Nach wie vor sind die Nachrichten voll von Meldungen über professionelle Hacker-Angriffe, gezielte Attacken und Datendiebstahl im großen Stil. Häufig wird dabei die Abkürzung APT für "Advanced Persistent Threat" verwendet. Gemeint sind professionelle Angreifer, die eigene Werkzeuge und individuell entwickelte Malware verwenden und mit herkömmlichen Erkennungsmechanismen kaum entdeckt werden können.
Um in dieser Situation nicht einfach zu resignieren, ist nicht verwunderlich, dass in der IT- und Sicherheitsbranche ein Trend zur intensiveren Überwachung von Sicherheitssystemen und Erkennung von Vorfällen zu verzeichnen ist. Große Outsourcing-Anbieter bewerben ihre neuen sogenannten Cyber-Abwehr-Zentren und halten die Sicherheitsfahne zumindest im Marketing sehr hoch. Doch was verbirgt sich überhaupt hinter einem Cyber-Abwehr-Zentrum, Cyber Security Center oder Security Operations Center (kurz SOC) und wer benötigt so etwas? Muss man so etwas selbst aufbauen oder kann man die Leistung einkaufen?
Managed Security Services als Ausgangspunkt
Die ursprünglich häufigste Ausprägung von SOCs fand man vor gut 15 Jahren in der Zeit des IT-Hypes. Nach Firewalls waren Intrusion-Detection-Systeme zur Erkennung von Angriffen ein neuer Trend, und die Verkäufer solcher Systeme verkauften ihren Kunden nicht nur die Produkte, sondern boten dazu auch gerne die Überwachung und den Betrieb der Lösungen an. Man sprach von "Managed Security Services" oder kurz MSS. Für die großen Sicherheitsdienstleistungsfirmen verband sich damit die Hoffnung auf einen Service, der mit überschaubarem Aufwand aufgebaut und an viele Kunden gewinnbringend verkauft werden konnte.
Die Argumente klangen damals wie heute überzeugend: Eine Sicherheitsinfrastruktur und teure Lösungen zur Erkennung von Angriffen sind kompliziert und haben meist nichts mit dem Kerngeschäft von Firmen zu tun, die einfach nur eine sichere Internetanbindung benötigen. Ein spezialisierter Anbieter, der die Sicherheitslösungen zahlreicher Kunden rund um die Uhr überwacht und administriert, kann dies sicher besser und günstiger als ein Hersteller von Konsumgütern.
Foto: Cirosec
Möchte man jedoch Firewalls, Content-Security-Gateways, VPN-Router und ähnliche Systeme aus der Ferne administrieren und überwachen, so muss das Netzwerk, aus dem man auf die Sicherheitssysteme der Kunden zugreifen kann, selbst ein sehr hohes Sicherheitsniveau aufweisen. Security-Operations-Zentren entstanden somit als speziell abgesicherte Bereiche bei Dienstleistern, aus denen heraus die Sicherheitssysteme von Kunden überwacht und betrieben wurden.
Sicherheit aus dem Bunker
Manche Anbieter kauften oder mieteten dafür ehemalige Bunker, andere bauten Kellerräume im Büro mit Stahltüren und Überwachungskameras aus. In den Bereichen selbst wurden Bildschirme aneinander und übereinander angebracht, und zur Überwachung der Kundensysteme baute man Produkte zur Sammlung und Auswertung von Events beziehungsweise Logs auf. Die Hersteller heutiger SIEM-Produkte zur Log-Auswertung und -Korrelation fanden auf diese Weise erste naheliegende Kunden.
Bereits in den frühen Jahren der ersten MSS-Anbieter entsprach der Schein nicht immer der Realität. So gab es Beispiele von Anbietern, deren SOCs zwar für Besucher im Gebäude beeindruckend abgesichert waren, zum Hinterhof jedoch einfach Balkontüren enthielten. Auch bei der angeblichen Kompetenz und Spezialisierung des Personals im SOC musste man Abstriche machen, denn Experten im Security-Umfeld sind auch heute noch schwer zu bekommen und sitzen ungern nachts vor Überwachungsbildschirmen.
Die entscheidenden Probleme von SOCs liegen jedoch in einem ganz anderen Bereich. Um effektiv einen Sicherheitsgewinn zu erzielen, reicht es nicht aus, Protokollmeldungen von Firewalls zu beobachten. Die erste entscheidende Herausforderung besteht in der Fähigkeit zur tatsächlichen Erkennung von Sicherheitsvorfällen; die zweite liegt in der sinnvollen Reaktion auf erkannte Vorfälle. Beides ist nicht einfach und oft scheitern SOCs genau daran.
Intelligente Systeme sind Trumpf
Die Grundidee, dass man durch intelligente Korrelation der Protokollmeldungen von Firewalls, VPN-Gateways oder Authentisierungsservern Angriffe erkennen kann, ist nur begrenzt richtig. Bei näherer Betrachtung zeigt sich, dass nur wenige Beispiele von Angriffsszenarien überhaupt Indikatoren in diesen Protokollen erzeugen. Bereits Angriffe auf Web-Applikationen mit Methoden wie SQL Injection, die seit zehn Jahren sehr beliebt sind, können erst mit spezialisierten Web Application Firewalls annähernd zuverlässig erkannt und verhindert werden. Ein IDS- oder IPS-Produkt wäre für diesen Zweck eine Fehlinvestition. Entsprechend gibt es typische Beispiele, bei denen erfolgreiche Kompromittierungen von Webportalen nicht dem SOC-Dienstleister, sondern den Anwendern aufgefallen sind.
Zum Video: Wer ein Security Operations Center braucht
Ein wesentlicher Einflussfaktor auf die Fähigkeit, Angriffe erkennen zu können, ist neben dem nötigen Personal mit entsprechender Kompetenz auch die richtige Technik. Hier werden in vielen Fällen die Lösungen zur Erkennung und Korrelation weit überschätzt oder mit ungeeigneten Ausgangsdaten beliefert. Die Verlagerung auf einen externen Dienstleister ändert an dieser Situation zunächst nichts.
Fragt man Kunden von externen SOC-Dienstleistern, was sie von ihrem Dienstleister bekommen, so berichten auch heute viele Firmen, dass sie neben Rechnungen vor allem Tagesberichte, Wochenberichte und Monatsberichte erhalten, die sie dann abheften.
Im Fall der Fälle: Incident Response
Wenn der Verdacht auf einen Sicherheitsvorfall besteht, muss ein Incident-Response-Prozess starten. In diesem müssen Experten zunächst klären, ob es sich tatsächlich um ein Sicherheitsproblem handelt oder ob eine einfache Störung den Alarm ausgelöst hat. Diese Klärung erfordert in der Regel Zugriff mit administrativen Rechten auf die betroffenen Endgeräte beziehungsweise Server. Ein externer Dienstleister, der lediglich Sicherheits-Gateways oder Sensoren überwacht oder administriert, hat in der Regel keinen vollen Zugriff auf die internen Server und Datenbanken seiner Kunden. Das führt dazu, dass die Kunden selbst auf die potenziell betroffenen Systeme schauen müssen. Den Kunden fehlen jedoch sowohl die Werkzeuge als auch das Know-how, um Einbrüche zuverlässig erkennen zu können.
Foto: Cirosec
Falls der externe Dienstleister nicht nur die Sicherheitssysteme betreut, sondern auch die gesamte interne IT im Outsourcing verantwortet, vereinfacht das die Situation erheblich - und erst dann könnte ein externes SOC seine eigentlichen Aufgaben auch wirklich erfüllen. Ob der externe Dienstleister dies auch tut, ob er das dafür nötige Personal und die Kompetenz besitzt und ob er die nötige Technik auch aufbaut - all das bleiben offene Fragen.
Servicequalität leidet
Doch auch jenseits der Sicherheitsaspekte hat das vollständige Outsourcing der IT seine Tücken und führt oftmals zu großen Enttäuschungen in Bezug auf die Servicequalität.
Der prinzipiell erreichbare Sicherheitsgewinn eines externen SOC skaliert mit dem Umfang des Outsourcings. Je mehr Rechte und Pflichten ein externes SOC übernimmt, umso mehr könnte es prinzipiell die erhoffte Leistung auch erbringen.
Große Unternehmen sind selbstverständlich auch in der Lage, eigene SOCs aufzubauen, und einige bekannte Firmen haben dies bereits getan oder sind momentan dabei, entsprechende Strukturen zu etablieren oder zu verstärken.
SOC vs. CERT
Vergleicht man die Inhalte und Aufgaben eines SOC mit einem CERT (Computer Emergency Response Team), zeigen sich einige Parallelitäten. Ein CERT wird in Firmen häufig etabliert, um bei Sicherheitsvorfällen klare Rollen und Verantwortlichkeiten definiert zu haben und um auf die nötige Kompetenz zugreifen zu können. Eine Kernfunktion eines CERT ist immer Incident Response. Darüber hinaus übernehmen CERTs häufig auch präventive und planerische Aufgaben, beispielsweise im Verwundbarkeitsmanagement oder in der internen Sicherheitsberatung.
Foto: Cirosec
CERTs bilden daher oftmals ein Kompetenzzentrum im Unternehmen, in dem viel Know-how in Bezug auf Schwachstellen, Angriffstechniken und die Analyse von Vorfällen zusammen kommt. Wenn aber tatsächlich ein Vorfall stattfindet, mangelt es den CERT-Teams häufig am Einblick in die verschiedenen IT-Bereiche, Server und Applikationen sowie an Weisungsbefugnis und Durchgriff, um die nötige Arbeit zu erledigen. Gerade die größeren Unternehmen, die sich den Aufbau eines CERT leisten können, stehen mit ihren ausgeprägten Hierarchien beziehungsweise Silostrukturen dem Erfolg eines solchen Teams häufig im Weg. Müssen die Mitarbeiter des CERT beispielsweise bei einem Vorfall zuerst über mehrere Stufen eskalieren, um vollen Zugriff auf eine Datenbank im Rechenzentrum zu bekommen, kostet dies unnötig wertvolle Zeit.
SOC oder CERT? Ein Praktiker im O-Ton
Um Gemeinsamkeiten und Unterschiede von SOC und CERT noch genauer zu verstehen, hat CW-Redakteur Simon Hülsbömer Kai Grunwitz, Vice President Professional Services Central Europe von NTT Com Security, einem Security-Dienstleister, der in Deutschland sowohl SOCs als auch CERTs betreibt, gefragt. Hören Sie seine ausführliche Antwort in folgendem Audioclip:
Ein eigenes SOC aufbauen?
Wenn große Unternehmen heute eigene SOCs aufbauen, geht es daher oft auch darum, etablierte Silostrukturen aufzubrechen und bereichsübergreifend Sicherheitskompetenz in einem SOC neu zu bündeln und mit erweiterten Befugnissen auszustatten.
Der Aufbau eines SOC ist damit kein naheliegendes Projekt für ein mittelständisches Unternehmen. Ebenso ist jedoch auch der Einkauf externer Sicherheitsüberwachungs-Services oder SOC-Dienstleistungen fragwürdig und ihr tatsächlicher Nutzen sollte hinterfragt werden. Ein Mindestmaß an eigener Sicherheitskompetenz ist für jedes Unternehmen wichtig. Diese eigene Kompetenz sollte genutzt werden, um die schützenswerten Daten und Systeme der eigenen Organisation zu erfassen und die dort relevanten Bedrohungsszenarien zu ermitteln. Daraus lassen sich dann die nötigen Maßnahmen ermitteln, um die individuellen Risiken auf ein akzeptables Niveau zu reduzieren. Gegebenenfalls ist hier die Unterstützung unabhängiger Sicherheitsberater sinnvoll.
Foto: Cirosec
Gerade in der heutigen Zeit, in der es angesagt ist, über gezielte Angriffe, professionelle Hacker und Nachrichtendienste zu diskutieren, ist es wichtig, sich vor Augen zu halten, dass man auch mit personalintensiver und teurer Überwachung und Korrelation existierender Systeme nur sehr begrenzt professionelle gezielte Angriffe erkennen kann.
KMUs: Standard-Security meist besser
Bei eher mittelständischen Unternehmen, die die Palette der grundlegenden präventiven Sicherheitsmaßnahmen meist noch lange nicht ausgeschöpft haben, wird man bei vernünftiger Risikobetrachtung oft herausfinden, dass der Einkauf externer Überwachungsleistungen in Form eines SOC oder Cyber-Abwehrzentrums auf der Prioritätenliste recht weit unten steht.
Der erreichbare Sicherheitsgewinn ist durch die Umsetzung naheliegender Grundschutzmaßnahmen zunächst höher und auch das Kosten-Nutzen-Verhältnis ist deutlich besser. Moderne Schutzmaßnahmen wie Mikrovirtualisierung auf Endgeräten können ohne großen Betriebsaufwand auch das Risiko von Kompromittierungen durch gezielte Angriffe mit fortschrittlicher Malware drastisch reduzieren.
Wenn diese Präventionsmaßnahmen bereits etabliert sind, gibt es moderne Erkennungsmaßnahmen, die für ihre Effektivität kein SOC und keine Überwachung im Schichtbetrieb erfordern. Sie kombinieren von sich aus schon sehr viele Aspekte und Indikatoren bei der Erkennung und liefern somit eine weit bessere Erkennungsqualität als die Korrelation von kontextfreien Logs mit teuren SIEM-Produkten. (sh)