CSOC Cyber Security Operations Center Managed SOC IDS SIEM

Was unterscheidet ein SOC (Security Operations Center) von automatisierten Lösungen?

Was unterscheidet ein SOC (Security Operations Center) von automatisierten Lösungen?

In erster Linie geht es bei beiden Lösungsansätzen um die Detektion von Gefährdungen durch Cyberangriffe. Viele der in diesem Zusammenhang stehenden Faktoren können und werden durch aktuelle Sicherheitssysteme wie Firewalls, Endpoint-Lösungen und ATP-Systeme (Advanced Threat Protection) erkannt. Die Problematik liegt aber in den nahezu unbegrenzten Kombinationsmöglichkeiten verschiedenster Angriffsvektoren und in der Kreativität der Angreifer. Gerade wenn Social Engineering Teil eines Angriffes ist, versagen in vielen Fällen automatisierte Systeme. Auch solche mit „künstlicher Intelligenz“ sind hier in vielen Bereichen noch überfordert.

Aus diesem Grund setzt ein SOC bzw. CSOC (Cyber Security Operations Center) auf die Kombination von hochtechnisierten Lösungen und  der Erfahrung von Analysten. Rund 98% aller Meldungen können automatisiert abgearbeitet werden. Es bleiben also ca. 2% der Warnungen, die nicht automatisiert analysiert werden können.

2% – das klingt zunächst nicht nach besonders viel: Doch wenn man bedenkt, dass in einer durchschnittlichen Netzwerkinfrastruktur pro Tag ca. 1500 Meldungen – bestehend aus Regelverstößen, Bedrohungen und Verdachtsfällen – erzeugt werden, sind das ca. 30 Meldungen, die durch automatisierte Systeme nicht weiter betrachtet werden.

30 Meldungen, die außer Acht gelassen werden, stellen ein hohes Risiko für die gesamte Netzwerkinfrastruktur dar.

Prozentual ergibt sich eine Typ-Verteilung (Regelverstoß, Bedrohung, Verdachtsfall) von 50%-30%-20%. In Zahlen bedeutet das bei 30 Meldungen, dass 15 Regelverstöße, 9 Bedrohungen und 6 Verdachtsfälle nicht weiter betrachtet werden. Konzentriert man sich nun auf die 6 Verdachtsfälle, können nach einer manuellen Untersuchung durch einen Analysten ca. 4 bis 5 Meldungen mit einer hohen Wahrscheinlichkeit als „unkritisch“ eingestuft werden. Im Endergebnis wird eine Meldung pro Tag als „hoch kritisch“ eingestuft und ist somit Teil eines möglichen Cyberangriffes.

Das macht im Jahr ca. 365 Meldungen, die für Ihre Daten- und Systemverfügbarkeit kritisch sind.

Diese Meldungen werden im Rahmen einer festgelegten Eskalation in Zusammenarbeit mit den Analysten und den Kundenverantwortlichen weiter untersucht. Man muss sich darüber im Klaren sein, dass schon ein einziger, erfolgreicher Cyberangriff zur vollständigen Kompromittierung der Netzwerkinfrastruktur ausreicht.

Aktuelle Auswertungen und Statistiken zeigen, dass ein einmal in die Infrastruktur eingeschleuster Schadcode ca. 200 bis 300 Tage unbemerkt im Netzwerk verbleibt – trotz vorhandener professioneller automatisierter Schutzmechanismen. Eine hundertprozentige Sicherheit kann auch eine CSOC-Lösung nicht bieten. Es ist jedoch ein immer wichtiger werdender Baustein im Bereich Cyber Security und somit wichtig für den Schutz Ihrer Daten.

Ihr
Martin Graf