SOCs widerstandsfähiger machen – Making SOCs more resilient

An diesem Beispiel sieht man gut, wie das SOC aufgrund zu vieler getroffener Annahmen über die zu schützende Umgebung und die zu verarbeitenden Daten scheiterte. „Es ist daher dringend notwendig, dass sich die Rolle der Sicherheitsteams aufgrund der gestiegenen Sicherheitsanforderungen und der zunehmenden Komplexität moderner IT-Umgebungen weiterentwickelt“, verdeutlicht Andy Grolnick, CEO des SIEM-Sicherheitsanbieters Graylog, die Lage.

„Sicherheitsteams müssen bei der Verteidigung ihrer Organisationen sowohl proaktiv als auch effektiv sein. Anstatt den Magic Ball zu schütteln und davon auszugehen, dass ihr Security Information and Event Management (SIEM) zuverlässige Erkenntnisse liefert, müssen Sicherheitsteams zu den Grundlagen der Sicherheitsstrategie zurückkehren.“

Laut Grolnick sind die folgenden vier Bereiche wichtig, werden aber oft vergessen.

1. Heimvorteil nutzen

SOCs befassen sich oft nur noch mit Warnungen und erfassten Daten, die sie erhalten. Was dabei vergessen wird, ist die Schaffung einer Umgebung, die für den Angreifer feindlich ist. Dabei geht es nicht nur um Täuschung, sondern auch um grundlegende Konfigurationsänderungen. Sie können es einem Angreifer erschweren, Zugriffe zu erhalten oder diesen auszuweiten und ihn zu einer Aktivität zu zwingen, die protokolliert wird. Diese Sicherheitsvorkehrungen erstrecken sich über das gesamte Unternehmensnetzwerk. Dabei geht es nicht um die Konfiguration von Endpoint Detection and Response (EDR) oder Sicherheitstools, sondern um die Zusammenarbeit mit dem IT-Team bei der Konfiguration und Sicherung des Betriebssystems und der Anwendung.

2. Datenhygiene priorisieren

Die goldene Regel ist, genau zu wissen, welche Ressourcen vorhanden sind, wo sie sich befinden und welche Art von Daten sie produzieren. Gibt es eine Lücke in der Sichtbarkeit, die geschlossen werden muss für bessere Untersuchungen und Analysen? Sobald klar ist, welche Protokolle eingehen sollen, sollten SOCs die Konfiguration dokumentieren. Dies ist hilfreich, wenn der Protokollfluss unterbrochen oder geändert wird. Es hilft auch bei der Einhaltung gesetzlicher Vorschriften oder bei Audits.

Sobald Unternehmen einen Überblick darüber haben, welche Daten von welchen Geräten eingehen, können sie nach diesen Daten suchen und erwarten, dass die Ergebnisse korrekt sind: werden beispielsweise keine prozessbezogenen Daten erfasst, ist es nicht sinnvoll nach Prozessnamen zu suchen.

SOCs sollten regelmäßig prüfen, ob sich das Datenvolumen der Geräte drastisch verändert hat. Dies könnte auf eine Änderung der Protokolleinstellungen, ein Upgrade, eine Fehlersuche oder einfach einen Fehler in der Konfiguration zurückzuführen sein. Der größte Nachteil ist, dass die meisten SIEM-Architekturen auf einer bestimmten Datenmenge basieren, die aufgenommen werden soll. Insbesondere die Speicheranforderungen zur Erfüllung von Compliance-Richtlinien oder Anwendungsfällen werden auf der Grundlage dieser Annahme erstellt. Wenn das Datenvolumen zunimmt, aber die Speichergröße nicht steigt, verkürzt sich der Zeitbereich der Daten.

3. In Cybersicherheitsschulungen investieren

Die IT-Branche unterliegt im Allgemeinen einem raschen Wandel. Neue Technologien, unterschiedliche Architekturmethoden und Software verändern die Art und Weise, wie Unternehmen Geschäftsprobleme lösen. Um auf dem Laufenden zu bleiben, wie Angreifer diese neuen Möglichkeiten missbrauchen und wie man sich richtig dagegen verteidigt, ist eine beständige Weiterbildung erforderlich. Wenn das SOC kein Budget hat, um technische Kurse und nicht nur Zertifizierungen zu absolvieren, und wenn es keine praktische Lernumgebung gibt, wird die Fähigkeit des SOC, effektiv zu arbeiten, beeinträchtigt. Die Analysten brauchen auch Zugang zu einer Laborumgebung, in der sie lernen können, wie man Dinge einrichtet und wie man sie ohne Angst zerstört. Sie sollten über eine Laborumgebung verfügen, in der dieselben Technologien eingesetzt werden wie im Unternehmen, damit sie besser verstehen, wie diese Technologien funktionieren und wie sie zu deren Schutz beitragen.

4. Interne Abteilungssilos aufbrechen

Große Unternehmen, Fernarbeit, Neueinstellungen, unterschiedliche Teams und externe Geschäftsbereiche oder Dienstleister erschweren die Sicherheit zusätzlich. Für SOCs ist es unübersichtlicher geworden, zu erkennen, wer wirklich zum Team gehört, und für das Unternehmen arbeitet, jeden zu kennen und Vertrauen aufzubauen. In den meisten Fällen betrifft ein Sicherheitsvorfall mehrere Unternehmensbereiche. Wenn SOCs bereits über positive Beziehungen zu diesen Gruppen verfügen, wird die Reaktion auf einen Vorfall schneller und reibungsloser verlaufen. Wenn das SOC jemanden außerhalb seines unmittelbaren Teams kontaktiert, sollten die Mitarbeitenden Kenntnis davon haben für einen reibungsloseren Ablauf.

„Auch wenn sich die Bedrohungen weiterentwickeln, müssen Angreifer in den meisten Fällen keine ausgeklügelten Angriffe durchführen. Es sind die einfachen Dinge, die sie eindringen lassen und es ihnen ermöglichen, sich zu bewegen. Indem man den Heimvorteil zurückerobert, der Datenhygiene Priorität einräumt, in die Ausbildung investiert und interne Abteilungssilos aufbricht, kann man die Angreifer verlangsamen und ihnen das Leben schwer machen. Auch wenn die Grundlagen vielleicht übersehen werden, ist ihre Beherrschung der Schlüssel zur Erkennung und Begrenzung des Aktionsradius von Cyber-Bedrohungen, bevor sie erheblichen Schaden anrichten,“ so Grolnick abschließend.

This example clearly shows how the SOC failed due to too many assumptions about the environment to be protected and the data to be processed. “It is therefore imperative that the role of security teams evolve in response to increased security requirements and the growing complexity of modern IT environments,” explains Andy Grolnick, CEO of SIEM security provider Graylog.

„Security teams must be both proactive and effective in defending their organizations. Instead of shaking the magic ball and assuming that their Security Information and Event Management (SIEM) provides reliable insights, security teams need to return to the basics of security strategy.“

According to Grolnick, the following four areas are important but are often overlooked.

1. Leverage home field advantage

SOCs often only deal with alerts and captured data they receive. What gets forgotten is creating an environment that is hostile to the attacker. This is not just about deception, but also about fundamental configuration changes. You can make it difficult for an attacker to gain or expand access and force them to engage in activity that is logged. These security measures extend across the entire corporate network. This is not about configuring endpoint detection and response (EDR) or security tools, but about working with the IT team to configure and secure the operating system and application.

2. Prioritize data hygiene

The golden rule is to know exactly what resources are available, where they are located, and what kind of data they produce. Is there a gap in visibility that needs to be closed for better investigation and analysis? Once it is clear which logs should be received, SOCs should document the configuration. This is helpful if the log flow is interrupted or changed. It also helps with regulatory compliance or audits.

Once companies have an overview of what data is coming in from which devices, they can search for that data and expect the results to be accurate: for example, if no process-related data is being collected, it does not make sense to search for process names.

SOCs should regularly check whether the data volume of the devices has changed dramatically. This could be due to a change in log settings, an upgrade, troubleshooting, or simply a configuration error. The biggest drawback is that most SIEM architectures are based on a specific amount of data to be recorded. In particular, storage requirements for compliance or use cases are based on this assumption. If the data volume increases but the storage size does not, the time range of the data is shortened.

3. Invest in cybersecurity training

The IT industry is generally subject to rapid change. New technologies, different architecture methods, and software are changing the way companies solve business problems. To stay up to date on how attackers are exploiting these new opportunities and how to defend against them properly, ongoing training is necessary. If the SOC does not have the budget to take technical courses, not just certifications, and if there is no practical learning environment, the SOC’s ability to work effectively will be compromised. Analysts also need access to a lab environment where they can learn how to set things up and how to destroy them without fear. They should have a lab environment that uses the same technologies as the company so they can better understand how these technologies work and how they contribute to protecting them.

4. Break down internal silos

Large companies, remote working, new hires, different teams, and external business units or service providers make security even more difficult. It has become more difficult for SOCs to identify who really belongs to the team and works for the company, to know everyone, and to build trust. In most cases, a security incident affects multiple areas of the company. If SOCs already have positive relationships with these groups, the response to an incident will be faster and smoother. When the SOC contacts someone outside its immediate team, employees should be aware of this to ensure a smoother process.

„Even as threats evolve, in most cases attackers don’t need to carry out sophisticated attacks. It’s the simple things that let them in and allow them to move around. By regaining the home field advantage, prioritizing data hygiene, investing in training, and breaking down internal departmental silos, you can slow down attackers and make life difficult for them. Even though the basics may be overlooked, mastering them is key to detecting and limiting the scope of cyber threats before they cause significant damage,“ Grolnick concludes.