Definitionen Was ist ein SOC (Security Operations Center)?

Von Chiara Maurer

Anbieter zum Thema

Ziel von Unternehmen sollte es sein, Daten und andere Inhalte bestmöglich zu sichern und im Falle eines Angriffs muss schnell gehandelt werden, um größere Schäden zu vermeiden. Diese Aufgaben übernimmt ein SOC und zwar 24 Stunden am Tag, 365 Tage im Jahr.

Ein SOC bietet Unterhmen und Organisationen Gewissheit, dass Bedrohungen in Echtzeit erkannt und abgewendet werden
Ein SOC bietet Unterhmen und Organisationen Gewissheit, dass Bedrohungen in Echtzeit erkannt und abgewendet werden
(© aga7ta – stock.adobe.com)

In einem SOC (Security Operations Center), auch Information Security Operations Center (ISOC) genannt, sitzen Sicherheitsanalysten und -ingenieure sowie weitere Personen, die für das Monitoring und Management von Sicherheitsbedrohungen ausgebildet wurden. Ihre Aufgabe es ist, Server, Website, Datenbanken, Netzwerke, Anwendungen, Endgeräte und anderen Systeme zu überwachen, um mögliche Sicherheitslücken oder Cyberangriffe zu erkennen und so die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen. Auch die Beobachtung externer Quellen wie Bedrohungslisten zählt zu den Aufgaben der SOCs, da diese ebenfalls Einfluss auf die Sicherheitslage haben können. Die Security-Teams bilden also eine Zentrale für alle sicherheitsrelevanten Services im IT-Umfeld von Unternehmen und Organisationen.

Das SOC arbeitet rund um die Uhr in Echtzeit daran, ein Unternehmen bestmöglich zu schützen und den Sicherheitsstaus zu optimieren. Unternehmen und Organisationen können sich also stets sicher sein, dass Bedrohungen zeitnah erkannt und neutralisiert, beziehungsweise abgewendet werden. Ein weiterer Vorteil der SOCs ist, dass sie das Potenzial haben, viel Geld zu sparen. Nicht nur umgehen Unternehmen so eventuelle Löse- oder Wiederherstellungsgelder, die im Falle eines Angriffs auf sie zukämen, durch die Expertise der Teammitglieder kann zudem immer in die für das Unternehmen sinnvollsten und wirksamsten Anwendungen investiert werden.

Ein gut funktionierendes SOC übernimmt folgende Aufgaben:

  • Proaktive Überwachung der IT-Systeme und laufende Analysen zur aktuellen Bedrohungslage
  • Erkennen von Schwachstellen der IT-Sicherheit und deren Beseitigung
  • Zentrales Sicherheitsmanagement für die unterschiedlichen Devices
  • Alarmierung bei erkannten Angriffen und Bedrohungen
  • Direkte Abwehrmaßnahmen zur Schadensbegrenzung von Cyber-Attacken
  • Durchführung von Security-Assessments
  • Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen
  • Reporting zur Arbeit des Security Information Centers und über alle sicherheitsrelevanten Systeme

Diese Aufgaben können Teil verschiedener Angebote und Services eines SOC sein. Ein solcher Service ist beispielsweise das Network Security Monitoring (dt. Überwachung der Netzwerksicherheit), das dabei hilft, Bedrohungsakteure zu identifizieren. Dabei werden Daten von Netzwerken, die Teil der Infrastruktur eines Unternehmens sind, wie Router oder IPS-Systeme, eingesammelt und ausgewertet. Dazu können sie vorher an ein sogenanntes SIEM (Security Information and Event Management) weitergeleitet werden, das Daten in ein einheitliches, verständliches Format brint und zudem erste Analysen durchführt. Jedoch ist hier menschliches Zutun unabdingbar, da Experten dem System helfen können, zu lernen, dass nicht jedes kritisches Ereignis auch wirklich zwangsläufig eines ist. So könnte das System ein kritisches Ereignis identifizieren, da ein Nutzer sein Passwort mehrfach falsch eingegeben hat. Dass dies aber auch der Fall sein könnte, weil ein Passwortwechsel vorhergegangen ist und der Nutzer das neue noch nicht verinnerlicht hat, kann ein Analyst erkennen und daraus eine für das System verständliche Regel ableiten.

Einen weiteren Service von SOCs bilden die Incident Response (dt. Reaktion auf Vorfälle). SOCs erstellen Use Cases, die wiederum Alarme erzeugen. Stellt ein solcher Alarm ein kritisches Event dar, bezeichnet man das als Incident. Dieser muss durch das SOC behoben werden, ohne dass Abläufe in dem Unternehmen gestört werden.

Der SOC-Service der Forensik befasst sich mit der genaueren Analyse von Sicherheitsvorfällen. Dies könnte Malware im Speicher (Memory Forensik) oder auf der Festplatte sein. Kritische Vorfälle im Netzwerk, fallen in den Bereich der Netzwerkforensik oder Netzwerkanalyse.

Auch durch SOCs angeboten wird das sogenannten Self Assessment (dt. Selbsteinschätzung). Dabei geht es darum, eine Art Bestandsaufnahme zu machen, um die eigenen Sicherheitsmaßnahmen zu bewerten und zu analysieren. Das Self Assesment erfolgt durch Maßnahmen wie Stresstests, die der Analyse von Schwachstellen dient. Ein wichtiger Bestandteil davon ist das Configuration Monitoring (dt. Konfigurations-Überwachung). Dabei wird eine sichere Basis-Konfiguration, eine sogenannte Baseline erstellt, die dazu beiträgt, dass potenzielle Schwachstellen nicht ausgenutzt werden können, indem beispielsweise Ports deaktiviert oder unsichere Protokolle nicht zugelassen werden.

Threat Intelligence (dt. Bedrohungs-Intelligenz) ist ein weiterer SOC-Service. Hier wird Wissen über Angreifer und Angriffsmuster gesammelt. Dies kann extern geschehen oder Intern über die Daten des Incident Response Prozess. Aus der Analyse dieser Daten können dann neue Regeln formuliert werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48712426)