Security Operations Center

SOC - Security Operations Center

Ein SOC ist ein Ort zur Überwachung der IT-infrastruktur um Angriffe aufzuspüren, auszuwerten und zu verhindern.

Angriffserkennung mit SOC

1

Tag

Angriffserkennung ohne SOC

165

Tage

Ein Security Operations Center oder SOC ist ein zentraler Ort, an dem IT-Techniker mittels einer oder mehrerer RMM-Software (Remote Monitoring and Management) die IT-Infrastruktur des Kunden überwachen. Diese technischen Teams behalten die Endpunkte im Auge, die sie überwachen und verwalten, lösen Probleme unabhängig voneinander und ergreifen vorbeugende Maßnahmen, um sicherzustellen, dass viele Probleme nicht auftreten. SOC-Teams sind auch stark an Sicherheitsmaßnahmen auf hoher Ebene sowie an Sicherungs- und Notfallwiederherstellungsbemühungen (BDR) beteiligt, um den Kunden eine 24/7/365 Verfügbarkeit zu gewährleisten.

ZUVERLÄSSIGE IT- & CYBER-SICHERHEIT

Was sind die Rollen und Verantwortlichkeiten eines SOC-Technikers?

SOC-Ingenieure und SOC-Techniker überwachen die IT-Infrastruktur der Kunden und werden hier speziell auf die Sicherheitsanalysen achten. So werden verdächtige Netzwerkverkehre ausgewertet, Alarmierungen von unbefugten Zugriffen auf Serversysteme oder diverse Scans und Angriffsversuche von außen vom SOC-Team vorangig abgearbeitet. Zudem werden automatisierte Scans der kompletten IT-Infrastruktur des Kunden sowohl intern als auch extern durchgeführt um neue Schwachstellen zu erkennen und diese gleich schließen zu können. Das SOC-Team kann spuren forensisch für die Weitergabe an die Polizeibehörden oder Staatsanwaltschaft auswerten und sicherstellen.

shape not found
image not found

Obwohl sie ähnlich aussehen und klingen mögen, gibt es große Unterschiede in den Zielen eines Netzwerkbetriebszentrums und eines Sicherheitsbetriebszentrums, das auch als SOC bezeichnet wird. Die wichtigsten Kriterien, die sowohl ein NOC als auch ein SOC gemeinsam haben, sind, dass sie mit dem Kunden zusammenarbeiten, um IT-bezogene Probleme zu lösen. Wenn sich ein NOC jedoch auf die Fernüberwachung und -wartung der IT-Umgebung eines Kunden konzentriert, um die SLAs einzuhalten und die Verfügbarkeit des Kunden ohne technische Störungen sicherzustellen, ist ein SOC wesentlich sicherheitsorientierter. SOCs überwachen Schwachstellen, Angriffsmethoden und neu auftretende Bedrohungen in einem Client-Netzwerk und sind bereit, Anomalien zu erkennen und auftretende Cyber-Angriffe abzuschwächen.

Die meisten SOCs verwenden einen SIEM-Prozess (Security Information and Event Management), der Informationen aus verschiedenen sicherheitsorientierten Systemdatenströmen zusammenfasst. Alles von Netzwerkerkennungs- und Schwachstellenbewertungssystemen über Governance-, Risiko- und Compliance-Systeme (GRC), Penetrationstest-Tools, Systeme zur Erkennung und Verhinderung von Eindringlingen bis hin zu Protokollverwaltungssystemen. Die Analyse des Netzwerkverhaltens und vieles mehr wird von SOC-Technikern gesammelt und analysiert, die selbst ausgebildete Sicherheitsexperten sind. NOCs und SOCs leisten viele Dienste, aber ihre Missionen oder Ziele überschneiden sich kaum. Durch die Einbeziehung dieser Teams in ein breiteres Spektrum von Diensten erhalten Kunden einen grög;eren Vorteil als der Versuch, die mit diesen Gruppen verbundenen Aufgaben zu einem Hybridteam zusammenzuführen.

Tägliche SOC-Funktionen umfassen


  • Automatisierte Scans der Infrastruktur sowohl intern als auch extern
  • Auswerten der Logs mittels eines SIEM
  • Schwachstellenerkennung und sofortige Schließung der Schwachstelle
  • Netzwerkerkennung und -bewertungen
  • Richtliniendurchsetzung
  • Überwachung und Verwaltung von Firewall- und Intrusion Prevention-Systemen
  • Scannen und Beheben von Viren
  • Patch-Management und Whitelisting
  • Gemeinsame Bedrohungsanalyse
  • Optimierung und Quality of Service Reporting
  • Sprach- und Videoverkehrsmanagement
  • Leistungsberichte und Verbesserungsempfehlungen

Die festen Arbeits- und Infrastrukturkosten für den Aufbau eines internen NOC-, SOC- oder Helpdesk-Teams sind in der Regel zu hoch, um ein profitables, wachsendes Geschäft aufrechtzuerhalten. Selbst wenn es voll besetzt wäre, wäre es nicht in der Lage, die Spitzen und Tiefpunkte der Nachfrage zu bewältigen und sich gleichzeitig auf die Wartung alltäglicher IT-Aufgaben vorzubereiten, die ausgeführt werden müssen. Stattdessen sollten Firmen eine Partnerschaft mit einem NOC eines Drittanbieters in Betracht ziehen, der den größten Teil der technischen Arbeit übernehmen kann. Anstelle eines unhandlichen internen Betriebs dient ein NOC als Erweiterung der vorhandenen Belegschaft, sodass sich das primäre technische Personal auf Projekte mit hohem Wert und hohem ROI konzentrieren kann.

Angesichts des Mangels an qualifizierten und erfahrenen Technikern, die in der Lage sind, Level 1–3 (allgemein als IT-Kompetenzlücke bezeichnet) zu bewältigen, ist die Verwendung eines NOC eine effizientere und kostengünstigere Option als die Einstellung von Technikern nach Maß. Angesichts der Qualifikationslücke ist es für viele Kunden äußerst schwierig oder einfach unmöglich, ihr Unternehmen mit genügend Technikern zu besetzen, die über die richtigen Fähigkeiten verfügen, um ihr Geschäft profitabel auszubauen. Ein NOC beseitigt jedoch die Qualifikationslücke, indem es alle Ressourcen, die ein Kunde in seinem technischen Personal benötigt, gegen eine monatliche Pauschalgebühr anbietet. Und wenn das Geschäft des Kunden wächst, werden mehr Ressourcen benötigt und die Skalierbarkeit erhöht, wodurch die 24x7x365-Ergebnisse erzielt werden.