13.11.2019 / Kategorie: ISPIN Viewpoint
Der Aufbau eines Security Operation Center ist für viele Unternehmen ein wesentlicher Schritt, das Gesamtgebilde, einzelne Abteilungen oder bestimmte Geschäftsprozesse abzusichern und Transparenz zu schaffen. Die wesentlichen Anforderungen an das SOC, seine Stellung, die Aufgaben und alle Einflussfaktoren müssen sorgsam beschrieben und definiert werden. Darauf aufbauend sind die Erwartungen an das SOC (Mission) und seine gewünschte Entwicklung (Vision) herauszuarbeiten. Schliesslich ist die wichtige Entscheidung zu treffen, entweder das SOC selbst aufzubauen und intern zu betreiben (Make), oder die Dienste zum Teil oder ganz bei einem geeigneten Provider zuzukaufen (Buy). Einiges spricht dafür, mit einer Buy-Strategie zu beginnen. Sie entschärft wesentliche Problemstellen wie Mitarbeiterrekrutierung, insbesondere im Bereich der Analysten, den Zeitdruck und die Installierung geeigneter Technologien und Prozesse. Dabei bleibt die Möglichkeit, zu gegebener Zeit einen sanften Übergang zum Eigenbetrieb zu gewährleisten. Sowohl der Aufbau als auch der Betrieb eines SOC sind sich immer wieder wandelnder Prozess. Was heute Standard ist, muss ständig überprüft werden.
Angesichts vielfältiger und zunehmender Bedrohungen, z. B. durch Advanced Persistent Threats, sind viele Firmen gezwungen, ihr Unternehmen und ihre Geschäftsprozesse über ein Security Operation Center (SOC) abzusichern. Eine wichtige Entscheidung ist zu treffen: Wird das SOC intern betrieben (Make), oder ist es besser, es als Outsourcing Komponente bei einem vertrauten Managed Security Service Provider (MSSP) einzukaufen (Buy). Die hierfür relevanten Überlegungen betreffen langfristige Investitionen und verlangen differenzierte Abwägung der verschiedenen Möglichkeiten. Zudem nimmt das SOC eine wesentliche Position im Unternehmen ein. Eine fundamentale Veränderung eines SOCs oder gar die Dekommissionierung dieser Einheit bringt grosse Herausforderungen mit sich – sie ist aufgrund des getätigten Aufwandes und der zusätzlich anfallenden Kosten meistens keine lohnende Alternative.
Grundlegend ist, dass ein SOC Anomalien nur dann gut erkennen kann, wenn es als zentrale Einheit für sämtliche Informationen im Unternehmen etabliert wird. Daher nimmt es die wichtigste Schlüsselrolle in Bezug auf korrekte wie auch inkorrekte Informationsflüsse ein. Jedoch beinhaltet ein SOC nicht nur Technologie, sondern – und dies ist weit wichtiger – es lebt von einem Team erfahrener Analysten.
Eine solche Einheit muss sehr viele Schnittstellen für den Informationsfluss aus anderen Abteilungen bereitstellen, um ihre Hauptaufgabe zu erfüllen: Die Überprüfung auftretender Abweichungen vom Normalzustand. Über diese Schnittstellen kommen nicht nur Informationen ins SOC, sondern über sie fliessen auch eine Fülle wichtiger Informationen, die das SOC generiert Dies sind Erkenntnisse zur Sicherheitslage des Unternehmens, zur Situation einzelner Abteilungen oder zu bestimmten Geschäftsprozessen. Diese Erkenntnisse werden vom SOC jeweiligen Unternehmensbereichen, die die empfohlenen Maßnahmen realisieren müssen, als Report oder Dashboard zur Verfügung gestellt.
In erster Linie muss exakt definiert werden, was von einem SOC erwartet wird (Mission), und wohin es sich entwickeln soll (Vision). Deshalb ist empfehlenswert, sich über das grössere Ziel (Vision) bzw. dessen Auftrag (Mission) Klarheit zu verschaffen. Zum einen kann nur so allen Stakeholdern unmissverständlich der Umfang eines SOCs klar gemacht werden. Zum anderen ist nur auf diese Weise möglich, einen Business Case bzw. die Budgetierung für die gesamten Langfristinvestitionen (2-3 Jahre) realitätsnah zu berechnen.
Folgende Grundüberlegungen, zu denen je nach Gegebenheiten noch weitere kommen können, sind für eine SOC Mission und Vision essenziell:
Um eine Vision in den nächsten 2-3 Jahren zu realisieren, muss geklärt werden, wo man heute steht und welche Elemente bzw. Meilensteine in welcher Zeit zu erreichen sind. Eine IST-Analyse der aktuellen Situation ist deshalb unumgänglich. Sie klärt, ob Teilbereiche bereits partiell oder komplett existieren. Gerade in Bezug auf die Rekrutierung der neuen Mitarbeiterrollen ist die Erkenntnis wichtig, ob sich Unternehmensmitarbeiter in diese neuen Rollen einarbeiten können bzw. sich dorthin entwickeln möchten.
Nach der Klärung der Vision und der Aufnahme der IST-Analyse können über Vergleiche wichtige Bereiche identifiziert werden. Zum einen diejenigen, welche für die SOC Vision noch zu entwickeln sind, zum anderen die Bereiche, die zum Teil bereits existieren und daher noch einer Teil-Entwicklung bedürfen. Schliesslich jene, welche bereits komplett realisiert sind, jedoch u. U. in der Organisation verändert werden müssen. Dies gilt vor allem bezüglich der Berichterstattung.
Ein SOC ist kein Projekt mit definiertem Anfang und Ende, sondern es ist der Weg zu einer transparenten und somit realen Einschätzung der Bedrohungslage. Daher sind für die Realisierung der SOC Vision Meilensteine bzw. Strategie-Ziele über die Jahre zu definieren. Dies ist wesentlich, um Leistung und Mehrwerte unterjährig zu messen und zu berichten. Sind keine Strategie-Ziele definiert, besteht die Gefahr, dass ein SOC nicht mehr fokussiert zur SOC Vision entwickelt wird. Dadurch entstehen eventuell Mehrkosten durch nicht aufeinander abgestimmte Veränderungen, welche nicht budgetiert sind und deren Investitionen somit nur schwer begründbar sind. Dennoch muss es möglich sein, dass sich das SOC stetig an die Entwicklung des Unternehmens, der Kunden und an die allgemeine Bedrohungslage anpasst. Hierfür ist sehr wichtig, die SOC Vision und die abgeleiteten Strategie-Ziele regelmässig zu überprüfen und bei Notwendigkeit offiziell zu modifizieren.
Ein Neuaufbau eines SOC verlangt die Evaluation der Technologie und die Definition und Realisation der Prozesse. Eine weitere wichtige Aufgabe ist die Rekrutierung der neuen Rollen. Diese können entweder durch Entwicklung interner Mitarbeiter oder durch externe Rekrutierung erreicht werden. Bei beiden Möglichkeiten ergibt sich jedoch ein längerer Vorlaufprozess, bis die Personen geschult bzw. gefunden und eingestellt sind. Die relevanten Rollen sind im Cyber Defense Umfeld stark nachgefragt, und Mitarbeiter sind somit schwer zu finden und zu halten. Weiterhin ist zu berücksichtigen, dass hinsichtlich der Qualifikation der Mitarbeiter jahrelange Erfahrung zählt – und diese kann nicht alleinig durch Schulung oder Weiterbildung erreicht werden.
SOC Realisations-Projekte werden oftmals aufgrund von besonderen Ereignissen realisiert. Vielfach sind es nicht erfüllte Compliance Richtlinien, die durch ein Audit entdeckt wurden, oder aufgrund von geänderten Kundenanforderungen, oder es liegen neue Bedrohungssituationen vor bzw. ein erfolgreich getätigter Angriff auf das Unternehmen wurde entdeckt. Somit stehen SOC Realisations-Projekte häufig unter starkem Zeitdruck. Gerade deswegen ist eine Vorlaufphase von ein bis zwei Jahren vor dem GoLive, um die benötigte Mannschaft einzustellen, möglicherweise schwer zu vermitteln. Problematisch ist dabei auch, dass es häufig den Wunsch gibt, das SOC solle bereits vom ersten Tag an produktiv arbeiten.
Natürlich will man den Bedürfnissen nach umgehender Handlungsfähigkeit des SOC nahekommen. Daher empfiehlt es sich, auch wenn die SOC Vision eine reine Make-Strategie verfolgt, in einem Hybrid-Modell oder zu Beginn mit einer reinen Buy-Strategie zu starten. Die Buy-Strategie hat den grossen Vorteil, dass sämtliche Themenpunkte der SOC Vision bereits definiert und realisiert sind. Beispielsweise stehen die Spezialisten bereits zur Verfügung und sämtliche SOC Dienstleistungen können aus einem bereits existierenden Service Katalog ausgewählt werden usw. Die Buy-Strategie nimmt also den Zeitdruck und der SOC Aufbau kann über eine realistische Zeitspanne hinweg erfolgen.
Ein weiterer wichtiger Vorteil einer anfänglichen Buy-Strategie ergibt sich zusätzlich: Über eine angemessene Zeit hinweg können die SOC Dienstleistungen vom Service Erbringer zum Service Bezieher transformiert werden.
Ergänzend zeigt sich ein Vorteil dieser Strategie bei Aufgaben, die in der ersten SOC Vision als eigens zu schaffende Elemente definiert wurden. Wenn sich der Fokus dieser Aufgaben über die Zeit verändert, kann man sie weiterhin beim Service Erbringer einkaufen. Das erlaubt dem Unternehmen, den Fokus mehr auf die businessnahen Disziplinen zu richten.
Nicht zu vergessen ist der Mindest-Zeitbedarf, den ein SOC Neuaufbau verlangt, um ohne Buy-Strategie zumindest teilweise produktiv zu werden. Selbst um ein Teil-SOC zu etablieren, ist allein für die Rekrutierung eine Zeitspanne von einem halben bis zu einem Jahr zu kalkulieren. In diesem Fall entsteht jedoch kein 24x7 SOC, sondern lediglich eine Verfügbarkeit zu firmenüblichen Tageszeiten ohne Pufferkalkulation aufgrund von Ferien und Krankheit. Erfahrungsgemäss rechnet man mit zwei Jahren, bis eine SOC Mannschaft für einen 24x7 Betrieb verfügbar ist. Neben der Rekrutierung müssen die Evaluation und Realisation der adäquaten Technologien sowie die Definition und Etablierung aller notwendigen Prozesse vorgenommen werden.
Der Aufbau eines SOC bietet bestechende Mehrwerte für das Unternehmensbusiness. Daher ist der Wunsch verständlich, die SOC Mehrwerte umgehend nach dem Projektstart zur Verfügung zu stellen. Daraus ergibt sich für solche Projekte in der Regel erheblicher Zeitdruck. Jedoch verlangt der SOC Aufbau, komplexe Technologien und Prozesse neu zu evaluieren, zu entwickeln und zu realisieren, wofür wiederum ein realistischer Zeitraum einzuplanen ist. Für die Probleme im Recruiting-Sektor gilt gleiches. Sie verlangen sachlich und zeitlich erheblichen Einsatz. Weiterhin sollte man gerade über die SOC-Aufbaujahre dynamisch auf die sich verändernden Anforderungen reagieren können. Schliesslich ist die gesamte SOC Vision regelmässig zu prüfen: Gegebenenfalls gilt es, Änderungen vorzunehmen, ohne den Aufbau des SOC zu stark zu kompromittieren.
Zweifellos zeigen sich hier bestimmte, schwer aufzulösende Widersprüche. Die Lösung besteht in einer zumindest anfangs zu wählenden Buy-Strategie: Die belastenden und zeitkritischen Problemstellen greifen nicht, da der Service Erbringer die Leistungen unmittelbar bereitstellt. Dies entlastet enorm und ermöglicht Fokussierung auf das Kerngeschäft. Zugleich hält sich das Unternehmen in einem sehr vielschichtigen Umfeld alle Wege offen, baut Erfahrungen auf und kann im Zeitverlauf ohne Druck die eigene Vision weiterverfolgen.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications