SOC + x = CFC? : Cyber-Fusion-Center – das neue Maß der Dinge in Sachen Unternehmenssicherheit?
Dem Security-Operations-Center (SOC), bislang gängiger Ansatz der Unternehmenssicherheit, steht eine Evolution zum Cyber-Fusion-Center (CFC) bevor, prognostiziert unser Autor. Das neuere ganzheitliche und integrative Modell soll modernen Bedrohungsszenarien effektiver entgegentreten können.
Für Unternehmen, die seit mehreren Jahren ein Security-Operations-Center (SOC) betreiben, stellt sich die Frage: Wie können sie noch mehr Wert schaffen und ihren Return on Investment verbessern? Denn angesichts zunehmender Cyberbedrohungen werden SOCs zunehmend ressourcenintensiver – der chronische Fachkräftemangel im technischen Bereich erschwert gleichzeitig die Suche nach hochqualifizierten Sicherheitsanalysten. Überdies agieren Angreifer immer versierter und anspruchsvoller. Für Unternehmen bedeutet das oft, auf Automatisierung setzen zu müssen, um die Leistung ihrer SOCs zu verbessern. Als Weiterentwicklung, um die SOC-Strategie voranzubringen oder als alternatives Konzept, ist zudem immer häufiger vom Cyber-Fusion-Center (CFC) die Rede.
Stand heute
SOCs haben ihren Ursprung in Network-Operations-Centers (NOCs), die „damals“ auch für die IT-Sicherheitsüberwachung im Unternehmen zuständig waren. Mehr oder minder zeitgleich sind weitere funktionsspezifische Gruppen wie Computer-Emergency-Response-Teams (CERTs) für die Reaktion auf Sicherheitsvorfälle sowie forensische Untersuchungen und Cyber-Defense-Centers (CDCs) für die Analyse und Bewertung von Bedrohungen entstanden.
In heutigen SOCs verbringen Analysten viel Zeit mit der Behandlung bekannter Bedrohungen und zu wenig mit der Suche nach neuen Bedrohungen und der Abwehr gezielter Angriffe. Mittels intelligenter Automatisierung von sich wiederholenden Aufgaben können SOC-Analysten Zeit gewinnen, um die Cybersicherheit intelligenter anzugehen.
Es gibt drei Stufen von Bedrohungen, denen SOCs typischerweise begegnen: Am einfachsten zu bewältigen sind bekannte Bedrohungen wie verbreitete Malware, die es seit Jahren gibt. Die kann man relativ leicht in den Griff bekommen, da es Patches gibt, um sie abzuwehren. Die nächste Stufe bilden etwas anspruchsvollere Malware- und Zero-Day-Angriffe, die immer häufiger werden: Ein SOC kann diese ohne allzu große Schwierigkeiten verhindern, indem es sich an Best-Practice-Richtlinien hält. Am anderen Ende des Spektrums stehen besonders ausgefeilte Bedrohungen: etwa gezielte Angriffe, bei denen kriminelle Gruppen oder sogar nationalstaatliche Akteure aufwendige Angriffe über mehrere Wochen oder Monate hinweg durchführen. Auf solchen gezielten Angriffen sollte der Schwerpunkt eines SOC liegen!
Herausforderungen
SOC-Analysten gehen mit Bedrohungen um, indem sie die in einem sogenannten Playbook dargestellten Prozesse verfolgen. Sie werden dabei über die Schritte informiert, die sie durchführen müssen, um einen Angriff zu stoppen. Dies kann ganz mechanisch erfolgen: Sie durchlaufen dann die gleichen vier oder fünf Schritte, ohne zwischen einfachen und schweren Angriffen zu unterscheiden. Das liegt nicht zuletzt an den großen Mengen von Bedrohungsinformationen aus automatisierten Präventionsmechanismen wie Firewalls und Endpunktschutzprogrammen, die es zu verarbeiten gilt. Eine funktionierende Prävention produziert eine Vielzahl von Bedrohungsdaten aus dem gesamten Netzwerk, die manuell analysiert werden müssen. Die Zahl der heute zu verarbeitenden Warnmeldungen kann ein SOC schnell überfordern.
Ein gezielter Angriff erfolgt indessen oft in mehreren Phasen und könnte etwa mit einer Spear-Phishing-Kampagne beginnen, bei der Angreifer E-Mails mit einer bekannten Adresse versenden, um einen Benutzer dazu zu bringen, auf einen Link zu klicken und Malware herunterzuladen. Diese E-Mails dienen also dazu, sich Zugang zu einem Netzwerk zu verschaffen und dann eine erste Auskundschaftung durchzuführen, bevor ein länger anhaltender Angriff stattfindet. Ein SOC-Analyst befolgt hier typischerweise die gleichen Playbook-Regeln, um die Phishing-Folgen zu beheben, wie bei weniger anspruchsvollen Angriffen. Besser wäre es, derart einfache Prozesse zu automatisieren und mehr Zeit mit anspruchsvolleren Aufgaben gezielter Angriffe sowie der Bedrohungssuche zu verbringen.
Die Kurzschlussreaktion der meisten Unternehmen besteht jedoch darin, immer mehr Analysten in das SOC aufzunehmen, um sich mit der wachsenden Zahl von Warnungen auseinanderzusetzen. Eine effektivere Möglichkeit, mit dieser Überlastung umzugehen, wäre es, alle Präventionsprogramme zusammenzufassen, sodass die Daten in einem zentralen Dashboard zusammenlaufen. Dort ließen sich Bedrohungen zentral in diejenigen aufteilen, die einfach zu handhaben sind (und auch von automatisierten Systemen bewältigt werden können), und solche, die tatsächlich menschliche Eingriffe erfordern.
Zwischenschritt: Automatisierung
Low-Level-Bedrohungen lassen sich gut automatisieren, indem man die im SOC-Playbook beschriebenen Prozesse übernimmt (s. a. S. 10). Wenn beispielsweise eine Cyberbedrohung für eine Bank entdeckt wird, sendet ein Sicherheitsanbieter in der Regel eine Warnmeldung an ähnlich große Banken. Nach Erhalt der Benachrichtigung durchsuchen deren SOC-Analysten ihre Netzwerke nach Dateien mit ähnlichen Merkmalen wie bei der bekannten Bedrohung. Finden sie solche Dateien, können sie das Problem lösen – wahrscheinlich mit einem Patch.
Bei einem SOC der nächsten Generation erfolgt diese Bedrohungsaufklärung automatisiert: Ein Anbieter, der eine mögliche Bedrohung entdeckt, sendet die Informationen an das SOC des Kundenunternehmens. Es scannt dann automatisch das betreute Netzwerk, um zu sehen, ob die betreffende Datei in das System gelangt ist. Wenn es eine Infektion identifiziert, nimmt es das jeweilige Gerät aus dem Netzwerk, benachrichtigt den SOC-Analysten und öffnet ein Ticket, um diese Bedrohung zu bearbeiten. Das alles sollte innerhalb von Sekunden nach der Meldung geschehen, und nicht erst in den Stunden, die ein „manuelles“ SOC hierfür benötigt.
Der nächste Schritt
Unabhängig davon, welche operativen Gruppen man zur Bewältigung von Sicherheitsfragen geschaffen hat, mussten wohl alle Verantwortlichen zwei Realitäten anerkennen: Erstens können sich SOCs nicht auf jede denkbare Bedrohung vorbereiten – daher müssen sich die InfoSec-Verantwortlichen auf Bedrohungen beschränken, die in freier Wildbahn beobachtet werden. Und zweitens werden die Zusammenarbeit, der Austausch von Fachwissen und letztendlich die Reaktionszeit auf Vorfälle behindert, wenn verschiedene Gruppen für die Überwachung, die Reaktion auf Vorfälle, die Analyse und die Forensik zuständig sind.
Für die kommenden Herausforderungen müssen sich SOCs weiterentwickeln und nicht nur aus der IT-Abteilung heraus agieren, sondern in allen Geschäftsbereichen des Unternehmens verankert sein! Mit der Migration großer Teile der Geschäfts-IT in die Cloud und dem Trend zu „Development-Operations“ (DevOps) sind neue Rahmenbedingungen für den Sicherheitsbetrieb entstanden: In der Folge muss man Sicherheit so früh wie möglich in den Entwicklungslebenszyklus integrieren („Shift Left“). Ebenso wichtig ist es, Sicherheitsanforderungen während des gesamten Lebenszyklus der Softwareentwicklung auf Entwurfs- und Architekturebene zu berücksichtigen (Security by Design).
Von DevOps können Cybersicherheitsprozesse aber auch profitieren: Denn DevOps entspricht von den Prinzipien her dem Cyber-Fusion-Center. Es soll der besseren Zusammenarbeit, stärkeren Resilienz/Widerstandsfähigkeit und kürzeren Markteinführungszeit dienen. DevOps nutzt dabei einen proaktiveren Ansatz für Resilienz und Bedrohungsmanagement, indem es Zusammenhänge aufdeckt, um die Situation besser einschätzen zu können. In der Realität scheitert dies jedoch oft noch an der Kommunikation zwischen SOC- und DevOps-Team (vgl. <kes> 2021#6, S. 25 und S. 20 in diesem Heft).
Eine weitere Herausforderung stellen zunehmend automatisierte Cyberbedrohungen dar. Denn auch Cyberkriminelle setzen auf Automatisierung, gerade bei Phishing- und Ransomware-Angriffen, was die Bedrohungsabwehr aufwendiger macht – und ebenfalls automatisierte Antworten erfordert, um schnell und effizient genug reagieren zu können.
Zukunftsmodell CFC
Für das klassische, zentralisierte SOC wird es in jedem Fall nicht einfacher, Unternehmen effektiv zu schützen. Parallel zum Security-Operations-Center – oder auch als dessen Weiterentwicklung – hat daher in den letzten Jahren das Cyber-Fusion-Center (CFC) begonnen, sich als neues Modell der Unternehmenssicherheit zu etablieren.
CFCs machen die Cyberwelt nicht nur um ein Akronym reicher, sondern gelten vielen in der Sicherheitscommunity bereits als „Next Generation SOC“ oder gar als etwas eigenständiges Neues.
Das CFC-Modell ist optimal zugeschnitten auf eine effektive Unternehmenssicherheit vor dem Hintergrund aktueller und künftig zu erwartender, noch stärker automatisiert und gezielt verlaufender Angriffe und Bedrohungen. Teile des SOC-Arsenals finden sich auch im CFC wieder – darunter Services zur Bedrohungserkennung und Reaktion auf Bedrohungen (Incident-Response) sowie fortschrittliche Sicherheitsfunktionen wie Bedrohungsinformationsdienste (Threat-Intelligence), Bedrohungsverfolgung (Threat-Hunting), Security-Information-and-Event-Management-(SIEM)-Tools sowie Werkzeuge zur Analyse von Aktivitäten im Netzwerk. Unterstützende Lösungen für Governance und Compliance sind ebenfalls in ein CFC integriert.
Das Modell punktet aber nicht nur mit einem integrierten modernen Technologie-Mix, sondern „fusioniert“ eben auch zuvor getrennt operierende Teams wie IT-Betrieb und Sicherheitsbetrieb. Das Ziel ist es, Sicherheit ganzheitlich anzugehen, Synergien zu nutzen und proaktiver zu werden. Und das umfasst eine engere oder überhaupt erst stattfindende Zusammenarbeit zwischen den verschiedenen Teams sowie einen regen Austausch von Wissen. So geht es im CFC nicht nur um klassische SOC-Aufgaben, wie die Erkennung von Sicherheitsvorfällen und die Reaktion darauf, sondern darum, ein Unternehmen in Sachen Sicherheit insgesamt besser aufzustellen – das umfasst außer der Technik ebenso personelle Ressourcen, deren fachliche Fähigkeiten und nicht zuletzt eine übergreifende Strategie.
Durch die Integration von Sicherheitsfunktionen, Echtzeitdiensten und Teams, die an einem Strang ziehen, sind Unternehmen mit einem CFC besser gegen heutige Bedrohungsszenarien gewappnet: Relevante Informationen verschwinden dann nicht mehr im Nirgendwo zwischen IT-Betrieb, DevOps- und SOC-Team. Stattdessen setzt das CFC auf bessere Kommunikation, intensivere Zusammenarbeit, (noch) stärkere Automatisierung, proaktives Risikomanagement und schnellere Reaktion. Die beteiligten Teams tauschen wertvolle Informationen aus und können sich gegenseitig warnen, wenn sich an einer Stelle eine Sicherheitslücke zeigt oder es Anzeichen für eine Bedrohung gibt.
Early Adopters
CFC sind an sich für große, aber auch mittelständische Unternehmen aller Branchen interessant. Eine Vorreiterrolle nimmt jedoch die Finanzdienstleistungsbranche ein: Banken wissen, wie wichtig im Ernstfall der Austausch von Informationen zwischen verschiedenen Gruppen ist. Digitale Beutezüge (wie zuletzt bei Banken in Südostasien), vom Internet aus gehackte Geldautomaten, Manipulation bei SWIFT-Transaktionen und Insiderbedrohungen machen den Handlungsbedarf immer wieder deutlich. Zwischen den betroffenen Geschäftsbereichen, zuständigen Abteilungen und Sicherheitsteams mangelte es bislang – trotz fortschreitender Digitalisierung – oft an Strategien und Schnittstellen für die Zusammenarbeit. Bestehende SOCs sollte man daher stärker mit der Betrugsbekämpfung, Transaktionsüberwachung und physischen Sicherheit integrieren.
Ein weiterer naheliegender Einsatzbereich ist die Energiewirtschaft: Große, vorsätzlich herbeigeführte Blackouts, wie vor einigen Jahren in der Ukraine, zeigen schmerzhaft, dass kritische Infrastrukturen verletzlich sind. Die Betriebstechnik (Operational Technology, OT) ist längst nicht mehr völlig getrennt von der IT – Angreifer gelangen über das Internet in die Geschäftsumgebung und bewegen sich „seitwärts“ durch das Netzwerk (Lateral Movement), bis sie ein Schlupfloch finden, das zur Steuerungstechnik der OT-Umgebung führt. Auch hier ist heute eine Zusammenarbeit zwischen vormals strikt getrennten Abteilungen vonnöten, da die eingesetzte Technik ebenfalls zusammenwächst.
Die Fertigungsindustrie mit dem Trend zur hochgradig vernetzten Smart Factory – Stichwort „Industrie 4.0“ – ist ebenso ein CFC-Kandidat. Der spektakuläre Cyberangriff auf ein Stahlwerk in Deutschland liegt zwar schon einige Jahre zurück, hat bestehende Risiken jedoch anschaulich vor Augen geführt. Ebenso sinnvolle Anwendung könnten CFCs in der Transport- und Logistikbranche finden, wo die Digitalisierung von Fahrzeugen, autonomes Fahren und Telemetrie großes Potenzial versprechen – leider auch für Cyberkriminelle, die sich einhacken und großen Schaden anrichten können. All dies legt nahe, wie wichtig eine Integration von Informationssicherheit, OT-Sicherheit, IT-Betrieb und physischer Sicherheit ist.
Ganzheitlicher Ansatz
In der heutigen, dynamischen Bedrohungslandschaft kommen klassische „vertikale“ Ansätze der
Cybersicherheit an ihre Grenzen. Die Angriffsvektoren in IT-, IoT-, OT- und mobilen Umgebungen sind kaum noch überschaubar – dazu gesellen sich Insiderbedrohungen und gezielte Angriffe auf kritische Anlagen. Gefragt ist daher ein ganzheitlicher Ansatz, der alle sicherheitsrelevanten Teams und Umgebungen umfasst! Die bisherige Aufteilung der Sicherheitsaufgaben hat zu Silo-Strukturen geführt – oft mit schlecht oder gar nicht integrierten punktuellen Tools und Lösungen. Ebenso mangelt es häufig an der Integration und Zusammenarbeit von Teams und Abteilungen. Und eine Datenflut aus verschiedenen Quellen macht Sicherheitsanalysten zu schaffen, während sie nach verwertbaren Informationen suchen.
Der CFC-Ansatz setzt bei diesen Problemen an, um einiges besser zu machen: Die Sicherheitstechnologie steht schon bereit – das Zusammenspiel aller Beteiligten im Unternehmen muss aber noch besser koordiniert werden, um diese zeitgemäße Sicherheitsstrategie umzusetzen.
Ein CFC ermöglicht es Unternehmen, ihre Systeme zu optimieren und Informationen in realisierbare Strategien und Taktiken zu integrieren. Während die Anzahl und Art der Bedrohungen und Schwachstellen zunimmt, könnte das CFC-Modell die Fähigkeiten zur Erkennung und zum Schutz vor Bedrohungen stärken sowie gleichzeitig die Produktivität steigern und Kosten senken.
Fazit
Ein CFC stellt die Zusammenarbeit zwischen allen an der Unternehmenssicherheit beteiligten Teams her, was zu besseren Erkenntnissen, schnelleren Reaktionszeiten, geringeren Kosten und höherer Produktivität führt. Im Gegensatz zu den klassischerweise IT-fokussierten SOCs arbeiten im CFC Fachkräfte aus verschiedenen Abteilungen unter einem gemeinsamen Dach zusammen. Darunter findet man eben nicht nur das IT-Sicherheitsteam, sondern beispielsweise auch Abteilungen und Verantwortungsbereiche wie Produktentwicklung, Compliance und Governance. Genau dies macht letztlich den integrativen Charakter dieses ganzheitlichen Ansatzes aus, der den heutigen – und wohl auch künftigen – Herausforderungen daher besser gerecht wird.
Sergej Epp ist CSO für Zentraleuropa bei Palo Alto Networks.