Mit unserem SOCaaS Anforderungen des BSI erfüllen

Mit unserem SOCaaS Anforderungen des BSI erfüllen

Mit unserem SOCaaS Anforderungen des BSI erfüllen

Ab Mai 2023 sind KRITIS-Unternehmen zur Implementierung und aktiven Nutzung von Systemen zur Angriffserkennung (SzA) verpflichtet. Um den Unternehmen Hinweise zur Erfüllung dieser Vorgabe zu geben, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 13.06.2022 einen Community Draft für eine neue Orientierungshilfe zu deren Einsatz veröffentlicht.

Viele unserer KRITIS-Kunden und Interessenten haben uns in den vergangenen Wochen gefragt, was Sie nun konkret tun müssen und welche Möglichkeiten unser SOCaaS (SOC as a Service) bietet. Im folgenden Beitrag möchten wir daher einen kurzen Überblick über die wichtigsten Anforderungen des BSI geben und wie unser SOCaaS diese erfüllt und Sie unterstützen kann:

Anforderungen des BSI

In der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) werden „KANN“, „SOLLTE“ und „MUSS“ Kriterien für KRITIS-Betreiber beschrieben.

Nach eingehender Prüfung der Vorgaben können wir bestätigen, dass unser SOCaaS diese Anforderungen erfüllt und wir gemeinsam mit unseren Kunden einen Reifegrad von 4-5 (Maximalwert) erreichen können. Zur Verdeutlichung der Anforderungen, zeigen wir Ihnen hier einige kurze Beispiele auf:

Planung:

„Zur Bestimmung der Abdeckung KANN (und es wird empfohlen) eine standardisierte Methode angewendet werden (z. B. MITRE ATT&CK).“[1]

Die Methodik der MITRE ATT&CK ist die Grundlage unserer rund 4.000 Basis Use Cases, die wir in unserem SOCaaS integriert haben.

Detektion:

„Alle Protokolldaten MÜSSEN möglichst kontinuierlich überwacht und ausgewertet werden.“[2]

Die Grundlage unseres SOCaaS ist ein SIEM (Security Information and Eventmanagement), welches die Log-Daten aller angeschlossenen Quellen kontinuierlich überwacht und mit den implementierten UseCases automatisiert auswertet.

Reaktion:

„Die zur Angriffserkennung eingesetzten Systeme SOLLTEN automatisiert Maßnahmen zur Vermeidung und Beseitigung von angriffsbedingten Störungen ergreifen können, sofern das zu Grunde liegende SRE eindeutig qualifizierbar ist.“[3]

Diese Anforderung wird durch unsere EDR/XDR-Funktionalität (EDR – endpoint detection and response), (XDR - extended detection and response) erfüllt.
Mit dieser Funktionalität können automatisiert, oder angestoßen durch die 24/7 Leitstelle, Aktionen auf dem Endgerät oder in der Infrastruktur ausgelöst werden.
Beispielsweise könnte ein System isoliert (EDR) oder infrastrukturweit IP- bzw.  Internetadressen geblockt werden (XDR).

Haben Sie weitere Fragen zu Orientierungshilfe des BSI oder zu unserem SOCaaS? – Dann sprechen Sie uns gerne an! Wir beleuchten gemeinsam mit Ihnen Ihre kontextbezogenen Begebenheiten und Anforderungen und stellen Ihnen gerne unseren Service vor.

[1] Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) ENWG

[2] Ebd., S. 10.

[3] Ebd., S. 12