Security Operations Center

Ein SOC (Security Operations Center) überwacht nicht nur Ihre Computer-Systeme, sondern sammelt weltweit Anzeichen von Cyberattacken um vorzeitig Gegenmaßnahmen auch für Ihr Unternehmen einleiten zu können.

Größere Unternehmen leisten sich ein eigenes SOC und beschäftigen Sicherheits-Experten die direkt in Unternehmensabläufe eingebunden sind. Auch als Dienstleistung lässt sich der Service eines SOC einkaufen. Sie verbinden dann Ihre Sicherheitssysteme wie Firewalls, Mailserver, Active Directory, Einbruch-Frühwarnsysteme (IDS/IPS) mit dem SOC sodass dort die Sicherheitsereignisse zusammengefasst und mit den weltweit vorgehenden Attacken abgeglichen werden können.

Zero-Day-Lücke

Bekannt gewordene Sicherheits-Lücken werden den Herstellern mitgeteilt, sodass diese Gegenmaßnahmen einleiten können, bzw. Softwarefehler korrigieren. Die Zeit die vergeht von dem Bekannt werden der Lücke bis zur Behebung durch den Software-Hersteller ist natürlich entscheidend. Unbekannt bleibt die Zeit seit der diese Lücke bereits ausgenutzt wird. Diese Zero-Day-Lücke stellt ein großes Problem dar und muss adressiert werden.

CISSP

Die Certified Information Systems Security Professional (CISSP) Zertifizierung wurde vom (ISC)2 (dem International Information Systems Security Certification Consortium, Inc.) entwickelt. Diese Zertifizierung ist die Schlüsselqualifikation für Professionals, die eine leitende Position in der Informationssicherheit anstreben. Diese Personen weisen damit umfassende Kenntnisse in den folgenden Themenbereichen (CBK, Common Body of Knowledge) nach:

  1. Sicherheit und Risikomanagement
  2. Asset Sicherheit
  3. Security Architecture und Engineering
  4. Kommunikation und Netzwerksicherheit
  5. Identitäts- und Zugangssteuerung
  6. Sicherheitsbewertung und Testing
  7. Security Operations
  8. Software-Bereitstellungsschutz

CRISC

Eine CRISC™-Zertifizierung ist eine Personenzertifizierung und wird erworben von Fachexperten, die sich auf dem Gebiet von IT-Risikomanagement und Enterprise Risk Management weitergebildet haben.

Das CRISC™-Examen ist keine Qualifikation für Berufsanfänger. Es bedarf fundierte Berufserfahrung im Bereich Risikomanagement sowie interner IT-Kontrollen.

Diese Zertifizierung wird von der ISACA ausgegeben.

Entwicklung der perfekten Sicherheits-Strategie

Die Daten sind die Basis für ein erfolgreiches Geschäft. Ihre Daten laufen durch viele Prozesse in Ihrem Unternehmen, werden neu erzeugt, gespeichert, verändert, transportiert und gelöscht. Dieses nennt man auch den Datenkreislauf. Während dieser Laufzeit verändert sich die Sensibilität dieser Daten von streng vertraulich über vertraulich zu intern, und bis zu öffentlich. Das trifft beispielsweise auf Ihr neues Marketingkonzept oder auch ihre (Business-) Pläne zu. Nach der Veröffentlichung dieser Daten, ist ein teurer Schutz nicht mehr notwendig. Andersherum, wenn in Ihrem Unternehmen Daten „veredelt“ werden, verändert sich ihre Kategorie von „öffentlich“ bis zu „streng vertraulich“. Daher müssen Sie diese Daten erst nach ihrer Verarbeitung mit einem höheren Aufwand schützen.

In einer mehrschichtigen Sicherheits-Architektur stellt das Sicherheitskonzept die zweite von fünf Sicherheitsschichten dar. Cybersecurity Profis unterscheiden fünf unterschiedliche Maßnahmen: abschrecken, verhindern, erkennen, vorbeugen und wiederherstellen. Häufig wird auch ein sechster Maßnahmentyp genannt, der eingesetzt wird wenn eine der vorher genannten Maßnahmen nicht aufgebaut werden kann: dieser wird als “kompensierend” bezeichnet. Diese mehrschichtige Architektur wird häufig als Defense-in-Depth Ansatz, also durchgängige Abwehr genannt. Die fünf Schichten eines solchen Konzepts sind wie folgt:

Abschreckung

Nicht nur klassische Maßnahmen wie Kameras, Zäune oder Sicherheitspersonal stellen diesen Typ Maßnahme dar. Es kommen auch IT-Maßnahmen wie sogenannte “Banner”, also die Meldungen beim Start einer Anwendung, zum Einsatz und weisen den Nutzer auf Überwachungs- und Strafverfolgungsmaßnahmen hin.

Prävention

Die Cybersecurity-Strategie stellt als präventive Maßnahme das wichtigste Instrument bei der Abwehr gegen Cybergefahren dar. Auf Basis mehrerer Gespräche mit Ihren Mitarbeitern entwickeln Sie eine mehrschichtige Strategie aus Sicherheitsmaßnahmen, die Ihr Unternehmen, oder auch nur einen Teilbereich (wie z.B. eine Webanwendung), direkt vor typischen Gefahren schützen.

Cyber-Angriffe wirken direkt in Ihren Anwendungen am kritischsten. Auf Netzwerkebene eingeführte Abwehrsysteme, wie z.B. Intrusion-Detection-Systeme (IDS) oder Web-Application-Firewalls (WAF), können nicht alle (bekannten) Angriffsmuster erkennen, wie beispielsweise Zeroday-Attacken.

Erkennung

Daher bauen Ihre Entwickler direkt in den Anwendungen Sicherheitsfunktionen ein, die unerlaubte, untypische also nicht erwartete Zustände, erkennen. Um diese Angriffs-Szenarien erkennen zu können, modellieren Ihre Entwickler potentielle Angriffe (Threat-Modelling) und können dabei destruktive Ereignisse erkennen.

Diese Ereignisse werden an eine zentrale Stelle gesendet und können dort gesammelt, miteinander verknüpft, auf Einbruchsversuche hinweisen. Nur dann ist es möglich diese Mißbrauchsversuche (z.B. Zeroday) abzuwenden.

Vorbeugung

Gegen System-Überlastung oder Daten-Verlust werden vorbeugende Maßnahmen aufgebaut, die im Ernstfall eingesetzt werden können. Dazu zählen beispielsweise Skalierung, um bei Anstieg der Last weitere Resourcen nachzulegen, Backups, um bei Korruption oder gar Verschlüsselung von Daten auf einen vorhergehenden Zustand zurück gehen zu können. Zur Wiederherstellung eines Betroffenen Betriebes (z.B. nach einer Crypto-Attacke) erstellen Sie für Ihr Unternehmen beispielsweise ein Backup-Konzept welches durch regelmäßige Notfallübungen (also Zurückspielen von Sicherungen) überprüft wird. Es stellt Ihr Sicherheits-Netz dar, wie es Artisten im Zirkus einsetzen. Auch der Aufbau von Ausfallrechenzentren zählt zu diesem Maßnahmentyp.

Wiederherstellung

Diese Maßnahme benötigt in der Regel die zuvor aufgebauten Vorbeugungsmaßnahmen. Gemäß Notfallplan werden die zuvor definierten Kommunikationswege genutzt und Mitarbeiter oder Außenstehende informiert. Je nach Scenario werden bestimmte Bereiche oder Netzwerke isoliert und Systeme wieder hergestellt.

Zum Aufbau einer Sicherheitsstrategie analysieren Sie die Value-Streams in Ihrem Unternehmen, stellen fest in welcher Richtung sich Daten hinsichtlich ihrer Sensibilität verändern und definieren Sicherheitsmaßnahmen unter Berücksichtigung der oben genannten mehrschichtigen Architekturprinzipien. Dabei berücksichtigen Sie die für Ihren Betrieb angemessene Technologieauswahl, das Design von Sicherheitsprozessen (z.B. Vulnerability-, Incident- oder Patch-Management) als auch eine sinnvolle Aufgaben-Verteilung im Unternehmen.

Werden diese drei Domains aus Architektur, Lifecycle und Business-Management (People-Process-Technology) richtig dosiert, entsteht die für Ihr Unternehmen perfekte Sicherheits-Strategie.