25.11.2019 | Bruno Blumenthal
In our SOC we trust: Über die Wichtigkeit von Vertrauen
In den gängigen Blueprints zum Aufbau eines Security Operation Centers (SOC) fehlt häufig ein wichtiges Element, nämlic das Vertrauen in das SOC durch die Organisation, die es zu schützen hat. Wenn der unvermeidliche kritische Vorfal eintritt, ist dies von grösster Bedeutung, denn das Management soll sich auf die Analysen und Empfehlungen seines SO verlassen können.
Sie möchten ein SOC aufbauen oder ein Managed-SOC einführen?
Unabhängig davon, ob Sie ihr SOC selbst betreiben, auslagern oder einen hybriden Ansatz verfolgen, sie benötige Sensoren und Logdaten, wahrscheinlich ein SIEM, um diese zu durchsuchen, zu analysieren und zu korrelieren sowi natürlich qualifizierte Sicherheitsanalysten, um all die Alarme zu verarbeiten und auf Vorfälle reagieren zu können. Da SOC benötigt zudem klar definierte Schnittstellen zum IT-Betrieb und zum Management. Aber es gibt eben noch ein weitere wichtiges Element, welches beim Aufbau eines erfolgreichen SOC oft unterschätzt wird: Vertrauen. Die Notwendigkeit vo Vertrauen wird zwar im Kontext des Informationsaustauschs zwischen SOCs und CERTs meist beachtet. So verlange CERT-Organisationen wie FIRST oder Trusted Introducers, dass bestehende Mitglieder für neue Mitglieder bürgen. Aber wi sieht es mit dem Vertrauen der Organisation in das eigene SOC aus?
Wenn das Unvermeidliche eintritt und Sie mit einem kritischen Sicherheitsvorfall konfrontiert sind, ist es von größte Bedeutung, dass die Organisation und insbesondere das Management wissen, dass sie sich auf die Analysen und Empfehlunge des SOC verlassen können. Schliesslich gilt es schwierige Entscheide zu treffen. Möglicherweise sollen System heruntergefahren, Netzwerkverbindungen getrennt oder Notfall-Änderungen in der Produktion eingespielt werden. Vielleich wollen Sie sogar den Angreifer erst beobachten bevor Sie eingreifen, um so das volle Ausmass der Kompromittierung besse zu verstehen. Letztendlich muss das Management entscheiden und sich dabei auf die Expertise des SOC verlassen. Aber auc bei kleinen Vorfällen kann eine vertrauensvolle Beziehung zwischen dem SOC und dem IT-Betrieb wesentlich zur effiziente Behandlung beitragen. Und wenn die Mitarbeitenden Vertrauen ihn das SOC haben, werden sie Fehler die sie gemacht habe melden und ehrlich sein, wenn sie gefragt werden, was sie getan oder nicht getan haben.
Vertrauen kann aber weder befohlen noch gekauft werden. Vertrauen muss man verdienen. Wie können Sie nun Vertrauen i Ihr SOC aufbauen? Um vertrauenswürdig zu werden, benötigt das SOC eine positive Sichtbarkeit, was nicht einfach ist, d seine Aufgabe ist Dinge zu finden, die per Definition nicht positiv sind.
Drei Strategien wie ihr SOC ein positives Image eines vertrauenswürdigen Partners bekommen
Erstens seien Sie reaktiv und kommunizieren Sie. Wenn Personen Vorfälle oder Sicherheitsprobleme melden, geben Sie rasc Feedback. Wenn Benutzer sich nach dem Klicken auf einen Link in einem Phishing-E-Mail mit dem SOC in Verbindung setzen verzichten Sie auf Schuldzuweisungen und danken Sie stattdessen für die Meldung. Sprechen Sie über Vorfälle, wie Si damit umgegangen sind und wie diese in Zukunft vermieden werden können. Durch die verbesserte Überwachung und schneller Reaktion des SOC, wird die Zeit bis zur Erkennung von Vorfällen sinken. Rapportieren Sie dies dem Management, dami diesen den Mehrwert des SOC sehen. Es sind kleine Dinge in Ihrem Verhalten und Ihrer Kommunikation, welche gross Auswirkungen haben können.
Zweitens, integrieren Sie vertrauensbildende Aktivitäten in Ihre Incident Planung. Klein anfangen und dann wachsen, is einer der Erfolgsfaktoren beim Aufbau eines SOC. Zunächst müssen Sie entscheiden, welche Use-Cases Sie als Erste adressieren wollen und welche Fähigkeiten Ihr SOC zu Beginn braucht. Während dieser initialen Priorisierung sollten Si auch die positive Sichtbarkeit im Auge behalten. Identifizieren Sie wichtige Stakeholder in Management und IT-Betrieb die von einem Use-Case Sichtbar profitieren können. Nehmen Sie, wo es angebracht ist, Kommunikation un Selbstvermarktung explizit als Aktivitäten in Ihre Playbooks auf. Achten Sie jedoch darauf, keine vertrauliche Informationen über Sicherheitslücken preiszugeben und in der Kommunikation nicht den Opfern (z.B. dem «dummen» Benutzer die Schuld zuzuschieben.
Drittens suchen Sie Anwendungsfälle bei denen Sie dank der neuen Detektionsfähigkeiten präventive Schutzmaßnahme reduzieren und somit die Benutzer entlasten können. Schließlich verfügen Sie jetzt über ein SOC, welches eine schnell Erkennung und Reaktion ermöglicht. Identifizieren Sie zum Beispiel Zugriffsbeschränkungen mit vielen False Positive (ungerechtfertigtes Zugriffsverweigerungen) und suchen Sie stattdessen Indikatoren, wie ungewöhnliche Zeitpunkt ode Zugriffsorte, mit denen sie einen verdächtigen Zugriff identifizieren können. Anstelle der restriktiven Zugriffrichtlin mit vielen False Positives, können Sie so eine verbesserte Überwachung aufbauen, die Zugriffrichtlinie lockern und dami den Impact auf die Benutzer reduzieren. Oder nutzen sie die Überwachungsfähigkeit und Threat Intelligence des SOC u Angriffe auf bekannte Schwachstellen zu erkennen und abzuwehren. Dadurch verschaffen sie der IT Zeit die System ordentlich und ohne Betriebsausfallrisiken zu patchen.
Diese dritte Strategie ist eher etwas für Ihre mittelfristigen Ziele, aber wenn sie dies von Beginn im Hinterkop behalten, hilft es Ihnen die richtige Einstellung zu entwickeln, um effektiven Mehrwert für Ihr Unternehmen zu schaffen.
Zusammenfassend ist wichtig zu verstehen, dass die Unternehmensführung im Notfall wissen möchte, wen sie anrufen und we sie vertrauen kann. Wenn sich das SOC zuerst vorstellen muss oder die Führung denkt, das sind die die immer Wol schreien, wird Ihr SOC nicht in der Lage sein, seine Mission zu erfüllen und die Organisation vor weiteren Schäden z schützen. Bauen sie daher Ihr SOC von Anfang an mit dem Ziel ein vertrauenswürdiger Partner für Ihre Organisation z sein.
Der Inhalt dieses Artikels hat Bruno Blumenthal auch anlässlich eines Referats an de Swiss Cyber Storm 2019 vorgestellt. Die entsprechenden Folien können auf unsere Website heruntergeladen werden.