Sicherheit kann eine existentielle Frage sein
Die zunehmende Cyber-Kriminalität erfordert von Betrieben neue Konzepte.
In Zeiten wachsender Cyber-Kriminalität ist es unverzichtbar, das Sicherheitsniveau der eigenen ICT-Infrastruktur realistisch einzuschätzen. Viele Unternehmen setzen sich derzeit deshalb mit der Einführung eines Security Operations Centers (SOC) für die Unternehmenssicherheit auseinander. Für viele scheint es der Schlüssel zu sein, um die zunehmend komplexen und raffinierten Cyber-Angriffe erkennen und abwehren zu können. Aber was ist eigentlich ein SOC und warum brauchen Betriebe es?
Die Frage der Zeit
Die Aussage, dass ein mit ausreichenden Mitteln versorgter Angreifer in praktisch jedes Unternehmen und jede Organisation eindringen kann, ist hart, aber aktuell gültig. Viele Security-Experten stellen deshalb nicht mehr die Frage ob, sondern wann ein Angriff gegen Unternehmen erfolgreich ist. Grundsätzlich lassen sich Sicherheitsmaßnahmen in die Kategorien Prävention, Detektion und Reaktion einteilen. Die meisten Betriebe haben präventive Sicherheitsmaßnahmen wie Firewalls oder Anti-Malware Lösungen im Einsatz. Diese sind aktuell immer noch wichtige Bestandteile eines SecurityKonzeptes, können aber immer öfter Angriffe nicht mehr zuverlässig abwehren. Prävention alleine reicht also nicht mehr aus.
Die für die Sicherheit im Unternehmen verantwortlichen Stellen sollten sich daher zwei Fragen stellen: Wie schnell werden Angriffe auf mein Unternehmen erkannt und wie schnell und gut sind wir in der Reaktion? Einen wichtigen Schritt für mehr betriebliche Sicherheit kann ein SOC bieten mit einem Team an hochspezialiserten Security-Analysten. Dieses Team erkennt und analysiert Angriffe, leitet Gegenmaßnahmen ab und unterstützt die Behebung.
SOC-Plattform als Zentrum
Trotz aller technischer Fortschritte etwa bei Künstlicher Intelligenz gibt es nach wie vor keinen Ersatz für die menschliche Expertise. Damit nun diese Analysten ihrer Arbeit auch nachgehen können, müssen sie die Bedrohungslage erkennen wie bewerten können und dafür braucht es die richtigen Informationen und die passenden Werkzeuge. Ein „Security Information and Event Management“System (SIEM) kann dabei die zentrale Plattform bilden. Hier werden alle Informationen (Logs, Events, Netzwerk-Flows, Schwachstellenscans) zusammengeführt und für die Analysten durchsuchbar gemacht und so können auch komplexe Angriffsmuster erkannt werden.
Das Bindeglied zwischen Security-Analysten, Tools des SOC und dem Unternehmen bilden Schnittstellen und Prozesse. Das entsprechende Zusammenspiel all dieser Bereiche und die Integration des SOC in die Unternehmensprozesse sind essentiell. Eine derartige Architektur trägt wesentlich zur Unternehmenssicherheit bei. Betriebe müssen sich jedoch die Frage stellen, ob sie selber ein SOC aufbauen und betreiben möchten, oder ob sie diese Leistung vergleichsweise kostengünstiger bei einem vertrauenswürdigen Partner zukaufen. Für viele Betriebe ist es sicher sinnvoller einen erfahrenen Experten für dieses so sensible Thema zu holen. INTERNET www.t-systems.at