Digital Transformation Blog

Digital Transformation Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Die Use case-basierte Einführung eines Security Operations Center (SOC)

Die Presse berichtet mittlerweile regelmäßig von Datendiebstählen und –leaks, welche oftmals eine horrende Schadenssumme aufweisen sowie weitläufige Folgen mit sich führen (Beispiel). Die Art und Weise solcher Cyber-Vorfälle nehmen stetig neue Formen an, angefangen bei Distributed Denial of Service Attacks (kurz DDoS Attacks) bis hin zum gezielten Diebstahl intellektuellen Eigentums mittels Spearphishing.

Um die Auswirkungen solcher Vorfälle durch frühzeitige Erkennung und schnelle Antwort zu minimieren, verwenden Unternehmen Security Information & Event Management (SIEM) Systeme und bauen sogenannte Security Operations Center (SOC) (Link) auf. Trotz eines standardisierten Vorgehens bei der technischen Implementierung, liegt ein häufiges Problempotenzial in der Zusammenführung der Betriebsseite und der IT/ Technologie im Projekt.

Ein agiler, Use Case-basierter Ansatz in drei Schritten kann aus meiner Sicht die Konzeptionierung und fachliche Begleitung einer SIEM/SOC Einführung (neben der technischen Implementierung) optimal unterstützen (siehe Abbildung 1):

 Abbildung 1: Use case-basierter Ansatz zur SIEM/ SOC-Einführung

1: Erfassung der gewünschten Anwendungsbeispiele („Use Cases“)

In der ersten Phase sollten Anwendungsbeispiele identifiziert werden („Use Cases“), welche mit dem SIEM-Tool erkannt werden können. Diese können mit Erfahrungen zu Informationssicherheitsrisiken überprüft und ergänzt werden. Für jeden dieser Use Cases werden im Anschluss die involvierten Systeme identifiziert, welche die benötigten Daten enthalten.

2: Ableitung der Anforderungen an die SIEM-Architektur

Parallel oder nachgelagert zur Entwicklung der Use Cases kann bereits mit der Analyse der bestehenden Cybersecurity-Architektur begonnen werden. Für eine optimale Nutzung des SIEM-Tools sollte idealerweise die gesamte Systemlandschaft eingebunden sein. Unternehmen mit einer komplexen Systemlandschaft und einer Vielzahl an Applikationen sind im Allgemeinen anfälliger für Sicherheitsvorfälle. Außerdem liegt ein spezielles Augenmerk auf Systemen, die finanzielle Transaktionen (z.B. Mobile Payments) oder große Mengen an (vertraulichen) Kundendaten verarbeiten.

3: Definition der SOC Prozesse und Verantwortlichkeiten

Die Konzeptionierung und Implementierung eines SIEM-Tools und einer Security-Architektur ist wesentlich von den organisatorischen und prozessualen Voraussetzungen abhängig. Daher sollten in einer dritten Phase die SOC-Prozesse definiert, die verantwortlichen Parteien identifiziert und einbezogen werden. Zusätzlich werden geeignete Eskalationsprozesse entwickelt und Sicherheitsstufen der jeweiligen Vorfälle ausgearbeitet.

Fazit

Die Vorteile eines Use Case-basierten Vorgehens sind Schnelligkeit und Flexibilität. Die Erkennungsmechanismen sind fachlich individuell anpassbar. Eine schnelle technische Umsetzung erlaubt eine frühzeitige Erfassung und Einarbeitung von Feedback.

Die Vorteile eines kombinierten SIEM/ SOCs sind unabhängig vom Betriebsmodell (Eigenbetrieb vs. SOC-as-a-Service):

  • Vollumfänglicher Blick auf die Informationssicherheits-Lage im Unternehmen (je nach SIEM-Ausprägung)
  • Präventive Maßnahmen und schnelleres Eingreifen bei Vorfällen
  • Schnelleres Identifizieren von Risiken mittels forensischer Analysetools
  • Dedizierte 24/7 Task Force (SOC) bei schwerwiegenden Notfällen mit sofortiger Einsatzbereitschaft (je nach SOC-Ausprägung)
  • Kontinuierliches Risikomonitoring entsprechend der Risikolage im Markt (Gefahrenkatalog)
  • Transparente Definition von Verantwortlichkeiten und Abläufen
  • Effektive Reduktion von Cyber-Vorfällen und Kosten auf Grund von Cyber-Schäden

Haben Sie selbst Probleme bei der fachlichen Anpassung Ihres SIEM/SOCs an betriebliche Anforderungen erfahren? Wie schätzen Sie die Wirksamkeit des beschriebenen agilen, Use Case-basierten Ansatz zur Überwindung dieser Herausforderungen ein? Ich freue mich auf die Diskussion.

Über den Autor

Winkelhake, Bastian
Winkelhake, Bastian
Bastian Winkelhake ist Consultant und Teil des Career Move Programms bei Capgemini Consulting. Sein Interesse an der digitalen Transformation begründet seinen Fokus auf neuen Geschäftsmodellen, innovativen Dienstleistungen und Informationssicherheit. Zuletzt konnte er seine Expertise vor allem in Projekten in der Handels- und Automobilbranche einbringen.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.