Die Frage nach dem passenden SOC beschäftigte mich die letzten Jahre bereits öfters. Nicht nur das «Operating Model», sondern auch die Suche nach dem richtigen Partner gestaltet sich in der Praxis oft gar nicht so einfach.

Im Rahmen dieses Blog Artikels werde ich die Kernaufgaben eines SOC kurz beleuchten, die Vor- und Nachteile der unterschiedlichen SOC Modelle etwas genauer aufzeigen und dabei meine persönliche Erfahrung mit einbringen.

Was ist überhaupt ein SOC

Der Begriff Security Operations Center (SOC) ist bereits etwas in die Jahre gekommen, der Kern eines SOC besteht aus den «Monitoring & Detection» Fähigkeiten zur Identifikation von Security Incidents. Die Behandlung des Security Incidents wird klassischerweise durch ein CSIRT übernommen.

Heute spricht man öfter von einem Cyber Defense Center (CDC), welches die verschiedenen Disziplinen wie SOC, CSIRT, Threat Intelligence, Forensics, Vulnerability Management unter einem Hut vereint.

Welche Fähigkeiten soll ein SOC haben

Folgende Grafik bildet die Disziplinen ab, die ein SOC im Kern haben sollte.

Welche Fähigkeiten soll ein SOC haben
  1. Erkennung von abnormalem und maliziösem Verhalten
  2. Triage, Erstanalyse der Alerts und ggf. Eskalation (1st Level)
  3. Durchführung tiefergehende Analyse unter Einbezug von weiterem Kontext (Asset Information, Threat Intelligence, System Artefakten etc.) (2nd/3rd Level)
  4. Incident Response gemäss Incident Reponse Plan/Playbooks

Unternehmen sollten für sich definieren, welche Services in den vier Disziplinen benötigt werden. Die nachfolgende Aufstellung ist als Hilfestellung gedacht, hat aber keinen Anspruch auf Vollständigkeit.

Detection

  • Sensoren (IDS, IPS, NDR, EDR)
  • Log Collection / SIEM
  • Machine Learning
  • Behaviour Analytics
  • Threat Intelligence Feeds
  • Threat Hunting

Monitoring

  • Alert Triage – Tooling
  • Use Cases (Library)
  • Security Orchestration,
    Automation & Response (SOAR)
  • Compliance Monitoring
  • Integrity Monitoring

Security Investigation

  • Tiefergehende Analyse – Case Management
  • Malware Analyse
  • Forensische Analyse – Chain of Custody
  • Threat Intelligence Platform – Sharing
  • Sandbox für Analyse

Incident Response

  • Alarmierung – Pikett
  • Incident Response Plan/Playbooks
  • Automatisierte Response Actions
  • Kommunkation,
    Koordination & Kollaboration
  • Recovery
  • Reporting

Welche Services zum Einsatz kommen, wird u.a. durch folgende Faktoren massgeblich beeinflusst:

    • Business Anforderungen
    • Budget
    • Regulatorische Anforderungen
    • Industrie Sektor
    • Bedrohungslage und Exponierung
    • Individueller Risikoappetit

Jedes Unternehmen ist unterschiedlich und genauso die Anforderungen und Fähigkeiten, die ein SOC erfüllen soll.  Es lohnt sich deshalb umso mehr, ein klares Zielbild («Target State») zu formulieren, bevor man sich mit dem «Operating Model» auseinandersetzt.

Welches Operating Model ist das Richtige

Das Operating Model beschreibt das Betriebsmodell einer SOC Einheit, dies beinhaltet u.a. die Faktoren:

  • Betriebszeiten
    • Soll das SOC nur zu normalen Geschäftszeiten besetzt sein? On Call? Oder doch 24/7?
  • Standort
    • Gibt es Restriktionen bezüglich des Standortes? Ist ein Offshore SOC eine Option?
  • Modell
    • Soll das SOC intern betrieben werden? Wäre ein Externes SOC oder ein Hybrid Modell eine bessere Variante?
  • Organisation
    • Ist die Organisation zentral oder dezentral? Oder eine Mischform?

Es würde den Rahmen sprengen alle Faktoren im Detail zu behandeln, deshalb liegt der Fokus nachfolgend auf dem Modell und dessen Vor- und Nachteilen.

Internes SOC

Vorteile

  • Kontrolle über die Prozesse
  • und das eingesetzte Tooling
  • Knowhow bleibt intern bzw. wird intern aufgebaut
  • Besseres Verständnis für das Business und die IT Architektur/Infrastruktur etc.
  • Höhere Motivation der SOC Analysten durch Identifikation mit dem Unternehmen
  • Kommunikation mit internen Schnittstellen

Nachteile

  • Grössere Investitionen (Anschaffungen SW / HW etc.)
  • Aufbau eines Schichtbetriebes bei 24/7 – hoher Personalaufwand
  • Schwierigkeiten das Personal langfristig zu motivieren und zu halten
  • Skills müssen am Markt rekrutiert werden – teuer und schwierig zu finden
  • Eingeschränkte Sicht auf Bedrohungslage

Externes SOC

Vorteile

  • SOC ist schneller operationalisiert
  • Geringere initiale Investitionskosten
  • Zugriff auf zusätzliche Security Expertise
  • Rekrutierung & Ausbildung ist Sache des Anbieters
  • Prozesse definiert und Tooling bereits implementiert
  • Breitere Erfahrung durch andere Kunden
  • Bessere Einsicht in die Bedrohungslage

Nachteile

  • Weniger Kenntnisse über das Business und die IT Architektur/Infrastruktur etc.
  • Erschwerte Kommunikation zwischen internen und externen Schnittstellen
  • Prozesse sind vom Anbieter definiert und nur teilweise adaptierbar
  • Zugriffe von externen Mitarbeitern auf Daten/System
  • Verbesserung aus Eigenantrieb nicht unbedingt gegeben

Hybrides SOC

Vorteile

  • Herausforderungen bei der Rekrutierung können besser überbrückt werden
  • Zugriff auf zusätzliche Security Expertise für spezifische Services
  • Gegenseitiger Lerneffekt bzw. auch Upskilling des internen Teams
  • Mehr Flexibilität bei CapEx/OpEx Aufteilung
  • Schnellere Erweiterung mit zusätzlichen Services
  • Möglichkeit den Schichtbetrieb extern zu verlagern

Nachteile

  • Konflikte bezüglich Verantwortlichkeiten der Services und einzelnen Aufgaben
  • Erschwerte Kommunikation zwischen den internen und externen Kollegen ggf. auch Sprachbarrieren etc.
  • Abhängigkeiten beim Einsatz des Toolings, fehlendes Knowhow bei internen oder externen Mitarbeitern
  • Aufwände für Service Management nicht zu unterschätzen

Fazit SOC Modelle

Jedes Modell bringt seine eigenen Vor- und Nachteile mit sich. Bei der Komplexität und Vielfalt an Themen, die ein SOC bedienen muss, gibt es sehr wenige Firmen, die dies im Alleingang bewerkstelligen können. Sich spezifisches Knowhow und Services in einem Hybrid Modell einzukaufen, macht in vielen Fällen Sinn. Nicht zu unterschätzen sind die Aufwände für das Management der eingekauften Services, schliesslich verbleibt man stets in der Gesamtverantwortung und sollte den Überblick behalten. Der erwähnte Nachteil zu potenziellen Konflikten hinsichtlich Verantwortlichkeiten lässt sich durch eine «Responsibility Matrix» grösstenteils vermeiden.

Schlusswort

Der Artikel sollte aufzeigen, was zum Thema SOC alles dazugehört und welche Herausforderungen sich durch die verschiedenen Modelle ergeben können. Jedes Thema an sich wäre ein eigener Beitrag wert – falls Interesse zu einem spezifischen Thema besteht, bin ich offen für Feedback. Persönlich habe ich mit den Modellen sehr unterschiedliche Erfahrungen gemacht, würde aber jedem Unternehmen empfehlen, Unterstützung durch einen erfahrenen Berater oder spezialisierte Services beizuziehen. Schliesslich ist der Aufbau eines SOC und der nachhaltige Betrieb in den wenigsten Unternehmen das Kerngeschäft. Ein gutes SOC ist nicht zuletzt ein eingespieltes Team oder man könnte auch sagen «eine eingeschworene Truppe», die im Ernstfall optimal funktionieren muss, um grösseren Schaden abzuwenden. Wichtig dafür, ist ein Partner auf Augenhöhe zu finden, auf den man sich in turbulenten Zeiten verlassen kann.