SOC: Der Service gegen Hacker-Angriffe

  • Beitrag vom: 21.05.2019

Die Hotelkette Mariott meldete Ende November ein massives Datenleck, ins Regierungssystem wurde eingebrochen und auch Facebook hatte 2018 mit einem großen Datendiebstahl zu kämpfen. Nicht nur die Zahl der Hacker-Angriffe auf kritische Infrastruktursysteme nimmt zu. Auch die Art der Angriffe verändert sich. IT-Invasoren geht es nicht mehr nur um Spionage – sondern um Sabotage. Davor warnte das Bundesamt für Sicherheit und Informationstechnik Anfang des Jahres. Mehr als 800 Millionen Schadprogramme kursieren im Netz. Wer die alle im Blick behalten kann? Cyber-Experten von sogenannten Cyber Defense und Security Operation Centern (CDC + SOC). Ein zentraler Service, den Unternehmen auch buchen können, um ihre IT-Infrastruktur und Daten von Profis sichern zu lassen – gewissermaßen Cyber-Abwehr-as-a-Service.

Unternehmensnetze proaktiv schützen lassen

Man kann sich ein Security Operation Center vorstellen wie das Mission Control Center der NASA in Houston. Nur, dass sich auf den Monitoren keine Raketenstarts beobachten lassen, sondern Cyber-Angriffe – und das live, rund um die Uhr. Spezielle Systeme, wie etwa ein Security-Information- und Event-Management-System (SIEM), sammeln eingehende Daten. Security-Analysten verfolgen vor den Displays Ticker-Meldungen, auf anderen Bildschirmen blinken Security-Warnungen auf. Die IT-Profis überwachen und managen alle IT-Systeme und Endgeräte der Kunden, erkennen und beseitigen frühzeitig Bedrohungen – etwa LogIn-Eingaben aus nicht autorisierten Ländern, Attacken, die Systeme per Überlastung lahmlegen wollen oder Phishing-Mails, über die Hacker Schadsoftware installieren können.

Breite Palette an Managed Security Services

Im Falle einer Attacke können die SOC-Analysten mit den Kunden abgesprochene Gegenmaßnahmen direkt einleiten, die im sogenannten Runbook festgehalten sind. „Das kann im einfachsten Fall ein Anruf beim Kunden oder aber auch die Umkonfiguration von Security-Lösungen sein“, sagt Dirk Backofen, Leiter Telekom Security. Manchmal kommt es beispielsweise vor, dass der Traffic auf einer Webseite enorm ansteigt, weil der Kunde ein temporäres Angebot in den Shop hochgeladen hat, was zahlreiche Käufer auf die Seite lockt. Es kann sich aber auch um eine sogenannte DDOS-Attacke handeln, bei der die Online-Präsenz mit Datenmüll überhäuft und so blockiert wird. „Das müssen wir natürlich vorher abklären, um mit den richtigen Gegenmaßnahmen antworten zu können“, sagt Backofen.

Die Palette an buchbaren Services mit Anbindung an das CDC und SOC ist vielfältig: Security Assessments, Penetration Tests, Transparenz über alle Arten von Schwachstellen (Vulnerability Management), Cyber Defense-as-a-Service, Incident Response, Threat-Intelligence-as-a-Service, Alarmierung bei Auffinden von gehackten Accounts, Reportings zur Unterstützung der Erfüllung von Compliance-Auflagen des Kunden oder ein Security Consulting zur Beratung hinsichtlich der korrekten Security Architecture oder zum sicheren Umgang mit Daten. Die Basis für die Analysen der SOC-Experten bilden aggregierte sicherheitsrelevante Status- und Eventinformationen aus den unterschiedlichen Datenquellen im Unternehmen, die in SIEM-Systemen korreliert und bewertet werden. Zusätzlich zum aktiven Monitoring werden Reports unter anderem für das Management erstellt, sodass Unternehmen jederzeit auf dem Laufenden bleiben und über den Sicherheitszustand der Netze detailliert informiert sind. IT-Manager können mit den Ergebnissen ihre Security-Strategien anpassen, ohne sich parallel um die laufende Sicherheit der Netze kümmern zu müssen – das übernehmen die Profis aus dem Cyber Defense und Security Operation Center.

Security klappt nur im Team

Ein eigenes SOC im Unternehmen aufzubauen, ist mit hohen Kosten verbunden – eine Investition, die sich vor allem kleine und mittelständische Unternehmen nicht leisten können. Auch der Fachkräftemangel trägt dazu bei, dass Security-Themen oft noch stiefmütterlich behandelt werden. IT-Systeme sind meist über Jahre hinweg gewachsen und dementprechend vielfältig und komplex – und mitunter lückenhaft. Lücken, die Hacker finden und im schlimmsten Fall die gesamte Infrastruktur lahm legen können. „Es ist deswegen wichtig, dass Unternehmen aus Security keine One-Man-Show oder Wissens-Monopol machen“, sagt Backofen. Denn: Auch Hacker arbeiten nicht alleine. Cyber-Kriminalität ist mittlerweile organisiert wie ein Unternehmen, jede Abteilung verfolgt ihre konkreten Aufgaben: Die einen programmieren Malware, andere suchen gezielt nach Sicherheitslücken, wieder andere versenden SPAM-Mails. „Unternehmen sollten deswegen auf erfahrene Cyber-Security-Professionals setzen, die alle Arten von Angriffsvektoren aus den unterschiedlichen Industrien und die zugehörigen Gegenmaßnahmen kennen, um ihre Netzweke sicher und effizient zu schützen“, sagt Backofen.

Das Magneta Cyber-Schutzschild von der Telekom

Wie ein Rund-um-die-Uhr-Schutz für die IT-Infrastruktur aussehen kann, zeigt die Telekom seit Herbst 2017 mit dem intergrierten Cyber and Defense Security Operation Center in Bonn, das größte seiner Art in Europa. „Wir wollten aber nicht nur den Schutz für unsere eigenen Netzeoptimieren“, sagt Backofen. „Wir wollen unseren Beitrag zur Immunisierung der Gesellschaft gegen Cyber-Attacken für alle leisten. Daher teilen wir in unserem Cyber-Abwehr-Zentrum unser wichtigstes Gut auch mit externen Kunden – unser Wissen. Getreu dem Motto ‚Security is for sharing‘ bieten wir unseren Kunden die gleichen hochprofessionellen Tools und Services an, mit denen wir uns selbst schützen.“ Davon profitiert etwa die Linde Group. Der Industriegas-Spezialist aus München setzt auf ein hybrides SOC-Modell: Die Telekom-Experten nutzen ein SIEM-Werkzeug, um die Linde-Netze rund um die Uhr zu beobachten. „Wir erhalten dann in Echtzeit einen Alarm, falls das Team etwas Verdächtiges entdeckt“, sagt Klaus Brenk von Global Security Operations bei Linde. „Bei uns bearbeiten die Kollegen die Meldung dann weiter.“

Mehr als 240 Sicherheitsanalysten wachen mittlerweile über Netze und Daten von mehr als 70 Unternehmen weltweit – vom DAX-Konzern bis zum Mittelständler, vom Autohersteller bis zur Bankengruppe. Dabei analysiert das SOC täglich 2,5 Milliarden sicherheitsrelevante Daten aus den Telekom-Wirknetzen vollautomatisiert. Und das dabei generierte Wissen wird gesammelt: 20 Millionen unique Schadcodes sind bereits in einer speziellen Bibliothek des Providers registriert. Wichtig dabei: Partnerschaften und der Austausch mit Security-Hardwareherstellern. „Vor allem im Bereich Security ist Cisco ein wichtiger Zulieferer“, sagt Backofen. „Bei uns im SOC sitzen sehr viele Cisco-Experten, die sich speziell mit der beim Kunden verbauten Hardware ideal auskennen. Das ist natürlich ein Gewinn für unseren Service.“

Honeypots: Hacker tappen in die Falle

Eine besondere Rolle kommt außerdem den rund 2.500 über den Globus verteilten Honeypots zu, eine Art Falle für Hacker. Die Rechner oder Netzwerkkomponenten locken Angreifer gezielt zu vermeintlichen Schwachstellen in IT-Systemen. Rund 31 Millionen Angriffe detektieren die Experten im Durchschnitt täglich mit ihren Honeypots – live zu beobachten im Sicherheitstacho der Telekom. Backofen: „Für uns entstehen bei diesen fingierten Angriffen viele wichtige Daten, mit denen wir das Verhalten der Hacker studieren und deren Strategien besser verstehen können. Wir detektieren jeden Tag drei bis acht neue Angriffsmuster, die wir vorher noch nie gesehen haben. Diese analysieren wir und rüsten unsere Systeme gegen diese Art von neuen Angriffen. Bei einem späteren echten Angriff auf das Netz der Telekom oder das Unternehmensnetzwerk unserer Kunden sind wir dann perfekt gerüstet und können diese Attacken stoppen, ohne dass Schäden entstehen.“

Beiträge empfohlen von der Deutschen Telekom


https://www.heise.de/brandworlds/cloud-services/soc-der-service-gegen-hacker-angriffe/https://www.heise.de/brandworlds/cloud-services/soc-der-service-gegen-hacker-angriffe/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.