Das spannende SOC-Jahr 2024 liegt hinter uns und 2025 hat bereits begonnen. Ein guter Zeitpunkt, um einen Blick auf die aktuellen Entwicklungen zu werfen und sich auf die Trends im neuen Jahr gedanklich bereits einzustellen.

Die erfolgreichen Angriffe der letzten Monate zeigen, dass es die Angreifergruppen durchaus verstehen, ihre Taktiken stetig weiterzuentwickeln, um ihre Ziele zu erreichen. Entsprechend sollten SOC-Teams ihre Skills, Prozesse und Technologien regelmässig hinterfragen und auf ihre Angemessenheit gegenüber der aktuellen Bedrohungslage überprüfen.


Veränderungen in der Angriffsfläche berücksichtigen

Ein Faktor, der den Angreifern in die Hände spielt, ist die wachsende Angriffsfläche vieler Unternehmen, ohne dass dabei die Threat Detection entsprechend erweitert wird. Diese wächst beispielsweise durch die zunehmende Digitalisierung, den Einsatz von Cloud-Diensten oder IoT-Geräten. Auf der anderen Seite machen leider viele Produktehersteller das «Leben der Blue-Teams dieser Welt nicht gerade einfach» mit einer (viel zu) hohen Anzahl an kritischen Schwachstellen, welche in jüngster Zeit auch viele Perimetersysteme wie Firewalls und VPN-Gateways betrafen.


Technologietrends im SOC-Umfeld

Ein moderner Threat-Detection-Stack bildet die Grundlage, um Angriffe frühzeitig zu erkennen und möglichst zeitnah mit Gegenmassnahmen reagieren zu können, um den Schaden so gering wie möglich zu halten oder im besten Fall einen Schaden durch einen Cyber-Angriff zu verhindern.

Viele Unternehmen setzen nach wie vor auf ein endgerätezentrierten Erkennungsansatz, der mit der heutigen Form von Angriffen – die z.B. in der Cloud oder mit gültigen Anmeldedaten von Access Brokern stattfinden – an seine Grenzen stösst. Die Korrelation mit zusätzlichen Datenquellen aus den Bereichen Identität, Cloud, Netzwerk, Mail, Web ist unerlässlich. Damit sind wir beim ersten Trend, auf den ich näher eingehen möchte.


Trend 1 – Next-GEN SIEM – Cloud Native Security Analytics

Die nächste Generation von SIEM (Next-Gen SIEM) wird zunehmend in Form von Cloud-Native-Security-Analytics-Plattformen implementiert. Weshalb es überhaupt eine «nächste Generation» von SIEM benötigt, habe ich bereits ausführlich in einem vorherigen Artikel erläutert und lasse es an dieser Stelle aus.

Hauptmerkmale von Cloud-Native-SIEM-Plattformen:

Höhere Skalierbarkeit und Flexibilität
Die Cloud-Architektur dieser Plattformen erlaubt es, Ressourcen dynamisch an wachsende Datenmengen anzupassen. Das ist entscheidend, da sowohl das DatenVolumen als auch die Anzahl von Ereignissen, die analysiert werden müssen, kontinuierlich zunehmen.

KI- und ML-gestützte Bedrohungserkennung
Cloud-Native-SIEMs nutzen fortschrittliche Technologien wie künstliche Intelligenz (KI) und maschinelles Lernen (ML), um Bedrohungen proaktiv zu erkennen und Alarme automatisiert zu priorisieren. Dies ermöglicht eine schnellere Reaktion auf potenzielle Vorfälle.

Kosteneffizienz und geringerer Betriebsaufwand
Da keine lokale Infrastruktur erforderlich ist, profitieren Unternehmen von geringeren Betriebsaufwänden und einer schnelleren Implementierung. Ein Grossteil des Detection Engineerings sowie Updates und neue Funktionen werden automatisch bereitgestellt, was den Betrieb wesentlich vereinfacht.

Der klassische SIEM-Markt wird durch die zunehmende Verbreitung von Cloud-Native-Security-Analytics-Plattformen grundlegend verändert. Unternehmen, die bisher kein SIEM-System implementiert hatten, überspringen oftmals klassische Lösungen und setzen direkt auf die neue Generation von Plattformen. Diese Entwicklung zeigt, wie neue Technologien bestehende Märkte aufbrechen und neue Standards setzen können.

Nun wechseln wir zu einem weiteren Trend, welcher sich in den letzten Monaten in der Art der Anwendung ebenfalls wortwörtlich aus dem Schattendasein bewegt.


Trend 2 – SOC integrated Dark Web Monitoring

Durch die systematische Überwachung des Dark Webs können Unternehmen potenzielle Bedrohungen frühzeitig erkennen und proaktiv handeln. Das Thema Dark-Web-Monitoring ist an sich nicht neu, wurde bisher jedoch meist als eigenständiger Service betrachtet und in vielen Unternehmen nicht in die etablierten SOC-Prozesse integriert. Mit steigendem Automatisierungsgrad und wachsender Maturität eines SOC kann durch eine tiefere Integration in bestehende SOC-Prozesse ein wesentlicher Mehrwert geschaffen werden.

Einige Beispiele möglicher Integrationen und deren Nutzen:

Dark-Web-Alerts in der SOC-Alert-Pipeline
Durch die Integration der Dark-Web-Alerts in die SOC-Alert-Pipeline kann sichergestellt werden, dass die Alarme zuverlässig (am besten mit einem SLA) analysiert werden und so bei Bedarf die Reaktion umgehend eingeleitet werden kann.

Korrelation mit weiteren Datenquellen
Dark-Web-Alerts werden mit weiteren Datenquellen korreliert, was eine kontextbezogene Bewertung der Bedrohungen ermöglicht – etwa wenn gestohlene Zugangsdaten auf verdächtige Anmeldeversuche innerhalb eines Cloud-Services oder des Unternehmensnetzwerks hinweisen.

Schnellere Reaktion durch Kontext
Die Reaktionszeiten können in vielen Fällen verkürzt werden, da relevante Informationen aus dem Dark Web direkt in die Beurteilung eines Security Incidents einfliessen und so zusätzliches Wissen zur Verfügung steht.

Durch die geschickte Kombination aus Technologie und menschlicher Expertise können Bedrohungen nicht nur reaktiv, sondern proaktiv begegnet werden. Doch woher weiss man als Unternehmen, ob die Organisation – von C-Level bis und mit SOC – überhaupt die notwendigen Fähigkeiten besitzt, um Angriffe in einem Ernstfall erfolgreich zu bewältigen?


Trend 3 – End-to-End-Cyber-Crisis-Exercises

Standardisierte Schulungen, wie z.B. Tabletop-Übungen, reichen allein nicht aus, um mit professionellen Angreifergruppierungen mitzuhalten, die ihre Taktiken schon hundertfach erfolgreich «trainieren» konnten. End-to-End-Cyber-Crisis-Exercises sind umfassende, simulierte Szenarien, die entwickelt wurden, um die Vorbereitung einer Organisation auf den Umgang mit Cyber-Krisen realitätsnah zu testen und zu verbessern.

Wichtige Komponenten für einen modernen Ansatz:

Nutzung von Threat Intelligence für Szenarien
Mittels Threat Intelligence können Szenarien identifiziert und erarbeitet werden, die für die Organisation von besonderer Relevanz sind inkl. spezifischer TTPs (Tactics, Techniques and Procedures) die in die Simulation mit einfliessen.

Simulation von realistischen Angriffszenarien
Die simulierten Angriffe werden gezielt auf diese identifizierten Bedrohungen und TTPs ausgerichtet. Das ermöglicht es der Organisation, auf sehr konkrete Szenarien vorbereitet zu sein. Dies kann sogar so weit gehen, dass echte Artefakte (z.B. Log-Einträge – IOCs die durch das SOC identifiziert werden sollen) präpariert werden. Das SOC muss diese IOCs korrekt erkennen, analysieren und die entsprechenden Massnahmen einleiten, z.B. das Blockieren von IP-Adressen oder das Isolieren von kompromittierten Systemen.

Interdisziplinäre Übung mit allen Beteiligten
Alle relevanten Stellen sollten an der Übung beteiligt sein und diejenigen Aufgaben übernehmen, die sie auch im Ernstfall innehätten, z.B. als Teil des Krisenstabs, HR, Legal, Kommunikation oder SOC. In der Übung sollten alle Kommunikationskanäle (E-Mail, Krisenhotline, Slack, etc.) getestet werden, um sicherzustellen, dass Informationen schnell und klar ausgetauscht werden können. Dies umfasst auch die interne Kommunikation zwischen den Abteilungen und die externe Kommunikation. Abhängig vom Szenario könnten gewisse Kommunikationskanäle auch gar nicht mehr zur Verfügung stehen.


Schlusswort

Das zuverlässige Erkennen und Abwehren von Cyber-Angriffen erfordert ein optimales Zusammenspiel von Technologie und Mensch. Diese Synergie sollte kontinuierlich auf den Prüfstand gestellt und verbessert werden. Regelmässige Prüfungen, z.B. wie durch die erwähnten Cyber-Crisis-Exercises, sind unerlässlich – nur so kann die Organisation auf dynamische und sich ständig verändernde Bedrohungen angemessen reagieren. Bei den immer raffinierteren Cyber-Angriffen bin ich sicher, dass uns diese und viele weitere spannende Themen im 2025 begleiten werden.


Links