Internes SOC, externe Hilfe

Wer bereits ein eigenes SOC betreibt und dieses modernisieren will, kann sich externe Hilfe holen. Anbieter wie Kaspersky haben ein eigenes Portfolio für Security Operations Center. Daneben gibt es Schulungsprogramme von Security-Anbietern zu Malware-Analyse, digitaler Forensik, Reaktion auf Vorfälle und Erkennung von Bedrohungen. Dies unterstützt ein SOC dabei, internes Fachwissen zu erweitern, und ermöglicht eine bessere Reaktion auf komplexe Vorfälle.«Ein SOC umfasst nicht nur die Implementierung eines SIEM-Tools. Es gehören auch relevante Prozesse, Rollen und Taktikhand­bücher dazu, um effektiv zu sein», betont Veniamin Levtsov, VP Corporate Business bei Kaspersky. «Es sollte
zudem mit einer Schnittstelle für Protokolle und Ereignisquellen sowie effektiven Korrelationsregeln ausgestattet und mit umsetz­baren Threat-Intelligence-Erkenntnissen versorgt werden.» Was Levtsov auch weiss: «Ohne ein Verständnis der grössten Security-Hindernisse können CISOs keinen Plan für die Entwicklung eines SOCs aufstellen.»

Die zunehmenden Cyberbedrohungen und die steigenden Ansprüche an SOCs hängen auch vom Geschäftszweig ab. Entsprechend gibt es bereits spezielle SOCs für einzelne Branchen. Ein Beispiel ist das Automotive-SOC der Telekom. Ein Automotive-SOC operiert ähnlich wie ein reguläres Security Operations Center, ist aber ganz auf die besondere IT-Infrastruktur von Fahrzeugen ausgelegt. Eingerichtet als zentrale Schnittstelle, kann es gezielt auf Bedrohungen reagieren und Fahrzeugflotten vor Angriffen schützen. Für ein spezielles Automotive Security Operations Center sieht die Deutsche Telekom einen klaren Bedarf: Die Hersteller hätten zwar längst begonnen, IT-Sicherheitskomponenten in ihre Fahrzeuge zu integrieren. Doch wie immer in der IT gewährleiste auch das keinen hundertprozentigen Schutz, so das Unternehmen. Zusätzlich werde ein System benötigt, das vernetzte Fahrzeuge und zugehörige IT-Systeme über Jahrzehnte hinweg rund um die Uhr betreue, Cyberangriffe analysiere und die Abwehr stets auf dem aktuellen Stand der Sicherheitstechnik halte.

Um rund 600 Prozent, so der «Automotive Cybersecurity Report 2019» von Upstream Security, habe zwischen 2010 und 2018 die Zahl der von Herstellern gemeldeten Automotive-Hacks zugenommen, denn auch das Wissen der Hacker über die vernetzten Automobilkomponenten wachse von Jahr zu Jahr. Der Report geht davon aus, dass die Automobilindustrie allein innerhalb der nächsten fünf Jahre mit zusätzlichen Kosten durch Hacker-Angriffe von rund 24 Milliarden Dollar zu rechnen hat. Schon ein erfolgreicher Angriff könne im Extremfall Kosten von mehr als einer Milliarde Dollar verursachen.

Ein umfassender Schutz der Fahrzeug-IT sei deshalb für jeden Hersteller unerlässlich, wolle er nicht Kunden verlieren und damit Marktanteile unnötig aufs Spiel setzen, erklärt die Telekom. Deshalb sei es für Hersteller empfehlenswert, eine zentrale Stelle zu schaffen, an der alle Daten der vernetzten Fahrzeugflotte zusammenlaufen und auf Angriffe untersucht werden.

Der Blick auf Unternehmen mit eigenem SOC zeigt: Bestehende SOCs benötigen weitere Lösungen zur Priorisierung der erkannten Vorfälle, um die eingesetzten SOC-Analysten zu entlasten. Zudem müssen die Response-Services ausgeweitet werden, damit sich die SOCs stärker auf die Abwehr konzentrieren können. Unterstützung dafür bieten Cloud-Services und Dienstleistungen von Security-Anbietern.

Wer dagegen ein externes SOC beauftragt hat oder beauftragen will, sollte zusätzliche Anforderungen an den Provider stellen, denn auch viele von deren SOCs haben Optimierungsbedarf. Je nach Branche kann auch ein spezialisiertes SOC das SOC der Wahl sein.