Security Operation Center aus der Cloud

Cyberangriffe nehmen weltweit zu. Die Annahme vieler Unternehmen, dass sie für die Angreifer nicht interessant seien, bewahrheitet sich je länger, je weniger. Die Erfahrung zeigt, dass Angreifer immer gezielter und strategischer vorgehen. Während der letzten Jahre verstärkten sich die Angriffe auf Einrichtungen in vielen Sektoren. Dazu zählen Unternehmen im Gesundheitswesen, Industriebetriebe sowie Betreiber kritischer Infrastruk­turen. Bereits das kontinuierliche Monitoring von Security Incidents kann dazu beitragen, das Risiko von Angriffen zu reduzieren. Unsere SOC-Services richten sich an Kunden, die diese erstmalig umsetzen oder ausbauen möchten.

Cyberkriminelle nutzen Informationen und Zeit, um immer gezieltere und professionellere Angriffe auszuführen. Ist der erste Schritt gemacht und hat sich der Angreifer Zugriff auf ein geschäftskritisches System verschafft, heisst das nicht, dass sofort Aktionen wie zum Beispiel das Kopieren oder Verschlüsseln von Daten erfolgen. Je nach Motivation und Ziel richtet sich der Angreifer erst in Ihrem «Wohnzimmer» ein und schaut sich nach interessanten Informationen wie vertraulichen Dokumenten um. Von dort aus kann er abhängig von Zusammenarbeit und Integration mit Ihren Partnern sogar Zugriff auf deren Daten oder Systeme erhalten. Einen erfolgreichen, aber bislang noch unerkannten Angriff aufzuspüren, kommt somit einer Suche nach der «Nadel im Heuhaufen» gleich.

Das Home Office hat zudem Angriffe in vielen Bereichen vereinfacht. Vom Unternehmen bereitgestellte Computer und Applikationen weisen nicht immer die im Firmennetz vorhandenen Schutzmechanismen auf. Zum Erkennen und Reagieren auf Angriffe auf die privat bereitgestellten und für Geschäftszwecke genutzten Ressourcen ist daher eine Erweiterung der Schutzmassnahmen ausserhalb des Unternehmensnetzwerks erforderlich.

Für die Unternehmen, welche bereits Microsoft-Azure-Services oder Microsoft-365-Produkte einsetzen, ist eine SOC-Integration einfach umsetzbar: mit einem Cloud-native-SOC als Erweiterung. Jedes der Produkte ist optimiert für die Erkennung möglicher Angriffe. Entsprechende Gefahrenmeldungen lassen sich im SIEM (Security Information and Event Management) im Azure Tenant verarbeiten und analysieren.

Die Verknüpfung zwischen einer Azure-Infrastruktur mit einem SOC-Service ist mit wenig Aufwand verbunden. Die Security-Analysten erhalten einen Überblick über die Security Incident Alerts in der Infrastruktur. Dies ist vergleichbar mit einem geschützten Raum, aus dem heraus das Sicherheitspersonal kritische Produktionsmaschinen überwacht. Für mögliche Interaktionen verbinden sich die SOC-Security-Analysten direkt mit der Azure-Infrastruktur, in der sich die Daten und Informationen befinden.

Das SIEM sowie die erforderlichen Daten für die SOC-Services verbleiben in der bereits vorhandenen Microsoft-Azure-Infrastruktur der Kunden. Dieses Vorgehen erlaubt ihnen die Einhaltung von Sicherheitsstandards sowie externer und interner Compliance-Vorgaben. Der Zugriff von Security-Analysten erfolgt zeitlich limitiert und wird vom System bei einer Zeitüberschreitung automatisch beendet. Zudem werden alle Aktivitäten in der Infrastruktur protokolliert. Eine Multi-Faktor-Authentifizierung sowie eine dedizierte SOC-Infrastruktur und gehärtete Endgeräte sind eine Selbstverständlichkeit.

Die Detektion von Security Incidents erfolgt zum einen über eigene Regelwerke, durch die gezielt nach relevanten Informationen gesucht wird. Zum anderen profitiert der Kunde bei der Analyse der Daten direkt von der Erfahrung des Herstellers Microsoft im Kampf gegen Cyberangriffe. Auf Basis von Machine Learning werden Alerts aus verschiedenen Quellen analysiert und aggregiert. Somit lässt sich verdächtiges Verhalten erkennen, auch wenn dafür noch keine Regeln existieren. Im Weiteren erfolgt eine automatische Aggregation der Events und Alerts zu einem Security Incident. Solche intelligenten Algorithmen erhöhen die Wahrscheinlichkeit um ein Vielfaches, einen Angreifer aufzuspüren, der sich bereits im System befindet.

Mit einer 24/7/365-Überwachung durch das SOC ist die Bearbeitung, die Analyse sowie eine vorabgestimmte Response in Bezug auf kritische Security Incident Alerts auch ausserhalb der Bürozeiten sichergestellt. Die Aktivierung der internen Sicherheitsorganisation lässt sich somit erheblich reduzieren. Denn das Erbringen von Rund-um-die-Uhr-Services erfordert ein Team von Security-Spezialisten. Mehr noch: Der Betrieb einer internen SOC-Organisation erfordert mindestens vier bis sechs Analysten. Mit einem externen SOC profitieren die Kunden ausserdem von Syner­gien, da der Anbieter mehrere Unternehmen bedient sowie Erfahrungen teilt und entsprechend integriert. Nur schon aus diesem Grund lohnt sich ein externer SOC-Service. In den meisten Fällen lassen sich mit einem Servicemodell die Fixkosten reduzieren, die beim Aufbau und beim Betrieb eines eigenen SOC anfallen würden.

Der Cloud-native-Ansatz erlaubt dem Kunden denselben Einblick in die Security Incidents wie dem SOC-Pro­vider. Die Sicherheitsorganisation des Kunden hat somit die Möglichkeit, SOC-Reports mit Kennzahlen wie Detek­tionen, Angriffsarten, Schutzmassnahmen etc. nachzuvollziehen und bei Bedarf eigene Analysen durchzuführen.

So stehen einem CISO Informationen zu aktuellen Gefahren oder die Anzahl abgewehrter Angriffe durch implementierte Schutzmassnahmen zur Verfügung. Security Engineers können anhand der Daten die technische Wirksamkeit bestehender oder neuer Schutzmassnahmen verifi­zieren. Die erfahrenen SOC-Security-Analysten erstellen Reports oder unterstützen mit ihrer Expertise bei deren Weiterentwicklung.

Die Integration von einem SOC-Service aus der Cloud in eine bestehende Cloud-Infrastruktur und allfällige On-Premises-Systeme gestaltet sich in den meisten Fällen unkompliziert. Es entfallen dedizierte und zusätzliche Hardware-Investitionen und die damit verbundenen Betriebs- sowie Abschreibungskosten.

Ein guter Ausgangspunkt für Unternehmen, die bereits Microsoft-Produkte wie Office 365 einsetzen, ist der Microsoft Defender for Endpoint. Weitere Security-Lösungen, beispielsweise die Überwachung von Microsoft-Azure-Logins sowie Sicherheitssysteme von Drittanbietern, lassen sich anschliessend schrittweise in den SOC-Service aus der Cloud integrieren.