Security Operations Center (SOC)
Die sogenannte Hafnium-Schwachstelle bei Microsoft Exchange hat gezeigt, warum ein Security Operations Center (SOC) für die meisten Organisationen unerlässlich ist. Lesen Sie, mit welcher Strategie Sie ein SOC als Service erfolgreich in Ihrer Organisation integrieren können.
Schutz vor Hackern durch ein SOC als Service
Am Mittwoch, den 3. März 2021, ist es in Deutschland noch tiefe Nacht, als Microsoft eine folgenschwere Mitteilung veröffentlicht. Auf dem ganzen Globus beginnt in dieser Sekunde ein erbarmungsloser Wettlauf zwischen IT-Administratoren auf der einen und Hackern auf der anderen Seite. Während die eine Seite verzweifelt versucht, Schaden von ihren Organisationen abzuwenden, versuchen die anderen, die bestehenden Lücken auszunutzen. Hacker wollen sich Zugänge verschaffen, Informationen erbeuten oder Opfer mit Verschlüsselungstrojanern um Millionen in Kryptowährung erpressen. Es geht um Schwachstellen in Microsoft Exchange Servern, von denen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) allein in Deutschland zu diesem Zeitpunkt hunderttausende Systeme betroffen sind und aktiv angegriffen werden.
Auch im Security Operations Center von Materna, in dem 24 Stunden am Tag, sieben Tage die Woche, Security-Analyst*innen die IT-Sicherheit der Kunden überwachen, beginnt kurz nach der Veröffentlichung von Microsoft die Analyse. Betreibt einer unserer Kunden Microsoft Exchange Server in seiner Infrastruktur? Ja, ein Kunde hat Exchange im Einsatz! Handelt es sich bei den eingesetzten Systemen um die betroffenen Versionen? Tut es! Gibt es aktuell oder in den letzten Tagen bereits Angriffe, die im Security Information and Event Management (SIEM) sichtbar sind? Gibt es zum Glück noch nicht! Was muss der Kunde jetzt tun?
In Zusammenarbeit mit den Incident Respondern von Materna sind die Systeme nur wenige Stunden nach Microsofts folgenschwerer Veröffentlichung erfolgreich gepatcht. Zudem können die Forensiker des SOCs nach ausführlichen Untersuchungen auf Indicators of Compromise (IOCs) ausschließen, dass die Server bereits infiltriert waren. Im SIEM-System und den Firewalls werden umgehend die neuen Erkenntnisse über Angreifer als Regeln hinterlegt. Schon kurze Zeit später erkennen die Analyst*innen Angriffe, die zu diesem Zeitpunkt aber schon alle geblockt werden. Während des ganzen Prozesses informiert das SOC den Vorstand des Kunden mit ausführlichen und gleichzeitig einfach verständlichen Berichten über alle Schritte.
Langfristige Schäden verhindern
Durch das schnelle Eingreifen des SOC konnte nicht nur jeder Schaden für den Kunden verhindert werden. Genauso wichtig war es, komplette Transparenz über den Vorfall herzustellen und so der Organisation wiederum zu ermöglichen, den Sorgen und Ängsten ihrer Mitarbeitenden und ihrer Kunden mit fundierten Informationen und Berichten zu begegnen. Dies war umso wichtiger, da der Vorfall in den folgenden Tagen für viele Schlagzeilen und viel Unruhe in den Medien sorgte. Etliche andere Firmen konnten sich nicht rechtzeitig vor den Angriffen retten und mussten Schaden erleiden – auch Wochen nach dem Vorfall ist der Gesamtschaden noch nicht abzusehen.
Allein in Deutschland ist laut BSI davon auszugehen, dass zahlreiche Systeme kompromittiert wurden und viele Unternehmen finanzielle Einbußen erlitten. Ein prominentes Beispiel ist der Hersteller Acer, dessen Kundenservice nach einem Angriff, der mit der Exchange-Lücke in Verbindung gebracht wird, zeitweise eingestellt werden musste. Angeblich versuchten die Angreifer, eine Summe von 50 Million US-Dollar von Acer mit Hilfe eines Verschlüsselungstrojaners zu erpressen.
Doch schon vor der Bekanntgabe von Microsoft gab es Angriffe auf die Schwachstelle, wenn auch zunächst nur in gezielten Aktionen. Doch nach der Veröffentlichung ging der Angriff in die Fläche und es wurde im gesamten Internet massenweise nach den verwundbaren Geräten gescannt und diese millionenfach angegriffen. Die ersten Angriffe werden der sogenannten Hafnium-Gruppe zugerechnet – eine Hacker-Gruppe mit vermuteten Verbindungen nach China. Es wird aber davon ausgegangen, dass spätestens nach der Veröffentlichung auch andere Akteure die Schwachstellen ausgenutzt und für kriminelle Angriffe verwendet haben.
Kontinuierliche Überwachung durch SOC geht weiter
Mit der Handlung des SOC hört die Arbeit nicht auf. Auch nach den ersten entdeckten Angriffen gab es weitere „Trittbrettfahrer“. Eine kontinuierliche Überwachung auf immer neue Bedrohungen und Schwachstellen ist daher notwendig.
Der geschilderte Vorfall ist nur ein Beispiel dafür, dass einSecurity Operations Center heute unerlässlich geworden ist. Ein SOC dient Organisationen dazu, unterschiedliche Ziele zu erreichen. Das zuverlässige Erkennen von Cyber-Angriffen ist nur ein Aspekt dabei.
Die wesentlichen Ziele eines Security Operations Center lassen sich wie folgt aufzählen:
-
Erkennung von Angriffen
- Reduktion der Erkennungszeit
- Analyse der Auswirkungen
- Priorisierung eines Vorfalls
- Identifikation von Sofortmaßnahmen (Eindämmung)
- Identifikation von Wiederherstellungsmaßnahmen
-
Überwachung der IT Policies
- Erkennung von inneren Angriffen
- Erhebung von KPIs zur Einhaltung der Policies
- Bewertung von Maßnahmen anhand der Veränderung der KPIs
-
Erkennung von Schwachstellen
- Priorisierung von Schwachstellen
- Strategie für Patchmanagement
- Verringerung von Angriffsvektoren
-
Monitoring von Netzwerkaktivitäten
- Identifikation von schädlichem Verhalten
- Feststellung von Fehlkonfigurationen
- Unterstützung des IT-Betriebs
Der Begriff Security Operations Center (SOC) wird von verschiedenen Akteuren unterschiedlich interpretiert. Materna fasst darunter die folgenden Tätigkeiten zusammen:
- Log Management (Operations und Engineering)
- SIEM (Operations und Engineering)
- Security Analyse Level 1, Level 2 und Level 3
- Incident Response und Forensik
- Vulnerability Scanning und Management
SOC als Herz der IT-Sicherheit
Dabei wird es für Firmen und Behörden immer schwieriger, selbst die Kapazitäten aufzubauen. Das vorhandene Personal ist im Regelfall mehr als genug ausgelastet und am Markt sind kaum die geeigneten Ressourcen zu bekommen. Darum ist es nicht verwunderlich, dass immer häufiger Security Operations Center komplett als Service bezogen werden. Ein SOC stellt in gewisser Weise den zentralen Punkt oder das „Herz“ der IT-Sicherheit und Informationssicherheit da. Daher gibt es einige Dinge zu beachten, wenn das SOC als Serviceleistung bezogen wird.
Falls über die vorhandenen Fähigkeiten noch Unklarheit existiert, macht es Sinn, zunächst die IT-Sicherheit einem Assessment zu unterziehen. Welche Kapazitäten sind bereits da, welche müssen noch aufgebaut werden? Etwas bildlich gesprochen: Organisationen sollten eine funktionierende Burgmauer haben, bevor sie die Wachposten darauf positionieren. Auf Grundlage der individuellen Risiken der Organisation sollten die benötigen IT-Sicherheitsprozesse und Kapazitäten bestimmt werden. Darauf aufbauend ist zu klären, welche dieser Prozesse und Fähigkeiten das Unternehmen selbst leisten und aufbauen kann und wo Unterstützung eines Dienstleisters benötigt wird. Dabei gilt es abzuwägen: Die Organisation selbst verfügt über tiefe Kenntnisse ihrer Geschäftsprozesse und Risiken. Ein etablierter Dienstleister besitzt dahingegen in der Regel jahrelange Erfahrung im Betrieb eines SOC und hat die verschiedenen Prozesse bereits mehrfach aufgebaut und bei verschiedenen Kunden integriert. Beides sind wichtige Wissensschätze, die berücksichtigt werden sollten.
Aus diesem Grund sollte ein Dienstleister in der Lage sein, Services nach dem Baukastenprinzip individuell für seine Kunden anzubieten und maßgeschneidert anzupassen. Dabei ist es wichtig, die Fähigkeiten nicht jedes Mal komplett neu zu erfinden, sondern Verfahren, die sich für andere Kunden und in anderen Umfeldern bewährt haben, an das individuelle Risiko und die individuelle Situation der Organisation anzupassen. So kann die Organisation selbst am meisten profitieren.
SIEM als wichtiger Baustein
Ein besonders wichtiger Baustein für ein SOC ist das SIEM – Security Incident (oder Information) and Event Management. Manchmal wird der Begriff SOC sogar synonym für SIEM verwendet. Ein SIEM ist ein zentrales System, das Logdaten von Security Devices und anderen Quellen sammelt, um sie zentral für Security-Analyst*innen verfügbar zu halten und automatisiert auf mögliche Angriffe zu durchsuchen. Ohne den genauen Angriff zu kennen, lassen sich Regeln definieren, die auf bestimmte Angriffsmuster anschlagen und es so ermöglichen, auch noch neue unbekannte Angriffstechniken zu erkennen – die sogenannten Zero Days.
Auch ein SIEM lässt sich komplett als vollgemanagten Service von einem Dienstleister beziehen. Hierbei sollte eine Organisation ähnlich wie bei den anderen SOC-Prozessen vorgehen. Nach einer Bestandsaufnahme der vorhandenen Kapazitäten und des eigenen Risikos sollte bestimmt werden, welche Prozesse von einem Dienstleister bezogen werden. Hierbei kann sich eine Organisation an den folgenden Paradigmen orientieren:
- Gemeinsam: Sie kennen das Risiko und die Geschäftsprozesse Ihrer Organisation, ein Dienstleister verfügt über die Erfahrung und Threat Intelligence. Beides sollte genutzt werden, um gemeinsam Use Cases und Playbooks zu entwerfen und so den größtmöglichen Nutzen zu erzielen.
- Risikobasiert: Alle eingesetzten Use Cases und alle angeschlossenen Logquellen sollten jeweils von ihrem individuellen Risiko bestimmt sein. Beispielsweise bringt es nichts, vorgefertigte Use Cases zu nutzen, die auf Angriffsmuster gegen ein System prüfen, das in der Organisation überhaupt nicht zum Einsatz kommt. Auf der anderen Seite haben Sie eventuell schlecht geschützte, individuelle Applikationen im Einsatz, für die es noch keine vorgefertigten Use Cases gibt. Da die Überwachung dieser Applikationen aber für Ihre Organisation von hohem Wert ist, sollten hierfür frühzeitig Use Cases entwickelt werden.
- Schrittweise: Um schnellstmöglich die Sicherheit real zu erhöhen, ist es sinnvoll, zunächst mit wenigen Use Cases und Logquellen zu beginnen. Darauf aufbauend können schrittweise Use Cases und Quellen hinzugenommen werden. So sind Sie schnell produktiv und können gleichzeitig agil auf sich verändernde Gefahrenlagen und Anforderungen reagieren.
Das SOC von Materna
Über den Autor
Mehr Informationen:
www.materna.de/cybersecurity