SOC - das zentrale Security-Nervensystem auslagern? Ja, vieles spricht dafür!

/ Kategorie: CISO, ISPIN Viewpoint
Erstellt von Bjoern Steffens

Ein gut geführtes Security Operations Center (SOC) ist das zentrale Nervensystem einer wirksamen Cybersicherheitsstrategie. Es ist strategisch relevant und daher ist auch die Frage, ob es inhouse betrieben oder an einen SOC-as-a-Service und CSIRT Anbieter ausgelagert wird, von enormer Bedeutung. Immer mehr Gründe sprechen für die Buy-Variante.

Die Cyberbedrohungen nehmen zu, werden immer raffinierter und werden bereits häufig mit KI-Mitteln vorbereitet und ausgeführt. Vor allem Organisationen in Branchen, die über grosse Mengen an wertvollen Daten verfügen, sind attraktive Ziele für Hacker und Cyberkriminelle. Viele IT-Sicherheitsteams in den Schweizer Unternehmen sind aber bereits jetzt bis an ihre Grenzen ausgelastet. Dadurch wird es zu einer grossen Herausforderung, die sich ständig vervielfältigenden Bedrohungen zu bewältigen. Mit SOCs kann die Sicherheitstransparenz und die Reaktionsfähigkeit auf Vorfälle erhöht werden. Denn SOCs führen gründliche Bestandsaufnahmen der IT-Ressourcen ihres Unternehmens durch und richten eine nahezu in Echtzeit erfolgende Sicherheitsüberwachung ein, um bei Bedrohungen alarmbereit und schnell reaktionsfähig zu sein. Aber: Ein SOC benötigt Ressourcen, Know-how, Prozesse und die richtige Technologie.

Fehlendes Personal, Mangel an Technologie

Nach Angaben des SANS Institute sind die beiden häufigsten Hindernisse für ein hervorragendes internes SOC der Mangel an qualifiziertem Personal und das Fehlen einer effektiven Orchestrierung und Automatisierung der Erkennung und Reaktion auf Bedrohungen. Daher entscheiden sich zunehmend mehr Unternehmen, das SOC nicht inhouse zu betreiben, sondern an einen SOC-as-a-Service-Anbieter auszulagern, damit die dringend benötigten IT-Kapazitäten frei werden für andere strategische Aufgaben. Mit einem SOC-as-a-Service-Anbieter kann schnell auf einen kompetenten und erfahrenen Pool von Sicherheitsanalysten zurückgegriffen und dabei die Flexibilität eines Abonnementdienstmodells genutzt werden. Zudem arbeitet der Anbieter mit dem internen IT-Sicherheitspersonal zusammen, lernt dessen Cybersicherheitspraktiken kennen und kann die gesamte Bedrohungsüberwachung und Risikominderung übernehmen.

Vorteile eines SOC-as-a-Service-Anbieters

SOC-as-a-Service Anbieter helfen Unternehmen dabei:

  • Bedrohungen und Schwachstellen schneller zu erkennen und zu beheben
  • ohne lange Einsatzzeiten erstklassig auf Vorfälle zu reagieren
  • die Sicherheitstransparenz und Berichterstattung durch 7x24-Überwachung zu erhöhen
  • mit einem einfachen, verständlichen Preismodell, die Kosten planbar und flexibel an geänderte Bedürfnisse anpassbar zu halten
  • rechtliche Konsequenzen zu verhindern, wenn das Unternehmen besonderen Vorschriften unterliegt, die im Schadensfall zu rechtlichen Folgen führen könnten

Ein SOC-as-a-Service-Anbieter sorgt also dafür, dass mögliche Bedrohungen proaktiv erkannt und bearbeitet werden. Darüber hinaus verschafft er dem Unternehmen einen umfassenden Überblick über alle Sicherheitsereignisse und -vorfälle. Durch den proaktiven Schutz des gesamten Systems kann Schaden abgewendet werden. Die Sicherheitsexperten, die das Netzwerk rund um die Uhr überwachen, protokollieren auch die Aktivitäten im Netzwerk und nutzen ihre Fähigkeiten, ihr Wissen und ihre Erfahrung, um alle auftretenden Sicherheitsprobleme zu identifizieren, zu analysieren und zu beheben. Diese Sicherheitsexperten sind immer auf Abruf und ergreifen bei Bedarf die erforderlichen Massnahmen. Das Unternehmen erspart sich den Aufwand und die Kosten für die Einstellung kompetenten Personals, das ohnehin am Arbeitsmarkt nur schwer zu finden ist. Nicht zuletzt sind SOC-Anbieter in kürzester Zeit einsatzbereit und verkürzen so die Time-to-Value. Dienstleister, die SOC und CSIRT anbieten, kümmern sich zudem um Incident Response, Awareness Training und Darknet Research, um ein Gesamtbild erstellen und besser erkennen zu können, wie exponiert ein Unternehmen ist, und um zu wissen, wo Hackergroups und State Actors ansetzen könnten. Sie agieren als Security-Drehscheibe, die Cyberbedrohungen abwehren und bei Bedarf rasch reagieren kann. Sie nutzen modernste Plattformen und arbeiten mit bewährten Prozessen. Und da sie üblicherweise mit Fixkosten arbeiten, ist das Investment einfach zu rechtfertigen und eröffnet die Möglichkeit einer flexiblen Anpassung der Leistungen.

Wichtige Fragen für die Auswahl eines SOC-as-a-Service-Anbieters

Die Auswahl eines geeigneten Anbieters ist von entscheidender Bedeutung, schliesslich legt das Unternehmen die Sicherheitsagenden ganz oder teilweise in die Hände dieses Anbieters und muss sich auf ihn verlassen können. Stellen Sie daher diese wichtigen Fragen, wenn Sie auf der Suche nach einem Anbieter sind:

  1. Welche Arten von Tools (wie Agenten und Server) werden eingesetzt?
    Ein SOC-as-a-Service-Anbieter wird höchstwahrscheinlich seine eigenen technologischen Tools verwenden, die in Verbindung mit den vorhandenen Systemen des Unternehmens eingesetzt werden. Daher sollte eine der ersten Fragen lauten, ob die Tools des Anbieters mit der bestehenden IT-Infrastruktur kompatibel sind und zusammenarbeiten können. Etwaige Probleme mit der Interoperabilität müssen zuerst gelöst werden. Ist dies nicht der Fall, besteht das Potenzial für weitere Sicherheitsrisiken.
     
  2. Wie oft werden Schwachstellen-Scans durchgeführt?
    Jeder SOC-as-a-Service-Anbieter hat seine eigenen Zeitpläne für die Durchführung dieser Art von Scans. Sie können beispielsweise alle paar Stunden oder nur einmal am Tag oder sogar nur ein- oder zweimal pro Woche durchgeführt werden. Es muss ein Zeitplan festgelegt werden, der dem Modell der Sicherheitspolitik des Unternehmens entspricht. Ideal ist, wenn der Anbieter die Scans rund um die Uhr und 365 Tage im Jahr durchführt, wie etwa ISPIN dies tut.
     
  3. Werden Audit- und Compliance-Berichte erstellt?
    Mit der Verabschiedung der Datenschutz-Grundverordnung (GDPR) müssen die meisten Unternehmen nun die Vorschriften einhalten, andernfalls drohen empfindliche Geldstrafen. Zu diesem Prozess gehört auch, dass die IT-Infrastruktur regelmässig überprüft und bekannte Bedrohungen und Schwachstellen rechtzeitig behoben werden. Ein SOC-as-a-Service-Anbieter wird höchstwahrscheinlich spezialisierte Audits auf der Grundlage der Geschäftsanforderungen durchführen. Fragen Sie nach, wie oft Audits durchgeführt werden und wie das Berichtsformat strukturiert und präsentiert wird, damit stets die volle Übereinstimmung mit den verschiedenen Rechtsvorschriften gewährleistet ist.
     
  4. Welche Art von Modell verwendet der Anbieter?
    Viele Anbieter, sofern sie gross genug sind, greifen auf andere Distributoren und Wiederverkäufer zurück, die SOC-as-a-Service-Lösungen anbieten. Aus diesem Grund müssen Unternehmen genau wissen, mit wem sie zusammenarbeiten. Alle Distributoren und Wiederverkäufer müssen für die Erbringung von Dienstleistungen vollständig lizenziert und zertifiziert sein. Besser ist, Sie erhalten – wie bei ISPIN - alle Leistungen aus einer Hand. Dann ersparen Sie sich auch Abstimmungs- oder Schnittstellen-Probleme.
     
  5. Wie viel Skalierbarkeit wird angeboten?
    Die meisten Anbieter haben eine Nische oder einen Sweet Spot, in dem sie arbeiten. Vergewissern Sie sich also, dass der Anbieter skalierbar ist, um den sich ändernden Sicherheitsanforderungen gerecht zu werden, und dass er dies auf die richtige Weise tun kann. Der Aufbau einer langfristigen Beziehung zu einem einzigen SOC-as-a-Service-Anbieter ist immer am besten, damit dieser das Unternehmen und die Umgebung versteht.
     
  6. Welche Erfahrung haben die Mitarbeitenden?
    Die meisten SOC-as-a-Service-Anbieter verfügen über sehr erfahrene und qualifizierte Mitarbeitende. Dennoch ist es wichtig, sicherzustellen, dass der Anbieter über die richtigen Qualifikationen für die Art der vorhandenen IT-Infrastruktur verfügt. Dies sollten Sie vor der Unterzeichnung eines Auftragsvertrags überprüfen. Einem ausgelagerten Team einige der wertvollsten IT-Ressourcen des Unternehmens anzuvertrauen, ist eine sehr wichtige Entscheidung. Daher sollten Sie sorgfältig vorgehen.
     
  7. Wird eine Schulung angeboten?
    Bei einigen Anbietern, auch bei ISPIN, ist die Schulung der IT-Mitarbeitenden des Unternehmens Teil der Vereinbarung. Achten Sie daher bei der Auswahl auch auf diesen Punkt. Und fragen Sie auch danach, wie häufig die Experten des Anbieters trainiert werden.

Zusammen. Sicher.

Mit den richtigen Fragen und Abklärungen können Sie den optimalen SOC-as-a-Service-Anbieter eruieren und dadurch in Folge die perfekte Security-Kommandozentrale für Ihr Unternehmen nutzen. Stellen Sie Ihre Fragen am besten unseren erfahrenen Experten und profitieren Sie schon bald von einem ausgelagerten SOC höchster Qualität. 

Kontaktieren Sie uns via cybersecurity[at]ispin.ch oder +41 44 838 3111.

Sie haben einen Security-Notfall – auf uns ist Verlass.
Der richtige Umgang mit Sicherheitsvorfällen ist entscheidend. Incident melden!

 

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top