SOC: FAQ zu unserem Cyber Security Operation Center

FAQ: Die 14 wichtigsten Fragen zum Cyber Security Operation Center (CSOC)

Die fortschreitende Digitalisierung von Unternehmen und Prozessen hat eine natürliche Öffnung der Datenanbindungen zur Folge. Eine vernetzte Zusammenarbeit erfordert schließlich einen gemeinsamen Datenaustausch – und genau hier lauern die Gefahren eines Cyberangriffes. Infrastrukturen werden durch ihre Vernetzung anfälliger gegenüber Angriffsszenarien, die zunehmend komplexer werden. Die Herausforderung liegt daher in der Balance zwischen Nutzbarkeit und Sicherheit.
Es ist kaum möglich, Angreifer aus den IT-Infrastrukturen fernzuhalten. Daher sehen wir die zukünftige Hauptaufgabe im Bereich Cyber Security in der schnellstmöglichen Erkennung (Detektion) von Cyberangriffen, die eine umgehende Einleitung weiterführender Maßnahmen ermöglicht.

1.     Was ist ein CSOC?

Das CSOC überwacht Ihr Unternehmen auf mögliche Cyberangriffe und schützt Sie somit vor Produktionsausfällen, Datenverlusten, Imageschäden und damit verbunden finanziellen Risiken.
Eine Kombination aus automatischer Erkennung und dem Einsatz von Expertenwissen gewährleistet eine schnellstmögliche Detektion möglicher Cyberattacken.
Sollte eine aktive Bedrohung Ihrer Infrastruktur vorliegen, treten umgehend die individuell mit Ihnen vertraglich vereinbarten Maßnahmen in Kraft. Diese können von der reinen Information Ihrer IT-Verantwortlichen bis hin zum Einsatz unseres Rescue-Teams reichen.

2.     Unser Unternehmen hat doch eine Firewall. Warum brauchen wir dann eine CSOC-Aufschaltung?

Die Firewall stellt den Basis-Schutz für eine Anbindung an fremde Netzwerke (zum Beispiel das Internet) dar. Hier werden Regeln hinterlegt, „wer“ mit „wem“ über welchen „Kanal (Port)“ kommunizieren darf. Viele Systeme unterstützen durch die Implementierung von IDS (Intrusion Detection) und IPS (Intrusion Prevention) auch die Erkennung verschiedenster Angriffsszenarien. Die Problematik liegt hier aber in der Auswertung der Meldungen. Zum einen müssen die Meldungen „auswertbar“ aufgearbeitet werden und zum anderen benötigen die Mitarbeiter das nötige KnowHow, um diese anschließend richtig zu interpretieren. Dieser Wissenserwerb ist zeitaufwendig und entsprechend kostenintensiv.
Durch eine immer komplexer werdende Vernetzung der Systeme steigt auch die Komplexität der Cyberangriffe. Eine Firewall ist kaum in der Lage, komplexe Angriffsszenarien zu erkennen. Genau hier greift das CSOC als Sicherheitssystem. Analysten-KnowHow und der Einsatz von Sensoren gewährleisten eine bestmögliche Detektion von Cyberattacken.

3.     Wir haben doch einen aktuellen Virenschutz. Warum benötigen wir ein CSOC?

Ein aktueller Virenschutz gehört ebenfalls zu einem guten Basis-Schutz und ist damit unerlässlich. Die Problematik liegt in der Arbeitsweise von Virenschutzprogrammen. Sie durchsuchen in 99% der Fälle nur die auf Speichermedien befindlichen Dateien. Programme, die im Arbeitsspeicher des Rechnersystems ausgeführt werden, können somit nicht analysiert und geprüft werden. Ferner sind Virenschutzsysteme auf die Aktualität ihrer Basisdaten angewiesen, welche in regelmäßigen Abständen aktualisiert werden. Voraussetzung für diese Aktualisierung ist, dass neue Schadsoftware bereits vom Hersteller analysiert und in die Datenbank eingepflegt wurde.
Neue Schadsoftware ist somit praktisch unsichtbar für das Virenschutzsystem. Ferner nutzen Angreifer immer häufiger dateilose Schadsoftware, sogenannte „in Memory Exploits“. Diese Malware wird ausschließlich im Arbeitsspeicher des Rechnersystems ausgeführt und bleibt somit (in den meisten Fällen) für den Virenschutz unsichtbar. Durch die Kommunikations- und Verhaltenskontrolle des CSOC-Sensors werden auch unbekannte „in Memory Exploits“ weitestgehend detektiert und gewährleisten so eine schnellstmögliche Reaktion.

4.     Welchen Nutzen bringt uns eine CSOC-Anbindung konkret?

  •        Umfassende Ergänzung zu den vorhandenen Schutzmaßnahmen wie Virenscanner und Firewall
  •        Schadcode wird bereits beim Download detektiert
  •        Unverschlüsselte Passworteingaben werden detektiert
  •        Veraltete Softwareversionen (z.B. JAVA, Flash, usw.) werden erkannt
  •        Schnellstmögliche Erkennung von Cyberangriffen
  •        Minimierung möglicher Schäden durch Datenverluste, Integritätsverletzungen und Beeinträchtigungen der Systemverfügbarkeiten
  •        Kostenoptimierung im Bereich IT-Security-Management (Personal, KnowHow-Aufbau, Hard- und Softwareanschaffungen)

5.     Wo werden unsere Daten analysiert?

Durch den Einsatz von Sensoren in Ihrem Netzwerk findet die Analyse des Datenverkehrs bei Ihnen vor Ort statt. Im Falle einer Angriffserkennung werden ausschließlich technisch relevante Informationen der Sensoren an uns weitergeleitet und durch unsere Analysten verifiziert. Zur weiterführenden Analyse können die Daten durch den Analysten vom Sensor angefordert werden. In diesem Falle werden die für die Analyse des Events notwendigen Daten als Download dem Analysten vom Sensor zur Verfügung gestellt. Entsprechende Datenschutzkonzepte (TOMs, ADV) liegen selbstverständlich vor.