Cybersecurity braucht eine neue Kommandozentrale

Internes SOC, externe Hilfe

von - 27.01.2020
Automotive-SOC
Automotive-SOC: Die Deutsche Telekom bietet eine zentrale Schutzlösung für vernetzte Fahrzeuge an.
(Quelle: Deutsche Telekom)
Wer bereits ein eigenes SOC betreibt und dieses modernisieren will, kann sich externe Hilfe holen. Anbieter wie Kaspersky haben ein eigenes Portfolio für Security Operations Center. Daneben gibt es Schulungsprogramme von Security-Anbietern zu Malware-Analyse, digitaler Forensik, Reaktion auf Vorfälle und Erkennung von Bedrohungen. Dies unterstützt ein SOC dabei, internes Fachwissen zu erweitern, und ermöglicht eine bessere Reaktion auf komplexe Vorfälle.„Ein SOC umfasst nicht nur die Implementierung eines SIEM-Tools. Es gehören auch relevante Prozesse, Rollen und Taktikhand­bücher dazu, um effektiv zu sein“, betont Veniamin Levtsov, VP Corporate Business bei Kaspersky. „Es sollte
zudem mit einer Schnittstelle für Protokolle und Ereignisquellen sowie effektiven Korrelationsregeln ausgestattet und mit umsetz­baren Threat-Intelligence-Erkenntnissen versorgt werden.” Was Levtsov auch weiß: „Ohne ein Verständnis der größten Security-Hindernisse können CISOs keinen Plan für die Entwicklung eines SOCs aufstellen.“

SOCs für Branchen

Die zunehmenden Cyberbedrohungen und die steigenden Ansprüche an SOCs hängen auch vom Geschäftszweig ab. Entsprechend gibt es bereits spezielle SOCs für einzelne Branchen. Ein Beispiel ist das Automotive-SOC der Telekom. Ein Automotive-SOC operiert ähnlich wie ein reguläres Security Operations Center, ist aber ganz auf die besondere IT-Infrastruktur von Fahrzeugen ausgelegt. Eingerichtet als zentrale Schnittstelle, kann es gezielt auf Bedrohungen reagieren und Fahrzeugflotten vor Angriffen schützen. Für ein spezielles Automotive Security Operations Center sieht die Deutsche Telekom einen klaren Bedarf: Die Hersteller hätten zwar längst begonnen, IT-Sicherheitskomponenten in ihre Fahrzeuge zu integrieren. Doch wie immer in der IT gewährleiste auch das keinen hundertprozentigen Schutz, so das Unternehmen. Zusätzlich werde ein System benötigt, das vernetzte Fahrzeuge und zugehörige IT-Systeme über Jahrzehnte hinweg rund um die Uhr betreue, Cyberangriffe analysiere und die Abwehr stets auf dem aktuellen Stand der Sicherheitstechnik halte.
Um rund 600 Prozent, so der „Automotive Cybersecurity Report 2019“ von Upstream Security, habe zwischen 2010 und 2018 die Zahl der von Herstellern gemeldeten Automotive-Hacks zugenommen, denn auch das Wissen der Hacker über die vernetzten Automobilkomponenten wachse von Jahr zu Jahr. Der Report geht davon aus, dass die Automobilindustrie allein innerhalb der nächsten fünf Jahre mit zusätzlichen Kosten durch Hacker-Angriffe von rund 24 Milliarden Dollar zu rechnen hat. Schon ein erfolgreicher Angriff könne im Extremfall Kosten von mehr als einer Milliarde Dollar verursachen.
Ein umfassender Schutz der Fahrzeug-IT sei deshalb für jeden Hersteller unerlässlich, wolle er nicht Kunden verlieren und damit Marktanteile unnötig aufs Spiel setzen, erklärt die Telekom. Deshalb sei es für Hersteller empfehlenswert, eine zentrale Stelle zu schaffen, an der alle Daten der vernetzten Fahrzeugflotte zusammenlaufen und auf Angriffe untersucht werden.

Fazit & Ausblick

Der Blick auf Unternehmen mit eigenem SOC zeigt: Bestehende SOCs benötigen weitere Lösungen zur Priorisierung der erkannten Vorfälle, um die eingesetzten SOC-Analysten zu entlasten. Zudem müssen die Response-Services ausgeweitet werden, damit sich die SOCs stärker auf die Abwehr konzentrieren können. Unterstützung dafür bieten Cloud-Services und Dienstleistungen von Security-Anbietern.
Wer dagegen ein externes SOC beauftragt hat oder beauftragen will, sollte zusätzliche Anforderungen an den Provider stellen, denn auch viele von deren SOCs haben Optimierungsbedarf. Je nach Branche kann auch ein spezialisiertes SOC das SOC der Wahl sein.
Man kann und sollte bei der Suche nach einem SOC durchaus wählerisch sein, denn es gibt viele Anbieter auf dem deutschen Markt. com! professional hat eine Übersicht mit Anbietern und Tipps zu deren  Auswahl zusammengestellt.

Anbieter / Produkt

Dienstleistungen

8com / 8com Cyber
Defense Center (CDC)

Vulnerability Management, Penetration-Tests, automatische Überwachung von IT-Sicherheitsstandards
(z. B. CIS, BSI IT-Grundschutz), Information Security Awareness, Advanced Threat Detection (SIEM), Honeypots, Intrusion-Detection-Systeme (IDS/IPS), Privileged Account Management und Monitoring, Third Party Monitoring, ERP (z. B. SAP) Security Monitoring, Incident Response Management, Business Continuity Management (BCM) Consulting, Incident-Readiness-Workshops und -Pläne (IRPs), IT Forensics

Axians / Axians SOC as a Service

24/7-Überwachung, Monitoring der Sicherheitssysteme, Incidents und Problemanalyse, Durchführung von Abwehrmaßnahmen bei Angriffen, Cognitive oder AI-Systeme, permanente Anpassung der Abwehrstrategie, regelmäßiges Reporting, Wiederherstellung von Daten und Nachweisen nach einem Sicherheitsvorfall, proaktives Threat Hunting

Alert Logic / Allert Logic SOC

24/7 Incident Monitoring & Management, Security Analytics & Threat Intelligence, Log Collection and Monitoring, Intrusion Detection, Security Event Insights and Analysis, Office 365 Log Collection & Search, Cloud Vendor Security Integrations, User Behavior Anomaly Detection, Anti-Virus Integration

Bechtle / Bechtle Global
Network Operations
Center (GNOC)

24/7 Support, Health- und Verfügbarkeits-Monitoring, Betriebsunterstützung vor Ort im Rahmen eines Onsite-Betriebs, Remote-Betrieb von Security-Infrastrukturen, Security-Monitoring, Log-Analyse, Cyber Defence und Threat Intelligence, Security Incident Management oder als integrierte Leistung im Rahmen eines IT Incident Managements

BT / BT SOC

24/7 Threat Monitoring und Mitigation Services, Distributed Denial of Service (DDoS) Mitigation, Firewall Management, Identity & Access Management (IAM), Penetration Testing, Schutz gegen Malware, Spam und Phishing, Security Consulting und Training

Cancom / Cancom Cyber Defense Services

Einbindung definierter IT Systeme, automatisierte Korrelation und Analyse der Daten, automatische Einstufung der Gefährdung durch abgestimmtes Regelwerk, 1st-Level-Analyse und Bewertung der korrelierten Events, weiterführende 2nd-Level-Analyse unter Einbindung der Threat Intelligence, Alarmierung und Unterstützung des Kunden im Gefahrenfall, Archivierung der Ereignisse (Events) und der Sicherheitsvorfälle (Incidents), laufende Anpassung und Optimierung des SIEM-Systems, toolbasiertes Reporting über Historie und Trends der Ereignisse und Vorfälle, Erstellung von Reports für Compliance- Anforderungen (ISO 27001 und so weiter), optional mit Incident Response

Computacenter / Cyber Defence
Center

Ereignis- und Vorfallsanalysen, Vorfallsbehandlung, Krisenmanagement, Schadcode-/Malware-Analysen, Threat Intelligence/Darknet-Analysen, Hunting on Demand, Pentesting von Infrastrukturen (Ethical Hacking/Red-Team-Testing), SIEM-Lösungen, Tools für User und Entity Behaviour Analytics (UEBA), Security Incident Response Platforms (SIRP), Case-Management-Lösungen, Forensik & Incident Response Tools, Threat Intelligence Feeds/Informationen

Deutsche Telekom / Telekom SOC

Advanced Cyber Defense, Cyber Defense Services für den Mittelstand, Managed Firewall Services, Hotline rund um die Uhr

IBM / IBM Virtual Security Operations Center (SOC)

Daily analysis, Business-focused reports, Support on demand, Event correlation and analysis, Scanning and Penetration Testing Tools

NTT Security /
Managed
Security Services

Services zu Threat Detection, Enterprise Security Monitoring, Endpoint Security Services, Web Security Services (WSS), Public Cloud Native Services, Web Application Firewall as a Service, Vulnerability Management as a Service, Security Device Management

SecureLink / NOC

SecurePrevent (Suite aus Serviceleistungen, die für die Prävention entwickelt wurde, einschließlich Next-Generation Endpoint Management und Vulnerability Management), Maintenance & Operations (operative Dienste für Sicherheitstechnologieplattformen), Support (Rund-um-die-Uhr-Supportleistungen, um Produktausfälle oder Vorfälle zu beheben)

Verizon / Advanced Security Operations Center

24/7-Überwachung, Kooperation der SOC-Analysten mit dem Security-Team des Kunden, tägliche, wöchentliche und monatliche Berichte

Verwandte Themen