MXDR und SOC: Der Weg zum funktionalen Security Operations Center

Am Aufbau eines Security Operations Center kommt heute kein Unternehmen mehr vorbei. MXDR-Provider (Managed Extended Detection and Response) sind aus Kapazitäts- und Kostengründen oft die bessere Wahl. Damit die Zusammenarbeit zwischen dem unternehmenseigenen IT-Security-Team und dem Service Provider klappt, sind laut Ontinue, dem Experten im MXDR-Bereich, fünf Schritte notwendig.

Illustration Absmeier foto freepik

Im Falle eines Falles ist Schnelligkeit alles, denn die aktuelle Gefahrenlage im Cyberspace duldet keine Verzögerungen. Hat sich ein Hacker Zugang zu einem System verschafft, können MXDR-Provider nicht erst in der Zentrale ihres Kunden anrufen, um den richtigen Ansprechpartner zu finden. Daher ist es wichtig, dass die Zusammenarbeit zwischen externem Dienstleister und internem IT-Security-Team eine gesunde Struktur hat. Sie herzustellen, bedarf einer Vorbereitung, die sich in fünf Schritte aufteilen lässt.

  1. Interne Prozesse, Workflows und Zuständigkeiten klären: Damit die Zusammenarbeit mit einem externen Dienstleister funktioniert, darf intern kein Chaos herrschen: Unternehmen, die ein Security Operations Center (SOC) mit Hilfe eines MXDR-Providers aufbauen wollen, müssen daher zunächst einmal ihre eigenen Prozesse und vor allem Zuständigkeiten im Bedarfsfall klären. Es ist ratsam, diese Workflow- und Responsibility-Inventur mit einer gründlichen Analyse und dem Mapping der gesamten IT-Infrastruktur zu verbinden, sodass keine weißen Flecken auf der Cybersecurity-Landkarte verbleiben und das Onboarding des Dienstleisters so effizient wie möglich abläuft.
  2. Eskalationsmatrix erstellen: Der zweite Schritt zur erfolgreichen Partnerschaft mit einem MXDR-Anbieter ist, eine Eskalationsmatrix anzufertigen. Sie bietet eine intuitive Übersicht für alle Beteiligten, wer bei welcher Art und Schwere einer Bedrohung wie zu kontaktieren ist. Dafür ist es enorm wichtig, die jeweiligen Zuständigkeiten und Befugnisse zu klären. Die Eskalationsmatrix enthält neben den Namen der Zuständigen auch wichtige Daten wie Telefonnummern und E-Mail-Adressen. Wichtig: Ein einzelner Ansprechpartner genügt in keinem Fall, denn Urlaube und Krankheitszeiten müssen ebenfalls abgedeckt sein – Hacker halten sich nämlich nicht an Öffnungszeiten und nehmen keine Rücksicht auf Ausfälle.
  3. Rules of Engagement festlegen: Die Rules of Engagement legen fest, in welchen Fällen der MXDR-Dienstleister oder die unternehmenseigenen IT-Security-Mitarbeitenden tätig werden und welche Maßnahmen sie – je nach Vorfall – ergreifen sollten. Typischerweise haben externe Service-Provider das Recht, auf Clients und Servern Antivirus-Scans zu starten, gegebenenfalls dürfen sie sogar einzelne Endpunkte isolieren. Bei Angriffen auf essenzielle Teile der IT-Infrastruktur ist es üblich, dass eine enge Zusammenarbeit und Abstimmung mit dem internen Verantwortlichen stattfindet, sodass geschäftskritische Systeme keinen Schaden davontragen.
  4. Playbooks anpassen und implementieren: MXDR-Dienstleister stellen ihren Partnern normalerweise sogenannte Playbooks zur Verfügung, in denen sie bewährte Reaktionen auf typische Cyberattacken skizzieren. Die Anleitungen dienen dem internen IT-Security-Team als Guideline, müssen aber an die individuellen Gegebenheiten und Eigenschaften der IT-Infrastruktur angepasst werden. Manche Organisationen, gerade KRITIS-Unternehmen, haben Auskunftspflichten, die die Erstellung von Schadensberichten erforderlich machen können. In diesem Fall müssen Playbooks diesen Task berücksichtigen und dürfen nicht nur die Maßnahmen zur Bekämpfung einer akuten Gefahrensituation enthalten. Eine sehr enge Zusammenarbeit zwischen Dienstleister und unternehmenseigenem Team ist bei der Abstimmung und Anpassung enorm wichtig.
  5. Regelmäßig nachjustieren: Unternehmen befinden sich im steten Wandel – eine gewisse Personalfluktuation und ständige Anpassungen der IT-Infrastruktur sind völlig normal und gehören zur Tagesordnung. Daher ist es essenziell, dass das aus internen und externen Spezialisten bestehende SOC gemeinsam die Eskalationsmatrix, Rules of Engagement und Playbooks regelmäßig überprüft und bei Bedarf aktualisiert oder anpasst.

»Ein Sprichwort der IT-Welt besagt: You can’t protect what you don’t know«, erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. »Die Zusammenarbeit in einem Security Operations Center setzt daher auf Seiten des internen IT-Security-Teams die Etablierung klarer Strukturen, Zuständigkeiten und Prozesse voraus. Auf Seiten des externen Dienstleisters muss eine gewisse Flexibilität und Lernbereitschaft vorhanden sein, wenn es um die individuelle Anpassung an die kundenspezifischen Gegebenheiten geht. Sind diese Voraussetzungen erfüllt, steht einer fruchtbaren Zusammenarbeit nichts im Wege.«

Am Aufbau eines Security Operations Center kommt heute kein Unternehmen mehr vorbei. (Quelle: Ontinue)

www.ontinue.com

 

1753 Artikel zu „SOC Security“

SOC & XDR & Managed Service – die ideale Kombination für wirkungsvolle Cybersecurity: Vereint gegen Bedrohungen

SOCs spielen bei der Überwachung von und der Reaktion auf Sicherheitsbedrohungen eine entscheidende Rolle. XDR nutzt maschinelles Lernen sowie künstliche Intelligenz, um kontinuierlich zu lernen und sich an neue und sich entwickelnde Bedrohungen anzupassen. XDR bietet einen proaktiven Sicherheitsansatz, der äußerst effektiv ist. Ein SOC mit XDR als Managed Service bindet auf Kundenseite kein internes Personal.

Next Generation Security Operations Center (SOC) – Angriffe frühzeitig erkennen und zielgenau verhindern

Im Rahmen des Cyber Security Summit 2013 gaben Art Coviello, Vorstandsvorsitzender RSA Security, und Reinhard Clemens, Vorstand T-Systems, die Partnerschaft bekannt.

In den letzten Jahren ist die Komplexität von IT-Infrastrukturen aber auch IT-Gefahren zunehmend gewachsen. Dadurch stehen Unternehmen vor der Herausforderung, ihre gängigen Sicherheitsvorkehrungen an die neuen Bedingungen anzupassen und so entsprechend auf die Veränderungen zu reagieren. Der Aufbau eines Next Genera-tion Security Operations Center (SOC) kann Unternehmen dabei helfen, die Basis für die heute und…

IT-Security-Verantwortliche scheitern an der Kommunikation mit der Geschäftsleitung

Die meisten CISOs fühlen sich unter Druck gesetzt, Cyberrisiken herunterzuspielen.   Die Studie »The CISO Credibility Gap« von Trend Micro zeigt: Drei Viertel der deutschen IT-Security-Verantwortlichen (76 Prozent, weltweit 79 Prozent) fühlen sich von der Geschäftsleitung unter Druck gesetzt, die Cyberrisiken im Unternehmen herunterzuspielen [1]. 48 Prozent (weltweit 41 Prozent) von ihnen glauben, dass erst…

Security as a Service: Die umfassende Lösung für moderne Cybersecurity-Herausforderungen

In unserer digital vernetzten Welt sind Unternehmen und Organisationen ständig mit komplexen IT-Sicherheitsbedrohungen konfrontiert. Laut dem aktuellen Allianz Risk Barometer und dem Digitalverband Bitkom sind Cybervorfälle das größte Risiko für Unternehmen weltweit, mit Schäden in Milliardenhöhe. In diesem Kontext bietet Security as a Service (SECaaS) eine flexible und effektive Lösung, um auf die dynamische Bedrohungslage…

Die zwei wichtigsten Trends der IT-Security

Entwicklung und Einsatz von KI-Tools und Absicherung der Software-Lieferkette sind die wichtigsten Trends in der IT-Security.   Künstliche Intelligenz (KI) ist fraglos der derzeit wichtigste Trend in der IT, der auch in der IT-Security in vielen Bereichen längst zum Einsatz kommt. Leider auch auf der Seite der Cyberkriminellen. Denn diese sind wie so oft Vorreiter…

Fast die Hälfte der deutschen Geschäftsführungen hält Security-Awareness-Schulungen für überflüssig

Große Lücken in den IT-Sicherheitsstrategien deutscher Unternehmen.   Die Notwendigkeit, Angestellte für das Thema IT-Sicherheit zu sensibilisieren, ist akuter denn je. Dennoch herrscht in vielen Firmen noch immer dringender Handlungsbedarf. Laut der aktuellen Studie »Cybersicherheit in Zahlen« von der G DATA CyberDefense AG, Statista und brand eins finden rund 46 Prozent der Befragten, dass technische…

Security First: DevSecOps durch KI und Cloud vorantreiben

Cloud Computing ist wie das Thema künstliche Intelligenz allgegenwärtig. Auch im Kontext der DevSecOps-Methodik spielen beide Technologien eine gewichtige Rolle. Wie können sie Teams unterstützen und worauf müssen Entwickler und Administratoren achten.   DevSecOps-Teams sind mit den richtigen Methoden und dem richtigen Mindset in der Lage, einen »Security-First-Ansatz« zu verfolgen, bei dem die Frage nach…

Cybersecurity im Jahr 2024 – Trends, Bedrohungen und Maßnahmen

Mit unserer zunehmenden Abhängigkeit vom Internet in allen Bereichen, von der Geschäftstätigkeit bis zur persönlichen Kommunikation, haben sich die Möglichkeiten für Cyberkriminelle exponentiell erweitert. Die vielschichtige Natur der aktuellen Bedrohungen erfordert einen umfassenden und proaktiven Ansatz für die Cybersicherheit. Wie können wir also dieser komplexen Bedrohungslage begegnen?   Als Beratungsunternehmen für Cyber- und Applikationssicherheit ist…

Gegen Cyberbedrohungen gewappnet ins neue Jahr – IT-Security Roadshow im Frühjahr 2024

Controlware geht im Februar und März 2024 auf deutschlandweite IT-Security-Roadshow – mit Stopps in Berlin (29.02.), München (05.03.), Frankfurt (07.03.) und Stuttgart (13.03.). Der IT-Dienstleister und Managed Service Provider informiert über aktuelle Cybersecurity-Trends und präsentiert zeitgemäße Strategien, die Enterprise-Umgebungen zuverlässig gegen Angriffe absichern. »Das Thema IT-Sicherheit gewinnt immer mehr an Bedeutung. Sowohl interne Schwachstellen als…

Cybersecurity: Industry Predictions 2024 

Die Bekämpfung von Cloud-Bedrohungsakteuren erfordert einen konsequenten Fokus auf die Sicherung des gesamten Software-Entwicklungszyklus. Cloud-Sicherheit war noch nie so wichtig wie heute. Während Unternehmen sich darauf konzentrieren, Remote- und Hybrid-Teams in einer unsicheren globalen Wirtschaft zu koordinieren, klügeln Angreifer immer raffiniertere, unerbittlichere und schädlichere Angriffstaktiken aus. Laut des CrowdStrike 2023 Global Threat Report ist die Zahl…

Prognosen 2024: Generative KI verändert Cybersecurity

Generative KI ist einer der Treiber für mehr Self-Service-Cybersicherheit und Governance auf Vorstandsebene; die Entwicklung quantenresistenter kryptografischer Algorithmen gewinnt an Dynamik.   In den vergangenen Jahren lag der Schwerpunkt darauf, hybride Arbeitsumgebungen abzusichern. Hier haben sich neue Normen für die Remote- und Office-Umgebung etabliert, einschließlich der weit verbreiteten Cloud-Nutzung. Betrüger und Cyberkriminelle haben sich rasch…

Sicherheitsrisiken eindämmen: 3 Tipps für Security-Verantwortliche

Cyberkriminelle passen kontinuierlich ihre Strategien an, um den neuesten Sicherheitsmaßnahmen einen Schritt voraus zu sein. Umso entscheidender ist es deshalb für Unternehmen, in Sachen Cybersicherheit stets auf dem neuesten Stand zu sein, um den Schutz ihrer Ressourcen zu gewährleisten. Wichtig ist es gerade auch, weil ein Angriff zu unerwarteten Zeiten auftreten kann: So nutzen Hacker…

Was ist SIEM? Security Information & Event Management verständlich erklärt

Potenziell gefährliche Prozesse, Sicherheitsbedrohungen und Angriffsvektoren erkennen, noch bevor diese in einem Unternehmen wirtschaftlichen Schaden anrichten können: Das soll Security Information & Event Management (kurz: SIEM) sicherstellen – unter anderem dank fortlaufenden Echtzeit-Überprüfungen auf anomale Aktivitäten und einer entsprechenden Sicherheitsantwort der IT.   Warum SIEM für Unternehmen so essenziell ist? Der englische Begriff Security Information…

Vollstandardisierte Services vom Trusted Partner – Ist Security nicht Chefsache, wird’s schwierig

Im Interview erklärt Daniel Graßer, Senior Director of Security Services bei plusserver die Wichtigkeit von lokalen Rechenzentren, die Bedeutung einer nachhaltigen Security-Strategie, SOC als Service, Sicherheit vor Ort und in der Cloud, das Fehlen von Notfallkonzepten und den Einfluss von KI für die Cybersicherheit.

Externe Security-Spezialisten unterstützen IT-Teams und sorgen für starke Cybersecurity – Mit Managed Security Services das Risiko für Cyberangriffe minimieren

Die Anforderungen an Unternehmen für die IT-Sicherheit steigen, ebenso wie ­Risiken und Wahrscheinlichkeiten für folgenreiche Cyberangriffe. Gleichzeitig aber sinken die zur Verfügung stehenden Ressourcen für die IT-­Security sowie die Anzahl der ausreichend qualifizierten IT-Sicherheitsexperten. Um dem Fachkräftemangel in der Cybersicherheit entgegenzuwirken und gleichzeitig bestens gegen Angriffe geschützt zu sein, stellen Managed Security Services (MSS) eine optimale Lösung für viele Unternehmen dar. So können sich Unternehmen auch ohne große Abteilung für die IT-Security vor der Gefahr von Cyberangriffen schützen und ihre Netzwerke konti­nuierlich proaktiv überwachen.

Managed XDR schließt die Qualifikationslücke im Bereich Cybersecurity

  CrowdStrike erweitert mit Falcon Complete XDR sein branchenführendes MDR-Portfolio auf MXDR. CrowdStrike-Partner liefern differenzierte MXDR-Angebote, die auf der CrowdStrike Falcon-Plattform aufbauen.   CrowdStrike kündigt CrowdStrike Falcon Complete XDR an, einen neuen Managed eXtended Detection and Response (MXDR) Service, der sich durch ein 24/7-Expertenmanagement, Threat Hunting, Monitoring und End-to-End-Remediation über alle wichtigen Angriffsflächen hinweg auszeichnet…

Großer Security Transformation Day: ADN ermöglicht IT-Resellern eine Zukunft als Managed Security Service Provider

Am 16. Mai 2023 lädt ADN IT-Reseller und MSPs zum Security Transformation Day in den Landschaftspark Duisburg ein. Der Event offenbart die neuesten Insights sowie einen umfassenden Marktüberblick über die verschiedenen Möglichkeiten, in Security Services einzusteigen oder bestehende Angebote auszubauen. Zudem erwarten Teilnehmende Deep Dives in Trendthemen wie für KMU gemanagte Security Operations Center (SOC). Spannende Vorträge und Breakout-Sessions lassen Teilnehmer vom Expertenwissen der ADN und ihrer Security-Hersteller profitieren. Möglichkeiten zum Austausch und Networking am Abend runden die Veranstaltung ab.

EDR, XDR, MDR & Co.: Was benötigen Unternehmen jetzt für ihre IT-Security?

Heute ist eine aktive, schnelle und umfassende Gefahrenerkennung und -abwehr von Cyberangriffen wichtiger denn je. Unternehmen setzen bereits viele unterschiedlichste »Threat Detection and Response« Tools ein. Ziel ist es, Angriffsaktivitäten zeitnah aufzuspüren, zu melden und somit das Sicherheitsniveau maßgeblich zu erhöhen. EDR, XDR oder MDR gelten derzeit als relevante sicherheitstechnische Antworten auf aktuelle und zukünftige…