All Eyes on SOC

Managed SOC für IT-Dienstleister

Unterstützung für den Aufbau von Managed SOC-Angeboten

Warum ist das Thema SOC so wichtig?

IT-Sicherheit bleibt das führendes Thema im Unternehmensbereich: Der aktuelle Bedrohungsbericht der Versicherungsgesellschaft Allianz weist Cyberangriffe an Platz 1 der Business-Risiken im vergangenen Jahr aus. Die meisten Unternehmen haben deshalb mittlerweile in professionelle IT-Sicherheitslösungen oder Managed Security Services investiert: Firewalls, Endpoint-Schutz, E-Mail-Sicherheit und vieles mehr. Doch damit sind die IT Security-Herausforderungen nur zum Teil gelöst:

  • Übersichtlichkeit: Dutzende Security-Lösungen, unterschiedliche Hersteller, viele Dashboards - und kaum Vernetzung.
  • Interpretation: Massenhaft Logs, Events & Alarme - Welche Ereignisse aus unterschiedlichen Systemen gehören zusammen und ergeben ein kritisches Gesamtbild?
  • Reaktion: Kann 24/7/365 auf Vorfälle reagiert werden? Was ist die beste und schnellste Reaktion auf den akuten Angriff?
  • Stand der Technik: Erfüllt meine IT-Security alle aktuell gültigen gesetzlichen Vorgaben, um auch rechtlich auf der sicheren Seite zu sein?
  • Cyberrisk-Versicherung: Erfülle ich die Voraussetzungen für eine (bezahlbare) Police? SOC / MDR sind relevante Kriterien.

Die Lösung für all diese Herausforderungen bietet ein Security Operations Center (SOC). Die meisten Unternehmen sind bei diesem Thema auf die Hilfe von externen Fachleuten angewiesen - und fragen beim IT-Dienstleister ihres Vertrauens nach einem Managed SOC bzw. SOC as a Service (SOCaaS).

Die entscheidende Frage für IT-Dienstleister:

Systemhäuser, MSP, VAR und Co., die ein gemanagtes SOC anbieten möchten, müssen sich fragen:

-> Baue ich ein Managed SOC komplett selbst auf?

-> Oder integriere ich Software & Personal von spezialisierten Anbietern in meine Managed SOC Services (Kooperation)?

-> Oder verkaufe ich fertige Angebote eines Herstellers lediglich weiter (Resale)?

Infinigate hilft Ihnen dabei, die richtige Entscheidung zu treffen!

Was ist ein SOC?

Im Allgemeinen ist ein Security Operations Center (SOC) eine organisatorische Betriebseinheit mit dem Ziel, Cyberbedrohungen zu erkennen und abzuwehren:

Ein SOC operiert dabei in vier Phasen:

  1.  Monitoring: Sicherheitsvorfälle werden im Rahmen einer 24/7/365 Überwachung entdeckt.
  2.  Analyse: Speziell ausgebildete SOC-Analysten untersuchen und bewerten den Vorfall und geben Handlungsempfehlungen
  3.  Abwehr: Incident Response-Experten leiten sofortige Gegenmaßnahmen zur Eindämmung und Lösung des Vorfalls ein.
  4. Prävention: Potenzielle Sicherheitslücken, die für einen Angriff dienen könnten bzw. gedient haben, werden identifiziert und beseitigt.
Neben den genannten Aufgaben liefert ein SOC auch lückenlose Analysedaten zur Forensik und Beweissicherung, zum Beispiel für meldepflichtige Vorfälle.

Voraussetzungen für ein SOC

Aus technischer Sicht baut ein SOC auf der bereits bestehenden IT-(Security)-Infrastruktur auf. Beispiele für typische Lösungen, die in vielen Unternehmen im Einsatz sind: Firewall, Endpoint- & Server Protection, MDM, Mail Protection etc. Eine zentrale Grundlage für jedes SOC bildet ein Security Information and Event Management (SIEM), das je nach SOC-Anbieter bereits inkludiert ist oder gesondert erworben werden muss.

Kompatibilität ist wichtig

Aus Sicht eines SOC-Analysten gilt der Grundsatz: Die Analyse und Abwehr wird umso schlagkräftiger, 

  • je mehr Lösungen angebunden sind und
  • je mehr Informationen diese Lösungen erfassen.
Gute SOC-Lösungen zeichnet daher u. a. aus, dass sich möglichst viele Systeme verschiedenster IT-Infrastrukturen anbinden lassen.

Doch nicht nur SOC-Analysten benötigen eine erweiterte Informationserfassung: Laut TeleTrusT Bundesverband IT-Sicherheit gilt z. B. 
Endpoint Detection & Response (EDR) als aktueller Stand der Technik im Bereich Endpoint-Schutz und damit als Mindestmaß in der IT-Absicherung. Eine einfache Antiviren-Lösung ist im Organisationsumfeld also nicht mehr ausreichend.

Eigenbau, Kooperation oder Resale - die Entscheidung des IT-Dienstleisters

Die Nachfrage nach Managed SOC Services nimmt zunehmend Fahrt auf. Managed Services Provider, VARs und andere IT-Dienstleister stehen daher vor der Frage, welches Angebot sie ihren Endkunden in diesem Bereich machen können.

Nachfolgend beleuchten wir drei mögliche Varianten, die für ein Systemhaus in Frage kommen können.

Marke Eigenbau: Do-it-yourself Managed SOC

Die erste Möglichkeit besteht darin, ein Managed SOC komplett in Eigenregie aufzubauen. Diese Variante ist nur sehr eingeschränkt empfehlenswert, denn sie eignet sich nur für große und finanzstarke IT-Dienstleister mit der notwendigen Personaldecke und ausreichenden Endkunden-Potential direkt vom Start weg.

In dieser Variante sorgt der IT-Dienstleister komplett selbst für den notwendigen Unterbau und die Betreuung seines Managed SOC-Angebots.

  • Vorab-Investitionen in Technik & Software (z. B. SIEM-System) für einen qualitativ hochwertigen Managed SOC-Betrieb von Tag 1 an
  • Beschaffung & Bindung einer ausreichenden Anzahl qualifizierter SOC-Analysten und Incident Response-Experten
  • 24/7/365: Gewährleistung eines professionellen Managed SOC-Service rund um die Uhr
  • Skalierbarkeit (hoch und runter), Konkurrenzfähigkeit und dauerhaft marktkonformes Pricing in der eigenen Verantwortung
Nach einer aktuellen Berechnung des Cybersecurity-Herstellers Sophos fallen für diese Art des Betriebs eines Managed SOC jährliche Kosten in Höhe von etwa 800.000 Euro an. Erschwerend kommt der Fachkräfte-Mangel am deutschen Arbeitsmarkt und die zunehmende Konkurrenz durch die dynamische MDR- und SOC-Marktentwicklung dazu.

Managed SOC in Kooperation mit externen SOC-Anbietern

Die zweite Möglichkeit besteht darin, einen eigenen SOC-Service anzubieten, der durch spezialisierte SOC-Lösungshersteller bzw. -Anbieter unterstützt wird. Der IT-Dienstleister ist hier weiterhin der zentrale Dreh- und Angelpunkt und entscheidet, in welchem Umfang er den externen SOC-Anbieter einbinden möchte,

  • Software-Basis wird vom externen SOC-Anbieter zur Verfügung gestellt und angebunden (SIEM, Aktivitäten-Dashboard, etc.)
  • Herstellerübergreifende Anbindung von Log-Quellen und IT-Lösungen aller Art
  • Betreuung des 24/7/365 SOC-Betriebes durch externen SOC-Anbieter
  • Beschäftigung der notwendigen SOC-Analysten (und ggf. Incident Response-Experten) bei externen SOC-Anbietern
  • Skalierbar je nach Endkunden-Interesse und Projektumfang
  • White-Label-Pricing und -Marketing möglich

Ein Vorteil ist, dass kein hoher Vorab-Invest notwendig ist, sondern von Projekt zu Projekt geplant werden kann. Auch die mühsame Personalsuche entfällt komplett. Der IT-Dienstleister kann das SOC-Angebot in der Regel unter seinem eigenen Namen vermarkten, mit Zusatzservices anreichern und zu einem selbstgewählten Preis anbieten.

Zu den Managed SOC-Lösungen

Managed SOC als Reseller-Business

Auf die dritte Möglichkeit können IT-Dienstleister zurückgreifen, die keine eigenen Managed SOC Services anbieten möchten, ihre Endkunden aber dennoch durch ein SOC schützen lassen wollen. Einige IT-Security-Hersteller bieten hierfür die Möglichkeit, eine bestehende Hersteller-Subscription um sogenannte MDR- (Managed Dectection & Response), Managed XDR- (Managed Extended Detection & Response) oder MTR-Leistungen (Managed Threat Response) zu erweitern:

  • IT-Security-Hersteller kümmert sich komplett um Betreuung des 24/7/365 Analyse-Betriebs und Behebung von IT-Security-Vorfällen, ggf. in direktem Austausch mit IT-Dienstleister und Endkunden
  • Beschäftigung der notwendigen SOC-Analysten und Incident Response-Experten beim IT-Security-Hersteller
  • Skalierbar je nach Endkunden-Interesse und Projektumfang
  • Log-Quellen in der Regel beschränkt auf jeweiliges Hersteller-Portfolio
Der IT-Dienstleister kann sich in der maximalen Ausbaustufe komplett zurücklehnen und dem IT-Security-Hersteller die Analysearbeit und Problembehebung überlassen. Vorab-Investitionen und Personalsuche spielen hier keine Rolle. Einschränkungen gibt es bei der Anbindung herstellerfremder Log-Quellen sowie durch stark unterschiedliche Service-Umfänge von Hersteller zu Hersteller. Auch Preisgestaltung und Marketing sind stärker herstellergeprägt.

Zu den Managed SOC-Lösungen

Mehr Argumente für SOC: Typische Anwendungsfälle

Überwundene Endpoint-Security

Neuartige Angriffe können die Endpoint Security überlisten, sodass nach einem Cyberangriff z. B. ganze Produktionsstrecken lahmgelegt werden können. Vorteil SOC: Bessere Transparenz – Angriffsmuster nach Infektion schneller erkennen und stoppen, bevor großer Schaden entsteht.

Kompromittierte Datenbank

Eine Datenbank mit Patientendaten wurde kompromittiert. Möglicherweise wurden Daten manipuliert oder abgezogen - der Angreifer ist unbekannt. Vorteil SOC: Schnelle Analyse von Angriffen inkl. Identitätsfeststellung (Angriff von innen oder außen).

SIEM-Betrieb zu komplex

Administratoren einer Krankenversicherung sind mit Monitoring, Auswertung und Erkennung von Angriffen über ein vorhandenes SIEM überfordert. Vorteil Managed SOC: Analyse der Events sowie Incident Response übernehmen SOC-Experten.

Mehr Argumente für SOC: IT-Sicherheitsgesetz 2.0

Laut dem neuen IT-Sicherheitsgesetz 2.0 verpflichtet das BSI die Betreiber kritischer Infrastrukturen (KRITIS) mit Wirkung zum 01. Mai 2023 noch stärker dazu, Systeme zur Erkennung von Cyberangriffen einzusetzen sowie ihre IT auf dem neuesten Stand der Technik zu halten.

Aus den Anforderungen, wie z. B. dem Betrieb eines Log-Managements und der Vorhaltung technischer Analysemöglichkeiten lässt sich die Notwendigkeit ableiten, ein SOC in den Einsatz zu bringen. Der bandaktuellen 
Artikel "KRITIS(ch) betrachtet" vom 29.03.22 des Security Insiders widmet sich ebenfalls dem Thema IT-Sicherheitsgesetz 2.0 und spricht von: "Weitere erforderliche Maßnahmen umfassen die Einhaltung von Mindestsicherheitsstandards, also unter anderem (hoffentlich wirksame) Sicherheitsmaßnahmen im Bereich der Angriffsfrüherkennung wie IDS (Intrusion Detection Systems) und SIEM (Security Information and Event Management), aber auch SOC (Security Operation Center) und CSIRT (Computer Security Incident Response Services), des Weiteren auch organisatorische Vorkehrungen zur Vermeidung von Cyberrisiken (Stichwort BCMS und ISMS) sowie der Einsatz fortschrittlicher Technologien zur Cyber-Verteidigung der IT und OT.

Außerdem verpflichtet das
BSI die KRITIS-Unternehmen zu dem hier verlinkten Maßnahmen für eine offene Risikokommunikation.
Wer ist betroffen: Unter KRITIS fallen beispielsweise Organisationen aus dem Energie-Sektor, verschiedenste Behörden sowie Teile des Gesundheitswesens. Zusätzlich werden nach dem IT-Sicherheitsgesetz 2.0 (BSIG) nun auch Unternehmen erfasst, die nicht KRITIS-Betreiber sind, jedoch besonderem öffentlichen Interesse dienen.

Mehr Argumente für SOC: Cyberrisk-Versicherungen

Vor dem Abschluss einer Cyberrisk-Versicherungspolice stellt der Versicherer einen umfangreichen Fragenkatalog auf, der über die Höhe der Prämie bzw. die generelle Versicherbarkeit entscheidet:

  • Können Sie den aktuellen Sicherheitslevel in Ihrem Unternehmen klar benennen?
  • Sind alle Endgeräte (beispielsweise auch die CNC-Maschine) geschützt?
  • Werden regelmäßige Penetrationstest durchgeführt?
  • Sind Sie technisch in der Lage, die aktuelle Bedrohungslage realistisch zu erfassen?
  • etc.
Aus dem umfangreichen Anforderungskatalog der meisten Versicherer kann die Notwendigkeit eines SOC klar abgeleitet werden. Nicht nur, aber auch aufgrund der immer populäreren Cyberrisk-Versicherungen sind die Zukunftsaussichten klar: Laut Prognosen von Gartner werden im Jahr 2025 die Hälfte aller Unternehmen MDR-Services nutzen. Zum Vergleich: 2019 lag der Anteil noch unter 5 %.

Kontakt zum Managed Security Team

Das Infinigate MSSP-Team ist gerne Ihr erster Ansprechpartner für alle Anliegen rund um SOC- & Managed (Security) Services.