18.09.2018 | Daniel Felix Maurer
Das Sourcing eines SOC / CDC erfordert Überlegung
Die Erkennung von und der Umgang mit Sicherheitsvorfällen, auch bekannt als Security Information and Event Managemen (SIEM) oder als «Detection and Response» gemäss NIST Cybersecurity Framework, wird – leider – immer wichtiger. Bei de Implementierung der SIEM-Prozesse spielt das Security Operations Center (SOC) bzw. das Cyber Defence Center (CDC) ein zentrale Rolle. Die Anforderungen an das Know-How und die Verfügbarkeit des SOC/CDC sind hoch; Angriffe aus dem Interne können leider nicht auf Bürozeiten eingeschränkt werden. Dies sind wichtige Gründe dafür, dass SOC Services gerne a Dritte ausgelagert werden, und das Marktangebot wächst entsprechend rasant.
Der SOC Serviceanbieter sollte anhand einer zweckmässigen Anforderungsbeschreibung ausgewählt werden, bei der auch di Einschränkungen seitens des Kunden berücksichtig werden. Ein 7x24 Stunden Service für Detection hilft beispielsweis wenig, wenn die für Risikobeurteilung und/oder Response zuständigen Stellen nur während der Bürozeiten verfügbar sind Eine weitere grundsätzliche Fragestellung ist, ob der SOC Service dem Systembetreiber, einem Managed Security Anbiete oder bewusst einem unabhängigen Dritten übertragen werden soll. Für alle drei Strategien gibt es gute Argumente und de Entscheid muss sich nach den spezifischen Zielen des SOC Sourcing richten.