Was ist SOC-as-a-Service (SOCaaS)?

Die Abkürzung SOCaaS steht für „Security Operations Center as a Service“ und bezeichnet ein abonnementbasiertes Modell zur Bereitstellung von Services aus dem Bereich Managed Threat Detection and Response. Zum Leistungsumfang zählen unter anderem branchenführende SOC-Lösungen, mit denen sich personelle Lücken in bestehenden Sicherheitsteams schließen lassen.

Welche Cyberbedrohungen werden im Rahmen von SOCaaS erfasst?

Genau wie ein konventionelles unternehmensinternes SOC unterstützt SOCaaS diverse Prozesse zur Rund-um-die-Uhr-Überwachung der Infrastruktur, zur Bedrohungsabwehr, zur Prävention akuter Gefahren, zur Auswertung von Threat Intelligence und zur Analyse der Angriffsfläche. Dies schließt u. a. Folgendes ein: Internetverkehr, Unternehmensnetzwerk, vorhandene Desktop-PCs, Server, Endgeräte, Datenbanken, Anwendungen, Cloud-Umgebungen, Firewalls, Intrusion-Prevention-Systeme und SIEM-Lösungen.

Das versetzt die Verantwortlichen in die Lage, häufig auftretende Bedrohungen wie Ransomware, DoS- und distributed denial of service (DDoS), malware, Phishing, Smishing, Insiderbedrohungen, den Diebstahl von Anmeldedaten und Zero-Day-Angriffe abzuwehren.

Weshalb benötigen Organisationen Managed Services für ihren Sicherheitsbetrieb?

Laut dem ESG-Forschungsbericht SOC -Modernisierung mit XDR fordern 55 % der Befragten eine Investition in externe Sicherheitsdienste, um ihren Teams mehr Zeit für strategische Sicherheitsinitiativen zu verschaffen. Zugleich sind zahlreiche Teilnehmende der Meinung, dass die Anbieter einschlägiger Managed Services deutlich mehr erreichen können als ihre eigenen Mitarbeitenden: 52 % versprechen sich eine Verbesserung ihrer Sicherheitsprozesse, während 49 % eine Verstärkung ihres SOC-Teams und 42 % die Schließung von Kompetenzlücken erwarten.s

Quelle: -SOC-Modernisierung mit XDR, Enterprise Security Group (ESG)

Welche Vorteile bietet SOC-as-a-Service (SOCaaS)?

Das Outsourcen von Sicherheits-, Datensicherheits- und Sicherheitsmanagementprozessen hat unter anderem die folgenden Vorteile:

• Kosteneinsparungen
• Schnellere Bedrohungserkennung und -abwehr für eine bessere Reaktion auf sicherheitsrelevante Ereignisse
• Zugriff auf branchenführende Sicherheitslösungen
• Entlastung interner SecOps-Teams
• Kontinuierliches Monitoring
• Senkung der Anzahl der Fehlalarme und der Warnungsmüdigkeit
• Eindämmung der Mitarbeiterfluktuation und Vermeidung von Burnouts – durch die Entlastung der Teams von zeitraubenden Routineaufgaben
• Geringere Komplexität
• Minimierung des Cyberrisikos
• Verbesserte Skalierbarkeit und Agilität – mit Vorteilen für die Realisierung geschäftlicher Zielsetzungen

Umgekehrt weisen viele ältere SOC-Infrastrukturen Defizite in verschiedenen Bereichen auf:

• Mangel an Transparenz und Kontextdaten
• Zunehmende Komplexität der Untersuchungsabläufe
• Fehlende Interoperabilität der Systeme
• Fehlende Automatisierung und Orchestrierung
• Keine Möglichkeit zur Erfassung, Verarbeitung und Kontextualisierung von Threat Intelligence
• Warnungsmüdigkeit und mangelnde Übersicht durch eine hohe Fehlalarmquote der Sicherheitskontrollen

Somit zeichnet sich SOCaaS im direkten Vergleich durch die nachstehenden Vorzüge aus:

Lückenloser Schutz

Erfahrene Analysten überwachen rund um die Uhr Alarme, Ereignisse und Gefahrenindikatoren. Außerdem haben Sie die Möglichkeit, zuverlässige Threat Intelligence und praxisrelevante Bedrohungs- und Auswirkungsberichte in Ihre Prozesse zu integrieren. Aus dieser umfassenden Datengrundlage lassen sich zielführende Hinweise für die proaktive Bedrohungssuche gewinnen.

Kürzere Reaktionszeiten

Wenn die Reaktion auf akute Vorfälle weniger Zeit in Anspruch nimmt, verkürzt sich neben der Verweildauer der Angreifer auch die mittlere Dauer der Untersuchung und Behebung erkannter Bedrohungen.

Effektive Threat Prevention und Bedrohungssuche

SOCaaS versetzt Sicherheitsteams in die Lage, mehr Zeit auf die proaktive Suche nach bekannten Angriffstaktiken, -techniken und -prozessen (TTPs) zu verwenden. Das erleichtert auch die Identifizierung neuer Sicherheitslücken in Ihrer Infrastruktur.

Bereitstellung aller nötigen Kenntnisse

Obwohl die personelle Struktur eines SOC von Unternehmen zu Unternehmen variiert, umfasst sie in vielen Fällen gängige Rollen und Verantwortungsbereiche, darunter die SOC-Leitung, Incident-Response-Experten sowie Sicherheitsanalysten der Stufen 1 bis 3. Außerdem kann ein so zusammengesetztes Team noch um Sicherheitstechniker, Sicherheitslückenmanager, Experten für die Bedrohungssuche, Forensiker und Complianceprüfer ergänzt werden.

Umsetzung von Complianceanforderungen und gesetzlichen Bestimmungen

Die Überwachungsfunktionen des SOC leisten einen wichtigen Beitrag zur Umsetzung des CCPA, der DSGVO und anderer Compliancevorgaben, die spezifische Monitoringmechanismen vorschreiben.

Das gilt insbesondere in Sparten wie dem Gesundheitswesen, der Finanzbranche und dem Einzelhandel, wo spezielle Maßnahmen für ein proaktives Risikomanagement erforderlich sind. Die Liste einschlägiger Bestimmungen umfasst unter anderem den HIPAA-, FINRA- und PCI-Standard zum Schutz der Datenintegrität.

Verstärkung des Sicherheitsteams

Neben Sicherheitslösungen und Softwaretools ist menschliches Know-how der wichtigste Erfolgsfaktor in einem Security Operations Center.

Besonders bei einfachen, repetitiven Aufgaben sorgen maschinelles Lernen und Automatisierung für kürzere Reaktionszeiten, mehr Genauigkeit und eine effizientere Schadensbehebung. Dennoch ist und bleibt die Anwerbung, Schulung und Bindung qualifizierter Techniker, Analysten und Systemarchitekten integraler Bestandteil jeder kohärenten Strategie der SOC-Transformation.

Kriterien für die Wahl eines SOC-Design

Es gibt verschiedene Möglichkeiten, ein SOC zu entwerfen, einzurichten und zu betreiben. Einen Überblick bieten hier Manfred Vielberth, Fabian Böhm, Ines Fichtinger und Günther Pernul, die in ihrem Whitepaper, Security Operations Center: A Systematic Study and Open Challenges verschiedene SOC-Betriebsmodelle und verschiedene wichtige Aspekte der Implementierung vorstellen.

• Geschäfts- und IT-Strategie des Unternehmens: Von der Unternehmensstrategie hängt maßgeblich ab, welches SOC-Betriebsmodell am besten geeignet ist. Deshalb sollte die Unternehmensstrategie unbedingt vor der Wahl des Betriebsmodells festgelegt werden.
• Branche: Die Branche, in der ein Unternehmen hauptsächlich tätig ist, hat maßgeblichen Einfluss auf den erforderlichen Abdeckungsbereich des SOC.
• Größe: Weiterhin von Bedeutung ist die Größe des Unternehmens, da ein Klein- oder Kleinstbetrieb möglicherweise nicht über die nötigen Kapazitäten für die Einrichtung und den Betrieb eines SOC verfügt oder auch ohne dediziertes SOC geschäftsfähig ist.
• Kostenaspekte: Die Kosten für die Einrichtung und den Betrieb eines unternehmensinternen SOC müssen sorgfältig gegen die Ausgaben für das Outsourcen der Sicherheitsprozesse abgewogen werden. In dieser Hinsicht kann sich die Bereitstellung eines eigenen SOC anfänglich als teurer, langfristig jedoch als kosteneffizienter erweisen. Ein weiterer entscheidender Faktor sind die erforderlichen Mittel für die Rekrutierung und Schulung der SOC-Mitarbeitenden, wobei insbesondere der wachsende Fachkräftemangel und Personalbedarf der Branche zu berücksichtigen sind.
• Zeitaufwand: Die Einrichtung eines SOC nimmt viel Zeit in Anspruch und muss daher genau auf die Planung des Unternehmens abgestimmt werden. Deshalb ist auch hinsichtlich des Zeitbedarfs wieder ein Vergleich mit Outsourcingalternativen empfehlenswert.
• Relevante Bestimmungen: Je nach Branche müssen bei der SOC-Implementierung verschiedene gesetzliche Vorgaben beachtet werden. Diese Bestimmungen lassen einigen Unternehmen weite Spielräume bei der Einrichtung eines SOC, untersagen anderen hingegen das Outsourcen der SOC-Prozesse – zumindest an bestimmte, nicht richtlinienkonforme Anbieter.
• Datenschutz: Viele gesetzliche Bestimmungen betreffen den Umgang mit personenbezogenen Daten und verdienen daher besondere Beachtung.
• Verfügbarkeit: Die Verfügbarkeit von SOCaaS-Angeboten ist ebenfalls ein entscheidender Gesichtspunkt. So sind die meisten Unternehmen auf einen unterbrechungsfreien SOC-Betrieb rund um die Uhr und das ganze Jahr über angewiesen.
• Unterstützung durch das Management: Bei der Einrichtung eines dedizierten SOC ist es entscheidend, dass die Unternehmensleitung umfassend über die Vorteile eines solchen Projekts informiert wird. Ansonsten besteht die Gefahr, dass das Management nicht mitzieht und die Bereitstellung der nötigen Mittel unterbindet.
• Integration: Die Prozesse eines internen SOC müssen primär mit anderen Bereichen der IT-Abteilung integriert, die Prozesse eines externen SOC dagegen mit diversen Datenquellen im Unternehmen verbunden werden.
• Schutz vor Datenverlusten: Im SOC werden oft beträchtliche Mengen sensibler Daten zusammengeführt und zentral verarbeitet. Daher muss ein unternehmensinternes SOC durch starke interne Kontrollmechanismen gesichert, der Schutz eines externen SOC dagegen an einen vertrauenswürdigen Anbieter übertragen werden. In diesem Zusammenhang kommt es insbesondere darauf an, dass der Diebstahl und die versehentliche Offenlegung geistigen Eigentums und anderer kritischer Daten verhindert werden.
• Experten-Know-how: Die nötigen Kenntnisse für den Betrieb eines SOC sind nicht leicht zu finden und müssen oft im Rahmen zeit- und kostenintensiver Schulungen aufgebaut werden. Daher stellen die Rekrutierung und Bindung von Mitarbeitenden wichtige Faktoren dar, wenn das Management die Einrichtung eines internen SOC anstrebt. Wie unschwer einzusehen ist, entfallen diese Herausforderungen beim Outsourcen an einen externen SOC-Anbieter, dessen Teams möglicherweise bereits bei der Unterstützung anderer Unternehmen einschlägige Erfahrungen gesammelt haben. Zugleich führt die Auslagerung langfristig zu einer Verminderung des unternehmensintern vorhandenen Know-hows.

Entscheidende Vorteile eines Managed SOC

Neben verschiedenen unternehmensinternen und hybriden SOC-Designs gibt es auch im Bereich Managed SOC unterschiedliche Modelle. Letztere umfassen – genau wie ihre konventionellen Alternativen – Prozesse und Maßnahmen zur Auswertung aktueller Informationen über Sicherheitslücken, Bedrohungen und Risiken sowie zur Überwachung der Angriffsfläche der Organisation, einschließlich des IT-Netzwerks, des Gerätebestands, der Anwendungen und der Endpunkte.

Dabei ist grundsätzlich zwischen zwei Bereitstellungsmodellen zu unterscheiden:

• Cloudbasierte Dienste von Anbietern für Managed Security Services, die automatisierte Prozesse nutzen
• Lösungen aus dem Bereich Managed Detection and Response (MDR) mit weitreichender Expertenunterstützung für präventive und komplexe Maßnahmen, beispielsweise bei der proaktiven Bedrohungssuche

Letztlich bieten beide Varianten von Managed-SOC-Services wertvolle Unterstützung in puncto SOC-Management, besonders für kleine und mittlere Unternehmen.

Das gilt auch für die Suche nach qualifizierten Sicherheitsexperten, die den Aufbau und Betrieb des SOC übernehmen und die steigenden gesetzlichen und unternehmensspezifischen Anforderungen an die IT-Sicherheit erfüllen können. Denn mithilfe externer Profis können Organisationen den Abdeckungsbereich ihres SOC sofort ausweiten und Threat Intelligence aus verschiedenen Quellen und Datenbanken zur Hebung des eigenen Sicherheitsniveaus nutzen. Zugleich profitieren die Verantwortlichen in vielen Fällen von einem höheren ROI.

Darüber hinaus ist zu beachten, dass viele Angreifergruppen derzeit eine eigene Form der digitalen Transformation durchlaufen und verstärkt auf Automatisierung setzen. Bei der Bekämpfung dieser Bedrohung verspricht eine Investition in Managed Security Services wertvolle Vorteile, da einschlägige Anbieter sowohl eine lückenlose Abdeckung als auch die Einhaltung von Service-Level-Vereinbarungen (Service Level Agreements, SLAs) bezüglich der Bereitstellung von Diensten, Software-Updates und Patches garantieren. Damit leisten sie einen wichtigen Beitrag zur Vorbereitung der Unternehmen auf neue Bedrohungen.

Herausforderungen beim Umstieg auf Managed SOC

Das Outsourcen von Sicherheitsprozessen hat einerseits vielfältige Vorteile, geht jedoch andererseits mit möglichen Herausforderungen und Einschränkungen einher. Daher sollten Sie unbedingt große Sorgfalt walten lassen, wenn Sie Serviceangebote, Lösungen und SLAs miteinander vergleichen.

Onboarding

Anbieter für Managed-SOC-Services nutzen üblicherweise ihren eigenen Sicherheits-Stack. Das bedeutet, dass die betreffenden Lösungen zunächst konfiguriert und implementiert werden müssen, bevor die SOC-Bereitstellung beginnen kann. Mögliche Folgen sind zeitintensive Onboardingprozesse und zusätzliche Sicherheitsrisiken in der Übergangsphase.

Übermittlung kritischer Daten

Um potenzielle Bedrohungen schnell erkennen und abwehren zu können, benötigt ein SOCaaS-Anbieter Einblick in das Netzwerk des Kundenunternehmens. Als Grundlage dienen hier riesige Mengen sensibler Daten und Informationen, deren Übermittlung jedoch potenzielle Datensicherheitsrisiken, neue Sicherheitslücken und zusätzliche Herausforderungen mit sich bringt.

Datenspeicherung außerhalb der Organisation

Die Aufbewahrung sensibler Threat Intelligence und Analysen durch externe Anbieter erhöht das Risiko von Datendiebstählen und -verlusten – insbesondere, wenn Ihre Cyberabwehr kompromittiert ist oder Sie Ihren Servicevertrag kündigen. Umgekehrt hindert die Beschränkung auf unternehmensinterne Quellen die Verantwortlichen an der effektiven Verfolgung und Analyse eingehender Alarme, weil viele historische Daten über Bedrohungen und Sicherheitsverletzungen außerhalb des Perimeters verarbeitet werden.

Kosten für die Übermittlung von Daten und Protokolldateien

Viele SOC-as-a-Service-Angebote basieren auf der Implementierung von Sicherheitslösungen in der Umgebung des Kundenunternehmens. Die dort erfassten Netzwerkdaten dienen dann als Grundlage für die Erzeugung von Protokolldateien und vorfallsbezogenen Analysen im Netzwerk und auf den Systemen des jeweiligen Anbieters. Das kann später den Zugriff auf die vollständigen Protokolle des Managed SOC erschweren und zu einem kostenintensiven Prozess machen.

Kein dediziertes IT-Sicherheitsteam

Da die Rollen, Zuständigkeiten und der Abdeckungsbereich eines SOC von Organisation zu Organisation variieren, zeigen sich möglicherweise schnell Effizienzdefizite, wenn die Verantwortlichen eine Einheitslösung implementieren, statt ein genau auf ihre Infrastruktur abgestimmtes Team zu bilden. Das gilt auch bei Inanspruchnahme der Unterstützung eines externen SOC-Teams, dessen Dienste eventuell nicht individuell anpassbar sind und zeitgleich für mehrere Organisationen bereitgestellt werden.

Mangelndes Wissen über die Branche des Kunden

Bei der Bereitstellung von SOC-Services und -Ressourcen für mehrere Organisationen entgehen dem Anbieter möglicherweise Sicherheitslücken in Kundenumgebungen, wenn die betreffenden Mitarbeitenden keine Erfahrung mit den jeweiligen Geschäftsmodellen und -prozessen haben.

Komplexe Datenschutzvorschriften und Compliancevorgaben

Da die für digitale Organisationen geltenden Bestimmungen immer umfangreicher und unübersichtlicher werden, stehen die dortigen Verantwortlichen mehr denn je in der Pflicht, passende Kontrollen und Richtlinien zu ihrer dokumentierten Umsetzung einzurichten. Auch wenn ein Managed SOC hier wertvolle Unterstützung bietet, resultiert die Einbeziehung eines Drittanbieters meist in zusätzlichen Vorgaben, deren gemeinsame Umsetzung nur auf der Grundlage eines engen Vertrauensverhältnisses gelingen kann.

Begrenzte Möglichkeiten zur Anpassung der Services

Nur wenige externe SOC-Dienste lassen sich hinsichtlich ihres Leistungsumfangs komplett an die jeweiligen Anforderungen anpassen, weil sie zeitgleich für mehrere Kunden bereitgestellt werden. Diese Einschränkung kann eine effiziente Zusammenarbeit mit den verschiedenen Abteilungen der betreffenden Organisation erschweren und den Schutz bestimmter Endpunkte, Netzwerke und anderer Systeme entscheidend schwächen.

Somit lässt sich zusammenfassend feststellen, dass ein dediziertes SOC Organisationen zahlreiche Vorteile bietet und unter anderem die zentralisierte Überwachung des Netzwerks, die Senkung der Sicherheitsausgaben sowie eine verbesserte Zusammenarbeit ermöglicht. Denken Sie immer daran: Cyberkriminelle schlafen nicht. Deshalb sollten Sie Ihre Anstrengungen ebenfalls intensivieren.

Einen umfassenderen Überblick über moderne Security Operations Center finden Sie auf der Seite Was ist ein SOC?