IABG Header
  • Product Presentation
  • Management I
  • Rechenzentren

Zentrales Sicherheitsmanagement über ein Security Operations Center (SOC)

Der Vortrag erläutert die Notwendigkeit eines SOC und gibt strategische Empfehlungen zur Herangehensweise bei dessen Umsetzung

06.10.2020 17:30:00 – 06.10.2020 17:45:00

Bitte loggen Sie sich ein oder registrieren Sie sich vorab, damit Sie an Actions teilnehmen, oder Videos zur Action anschauen können!

Diese Action steht der it-sa 365 Community als Video zur Verfügung.

IABG Header
  • Product Presentation
  • Management I

Der Vortrag erläutert die Notwendigkeit eines SOC und gibt strategische Empfehlungen zur Herangehensweise bei dessen Umsetzung

Sprache: German

Action beinhaltet Q&A: Ja

graphical blue background
close

Dieses Video steht der it-sa 365 Community zur Verfügung. Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Actionbeschreibung

Aufgrund einer immer weitreichenderen und umfassenderen Digitalisierung und Vernetzung der IT- und OT-Infrastrukturen entstehen kontinuierlich neue Angriffsmöglichkeiten, wie Phishing, SQL Injection, Ransomware, Denial of Service oder Advanced Persistent Threats. Die damit einhergehende Risikolage sowie rechtliche und regulatorische Rahmenbedingungen (z.B. IT-Sicherheitsgesetz) erfordern eine immer stärkere Fokussierung auf die Erkennung, das Reporting und die Behandlung von Sicherheitsvorfällen mit Bezug zur IT- und OT-Infrastruktur des Unternehmens. Diese Aufgabe übernimmt typischerweise ein Security Operations Centers (SOC).
Das Aufgabenspektrum eines SOC lässt sich weiter detaillieren, so bestehen klassische Kernaufgaben u.a.
• in der allgemeinen Gewährleistung der Informationssicherheit der IT/OT-Infrastrukturen,
• in der Identifikation von Schwachstellen,
• im Monitoring der IT/OT-Infrastrukturen und der Erkennung von Angriffen / Vorfällen,
• in der koordinierten Behebung von Sicherheitsvorfällen, oder
• in der Messbarkeit des Niveaus der Informationssicherheit.
Darüber hinaus werden klassische Kernaufgaben eines SOC oftmals mit weiteren Aufgaben eines Computer Emergency Response Teams (CERT) / Computer Security Incident Response Teams (CSIRT) kombiniert, wie
• der Beobachtung der allgemeinen Bedrohungslage,
• der Bewertung von Gefahren inkl. Forensik, oder
• der Erstellung Empfehlungen (Advisories).
Ein SOC hat als interner Dienstleister einer Organisation daher zahlreiche Schnittstellen. Es fungiert z.B. als allgemeine Anlaufstelle für Sicherheitsaspekte sowohl von Nutzern als auch von Administratoren und ist darauf bedacht, die Security Awareness in der Organisation kontinuierlich zu erhöhen. Das SOC unterstützt das Management in der Einhaltung der erlassenen Security Policies und stellt bei Bedarf entsprechende Auswertungen, Reportings und Lagebilder zur Verfügung. Für die Erkennung und Behebung von Sicherheitsvorfällen besteht eine enge Zusammenarbeit mit den Betriebsverantwortlichen für die IT/OT-Infrastrukturen.
Die Erkennung von Sicherheitsvorfällen basiert technisch auf der Auswertung einer Vielzahl von Logdaten unterschiedlicher Logquellen, diese Logquellen können z.B. Netzwerkkomponenten wie Router oder Switches, Client- und Serversysteme oder Sicherheitskomponenten wie Firewalls, Viruswalls oder Intrusion Detection Systeme sein. Ein SOC bietet daher meist eine technische Kernfunktion zur zentralen Erfassung und Auswertung von Logdaten, ein sogenanntes Security Information and Event Management (SIEM) System. Dies ermöglicht auch die Korrelation von Logdaten unterschiedlicher Hersteller und Plattformen und damit umfangreiche und effektive Möglichkeiten des Erkennens von Sicherheitsvorfällen. Das SIEM visualisiert dies in einem integrierten Dashboard, generiert entsprechende Events und Alarme und bildet somit eine wesentliche technische Basis für die Erstellung eines gesamten Cyber Security Lagebilds der Organisation.
Aufgrund der umfangreichen Funktionen und Aufgaben eines SOC erfolgt dessen Aufbau in der Regel schrittweise. Zu Beginn empfiehlt sich oftmals die zentrale Erfassung der Logdaten und auf dieser Basis die Erkennung von Sicherheitsvorfällen. Im nächsten Schritt können weitere Aufgaben zur Behebung von Sicherheitsvorfällen hinzugefügt werden bis hin zu Threat Intelligence und Forensik.
Ein wichtiger Aspekt beim Aufbau eines SOC ist die Auswahl des geeigneten Betreibermodells. Denkbar sind hier neben dem klassischen Eigenbetrieb und dem Outsourcing der SOC Aufgaben eine Vielfalt an hybriden Betreibermodellen. In die Entscheidung über das passende Betreibermodell sollten sowohl organisatorische, strategische, technische und wirtschaftliche Aspekte einfließen.
Der Vortrag erläutert die Notwendigkeit eines SOC für den Betrieb von komplexen IT/OT-Infrastrukturen, zeigt dessen Kernfunktionalität und gibt strategische Empfehlungen zur Herangehensweise bei der Umsetzung.

mehr lesen

Speaker

Veranstalter