Auch bei angemessenen präventiven Sicherheitsmassnahmen, lassen sich leider Sicherheitsvorfälle nicht zu 100% vermeiden. Der schnellen Erkennung von Angriffen und Breaches (Detection) sowie der zeitnahen Einleitung von Gegenmassnahmen (Response) kommen deshalb eine wichtige Bedeutung zu. Grosse Unternehmen setzen dabei häufig auf ein dediziertes Security Operations Centre (SOC) für die Aufrechterhaltung und Wiederherstellung eines definierten Sicherheitsniveaus.


Vollwertiges SOC – mächtig, aber herausfordend

Typischerweise leistet ein SOC neben der Überwachung aller IT-Systeme, Alarmierung, Response und Remediation auch proaktive Arbeiten wie die Analyse der aktuellen Bedrohungslage und das Erkennen von Schwachstellen und deren Beseitigung.

Aufbau und Betrieb eines SOC sind personell, organisatorisch und auch technisch herausfordernd und entsprechend mit hohen Kosten verbunden. Für kleine und mittelgrosse Unternehmen sind deshalb Investitionen in ein eigens internes SOC häufig kein Thema. Verschiedene Security-Firmen in der Schweiz bieten als Alternative SOC-as-a-Service Leistungen mit unterschiedlichem Umfang bzgl. Sensoren, Use Cases sowie Betriebs-Modellen und Response/Remediation-Leistungen an. Diese Services sind in der Regel für mittlere und grössere Unternehmen konzipiert, so dass auch hier die finanzielle Einstiegshürde für kleinere Organisationen zu hoch sein kann.


Security Monitoring auf Basis EDR- und/oder NDR-Lösung

Alternativ zu einem vollwertigen SOC gibt es jedoch auch andere sinnvolle Möglichkeiten, in Richtung Detection und Response zu investieren, um sich besser vor modernen Angriffen zu schützen.

Basis jeglicher Erkennung von Security Incidents ist ein funktionierendes Security Monitoring, d.h. die systematische Überwachung von IT-Infrastruktur (bzw. deren Logs) und Erkennung von auffälligem oder aussergewöhnlichem Verhalten. Statt direkt auf den Logs aufzusetzen und selber Regeln zu schreiben, können EDR (Endpoint Detection und Response) oder NDR (Network Detection und Response) Lösungen eingesetzt werden. Diese kombinieren unterschiedliche Mechanismen und Algorithmen (inkl. AI) sowie tagesaktuelle Threat Intelligence, um verdächtiges Verhalten zu erkennen und entsprechend priorisierte Events zu generieren – d.h. aus reinen Logs und Daten tatsächliche Insights zu generieren.

Die Priorisierung und Darstellung von Events und deren Kontext geschieht direkt im EDR oder NDR Dashboard – d.h. es ist grundsätzlich keine Drittlösung oder SIEM erforderlich. Falls gewünscht können via API auch Daten von anderen Lösungen (z.B.: NDR-Daten bei einer EDR-Lösung oder umgekehrt) integriert werden. Im Dashboard werden die Events dann weiter analysiert und klassifiziert (z.B. Angriffs-Typ und -Kette), um die nötigen Sofortmassnahmen zu definieren (wie Isolation eines Geräts) und das Angriff-Ausmass abzuschätzen. Insbesondere EDR-Lösungen erlauben es auch, Policies oder Drehbücher zu hinterlegen, um bei gewissen Alerts automatisch Response-Aktionen auszuführen.

Trotz aller in EDR- und NDR-Produkten eingebauter technologischer Unterstützung, braucht es für die abschliessende Analyse und Qualifikation eines Events einen erfahrenen Security-Experten mit Kenntnissen des Gesamtkontexts (Unternehmens-Infrastruktur, Use Cases etc.). Falls interne Ressourcen fehlen, kann diese «menschliche» Detection und Response Komponente auch als Zusatz-Service entweder direkt beim EDR- bzw. NDR-Hersteller oder beim IT-Security Partner Ihres Vertrauens bezogen werden.


Fazit

Abhängig von Zielen, Anforderungen und Budget-Rahmen stellt ein Security-Monitoring so auf Basis einer EDR und/oder NDR-Lösung eine valable SOC-Alternative mit gutem Kosten-/Nutzen-Verhältnis dar.