis ihres Expertenwissens sowie der Runbooks und ergreifen so geeignete Gegenmaßnahmen, um die IT und die Daten des Unternehmens zu schützen. Bei dieser Bewertung ziehen sie die aktuelle „Großwetterlage“ in Sachen Malware und IT-Bedrohungen hinzu, die durch geeignete IT-Security-Bulletins einfließt.

7 gute Gründe für SOC und SIEM

  1. 24/7-Überwachung: generelle Risiken und Bedrohungen im Blick behalten
  2. Ständiger Überblick über das Geschehen im Netzwerk, egal ob Rechenzentrum oder Cloud
  3. Angriffe durch gezielte Attacken und Malware in Echtzeit erkennen
  4. Automatisierte Vorprüfung: Konzentration auf relevante Security Incidents
  5. Falls es doch zu einem Vorfall kommt: schnelle Schadensbewertung und Forensik
  6. Schutz der Geschäftsprozesse, der eigenen Daten und Geschäftsgeheimnisse
  7. Haftungsrisiken gegenüber Geschäftspartnern minimieren und Compliance einhalten

Weshalb das Outsourcing von SOC und SIEM für Unternehmen sinnvoll ist

Eine solch zentrale Aufgabe wie das SOC auszulagern, klingt im ersten Ansatz widersinnig. Haben wir nicht gelernt, dass man die geschäftskritischen Elemente im Unternehmensalltag stets selbst in der Hand haben sollte? Prinzipiell ist das auch richtig – im konkreten Fall zeigt sich aber, dass ein auf IT-Sicherheit spezialisierter Dienstleister hier deutlich bessere Expertise aufbauen und kompetenter über die tagesaktuellen Herausforderungen informiert sein kann. Denn als Security-Verantwortlicher kennt man nur die Situation im eigenen Unternehmen.

Gerade in kleineren und mittelständischen Unternehmen ist es zudem der günstigere und effizientere Weg, dieses Know-how, das dem stetigen Wandel unterliegt, einzukaufen. Und effizient ist eine solche Lösung auch in anderer Hinsicht: Denn eine SIEM-Lösung filtert im Rahmen der Analyse die gravierenden Bedrohungen heraus. Diese übergibt sie ans SOC für eine gezielte Begutachtung.

Doch selbst große Konzerne vertrauen eine solche zentrale Aufgabe heute oftmals einem externen Partner an – und sie tun das aus gutem Grund. Denn ein Spezialist für SOC-Dienstleistungen kann ein geeigneter Sparringpartner für die unternehmenseigene IT-Abteilung sein. Sie leistet den wichtigen 360-Grad-Blick auf die Security-Strategie eines Unternehmens.

plusserver und Kudelski Security: Partnerschaft für Cloud und Security aus einer Hand

Für mehr Sicherheit im Unternehmen bietet sich daher eine Managed-Security-Lösung für Cloud-Lösungen oder hybride IT-Infrastrukturen an. Die Kombination aus fortschrittlicher Software und kompetenter Expertise eines menschlichen Security-Teams optimiert so die IT-Sicherheitssituation und hilft dabei, Bedrohungen und Angriffe schnellstmöglich in Echtzeit zu erkennen und abzuwehren.

Die Bedrohungsüberwachung und -Analyse von Kudelski Security sucht dabei proaktiv nach Sicherheitsrisiken in Echtzeit. Sie findet so auch Anomalien, gegen die rein automatisierte Schutzmaßnahmen machtlos sind. Das Cyber Fusion Center von Kudelski Security, als Teil des plussecurity-Portfolios von plusserver, schützt Geschäftsprozesse und Daten durch die geschickte Kombination aus moderner IT-Automation und menschlichem Know-how – nachhaltig und rund um die Uhr in Echtzeit.

Cloud Sicherheit - plussecurity

Titelbild von Pete Linforth auf Pixabay

Jetzt Artikel teilen:

Das könnte Sie auch interessieren