In den gängigen Blueprints zum Aufbau eines Security Operation Centers (SOC) fehlt häufig ein wichtiges Element, nämlich das Vertrauen in das SOC durch die Organisation, die es zu schützen hat. Wenn der unvermeidliche kritische Vorfall eintritt, ist dies von grösster Bedeutung, denn das Management soll sich auf die Analysen und Empfehlungen seines SOC verlassen können.

Sie möchten ein SOC aufbauen oder ein Managed-SOC einführen?

Unabhängig davon, ob Sie ihr SOC selbst betreiben, auslagern oder einen hybriden Ansatz verfolgen, sie benötigen Sensoren und Logdaten, wahrscheinlich ein SIEM, um diese zu durchsuchen, zu analysieren und zu korrelieren sowie natürlich qualifizierte Sicherheitsanalysten, um all die Alarme zu verarbeiten und auf Vorfälle reagieren zu können. Das SOC benötigt zudem klar definierte Schnittstellen zum IT-Betrieb und zum Management. Aber es gibt eben noch ein weiteres wichtiges Element, welches beim Aufbau eines erfolgreichen SOC oft unterschätzt wird: Vertrauen. Die Notwendigkeit von Vertrauen wird zwar im Kontext des Informationsaustauschs zwischen SOCs und CERTs meist beachtet. So verlangen CERT-Organisationen wie FIRST oder Trusted Introducers, dass bestehende Mitglieder für neue Mitglieder bürgen. Aber wie sieht es mit dem Vertrauen der Organisation in das eigene SOC aus?

Wenn das Unvermeidliche eintritt und Sie mit einem kritischen Sicherheitsvorfall konfrontiert sind, ist es von größter Bedeutung, dass die Organisation und insbesondere das Management wissen, dass sie sich auf die Analysen und Empfehlungen des SOC verlassen können. Schliesslich gilt es schwierige Entscheide zu treffen. Möglicherweise sollen Systeme heruntergefahren, Netzwerkverbindungen getrennt oder Notfall-Änderungen in der Produktion eingespielt werden. Vielleicht wollen Sie sogar den Angreifer erst beobachten bevor Sie eingreifen, um so das volle Ausmass der Kompromittierung besser zu verstehen. Letztendlich muss das Management entscheiden und sich dabei auf die Expertise des SOC verlassen. Aber auch bei kleinen Vorfällen kann eine vertrauensvolle Beziehung zwischen dem SOC und dem IT-Betrieb wesentlich zur effizienten Behandlung beitragen. Und wenn die Mitarbeitenden Vertrauen ihn das SOC haben, werden sie Fehler die sie gemacht haben melden und ehrlich sein, wenn sie gefragt werden, was sie getan oder nicht getan haben.

Vertrauen kann aber weder befohlen noch gekauft werden. Vertrauen muss man verdienen. Wie können Sie nun Vertrauen in Ihr SOC aufbauen? Um vertrauenswürdig zu werden, benötigt das SOC eine positive Sichtbarkeit, was nicht einfach ist, da seine Aufgabe ist Dinge zu finden, die per Definition nicht positiv sind.

Drei Strategien wie ihr SOC ein positives Image eines vertrauenswürdigen Partners bekommen

Erstens seien Sie reaktiv und kommunizieren Sie. Wenn Personen Vorfälle oder Sicherheitsprobleme melden, geben Sie rasch Feedback. Wenn Benutzer sich nach dem Klicken auf einen Link in einem Phishing-E-Mail mit dem SOC in Verbindung setzen, verzichten Sie auf Schuldzuweisungen und danken Sie stattdessen für die Meldung. Sprechen Sie über Vorfälle, wie Sie damit umgegangen sind und wie diese in Zukunft vermieden werden können. Durch die verbesserte Überwachung und schnellere Reaktion des SOC, wird die Zeit bis zur Erkennung von Vorfällen sinken. Rapportieren Sie dies dem Management, damit diesen den Mehrwert des SOC sehen. Es sind kleine Dinge in Ihrem Verhalten und Ihrer Kommunikation, welche grosse Auswirkungen haben können.

Zweitens, integrieren Sie vertrauensbildende Aktivitäten in Ihre Incident Planung. Klein anfangen und dann wachsen, ist einer der Erfolgsfaktoren beim Aufbau eines SOC. Zunächst müssen Sie entscheiden, welche Use-Cases Sie als Erstes adressieren wollen und welche Fähigkeiten Ihr SOC zu Beginn braucht. Während dieser initialen Priorisierung sollten Sie auch die positive Sichtbarkeit im Auge behalten. Identifizieren Sie wichtige Stakeholder in Management und IT-Betrieb, die von einem Use-Case Sichtbar profitieren können. Nehmen Sie, wo es angebracht ist, Kommunikation und Selbstvermarktung explizit als Aktivitäten in Ihre Playbooks auf. Achten Sie jedoch darauf, keine vertraulichen Informationen über Sicherheitslücken preiszugeben und in der Kommunikation nicht den Opfern (z.B. dem «dummen» Benutzer) die Schuld zuzuschieben.

Drittens suchen Sie Anwendungsfälle bei denen Sie dank der neuen Detektionsfähigkeiten präventive Schutzmaßnahmen reduzieren und somit die Benutzer entlasten können. Schließlich verfügen Sie jetzt über ein SOC, welches eine schnelle Erkennung und Reaktion ermöglicht. Identifizieren Sie zum Beispiel Zugriffsbeschränkungen mit vielen False Positives (ungerechtfertigtes Zugriffsverweigerungen) und suchen Sie stattdessen Indikatoren, wie ungewöhnliche Zeitpunkt oder Zugriffsorte, mit denen sie einen verdächtigen Zugriff identifizieren können. Anstelle der restriktiven Zugriffrichtline mit vielen False Positives, können Sie so eine verbesserte Überwachung aufbauen, die Zugriffrichtlinie lockern und damit den Impact auf die Benutzer reduzieren. Oder nutzen sie die Überwachungsfähigkeit und Threat Intelligence des SOC um Angriffe auf bekannte Schwachstellen zu erkennen und abzuwehren. Dadurch verschaffen sie der IT Zeit die Systeme ordentlich und ohne Betriebsausfallrisiken zu patchen.

Diese dritte Strategie ist eher etwas für Ihre mittelfristigen Ziele, aber wenn sie dies von Beginn im Hinterkopf behalten, hilft es Ihnen die richtige Einstellung zu entwickeln, um effektiven Mehrwert für Ihr Unternehmen zu schaffen.

Zusammenfassend ist wichtig zu verstehen, dass die Unternehmensführung im Notfall wissen möchte, wen sie anrufen und wem sie vertrauen kann. Wenn sich das SOC zuerst vorstellen muss oder die Führung denkt, das sind die die immer Wolf schreien, wird Ihr SOC nicht in der Lage sein, seine Mission zu erfüllen und die Organisation vor weiteren Schäden zu schützen. Bauen sie daher Ihr SOC von Anfang an mit dem Ziel ein vertrauenswürdiger Partner für Ihre Organisation zu sein.

Der Inhalt dieses Artikels hat Bruno Blumenthal auch anlässlich eines Referats an der Swiss Cyber Storm 2019 vorgestellt. Die entsprechenden Folien können auf unserer Website heruntergeladen werden.