SOC als Sicherheitszentrale – Gefahr erkannt, Gefahr gebannt

Übergreifende Sicherheitsstrategien sichern nicht nur das lokale Netzwerk ab, sondern auch Fernzugriffe von Servicetechnikern. Ein Security Operation Center (SOC) koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz.

Unzureichend geschützte und undokumentierte Direktverbindungen zum Internet sind ein grundlegendes Sicherheitsrisiko im Fertigungs- und Industriebereich. So listet das BSI in seinen Top 10 der Bedrohungen für Industrial Control Systems (ICS) mit dem Internet verbundene Steuerungskomponenten auf Platz 6. Zu den sicherheitskritischen Faktoren zählen ebenso der Einbruch über Fernwartungszugänge (Platz 4) sowie die Kompromittierung von Smartphones im Produktionsumfeld (Platz 10).

Gefragt sind also Sicherheitsansätze, die sich nicht nur auf das lokale Netzwerk beschränken, sondern auch Fernzugriffe beispielsweise von Servicetechnikern absichern und kontrollieren. Denkbar sind hier zentrale Wartungsportale, die dem direkten Netzwerkzugang vorgeschaltet sind. Externe Zugriffe auf das Wartungsportal sind dann nur über eine verschlüsselte Verbindung möglich und erfordern eine Authentifizierung gegenüber einem zentralen Verzeichnisdienst.

Um sowohl die Absicherung von Remote-Aktivitäten als auch den Schutz des lokalen Netzwerks in Einklang zu bringen, ist ein umfassendes Sicherheitskonzept notwendig. An dessen Anfang steht im Best-Case immer ein detaillierter Security Check, der die individuelle Sicherheitslage eines Unternehmens untersucht. Hierbei können Administratoren auf externe Fachkräfte zurückgreifen, welche zusätzlich eine objektive Außensicht beisteuern.

Airbus CyberSecurity beispielsweise bewertet im Rahmen seines ICS Security Maturity Checks speziell die Cybersicherheit von Produktions- und Steuerungssystemen. Im ersten Schritt werden dafür relevante Dokumente zum ICS-Design, der Organisationsstruktur sowie zu Richtlinien und Prozessen evaluiert. Zudem wird eine Standortbesichtigung durchgeführt, der Netzwerkverkehr aufgezeichnet und das Active Directory analysiert. Die Ergebnisse werden dann zu Best-Practices und internationalen Standards (IEC 62443) in Relation gesetzt. Das Assessment liefert einen Überblick zum vorherrschenden Security-Niveau in der ICS-Architektur, validiert vorhandene Maßnahmen auf Wirksamkeit und gibt konkrete Handlungsempfehlungen zur Beseitigung bestehender Sicherheitsmängel.

Für eine langfristige Überwachung der IT-Infrastruktur ist die Integration eines Security Operation Centers (SOC) ratsam. Es stellt quasi die sicherheitsbezogene Kommandobrücke dar und koordiniert Technologien, Prozesse und menschliche Security-Expertise zu einem ganzheitlichen Sicherheitsansatz. Unternehmen, die nicht über die nötigen Ressourcen zum Betreiben eines eigenen SOC verfügen, können ein solches auch als »as-a-Service« nutzen.

Wie arbeitet das Airbus SOC? Die Konzeption eines SOC beginnt bei Airbus CyberSecurity mit dem Definieren von unternehmensspezifischen Prioritäten hinsichtlich IT-Infrastruktur, Informationsfluss und Geschäftsbereichen. Hier sind Fragen zu klären wie: Gibt es Netzwerksegmente mit unterschiedlichen Schutzbedarfen, sodass die Netzübergänge durch ein Security Exchange Gateway gesichert werden müssen? Darf der Datenaustausch bidirektional erfolgen? Ist eine Zonierung von Office-IT und industrieller Steuerungsumgebung zu beachten? Wird hier ein separates ICS SOC benötigt?

Diverse Monitorings sorgen anschließend für eine lückenlose Prüfung der Client-, Server- und DMZ-Layer. Dazu zählt die Kontrolle des Datenverkehrs zwischen Netzwerk und Internet (Web Traffic Monitoring) sowie der E-Mail-Kommunikation (E-Mail Traffic Monitoring) mittels zwischengeschaltetem Proxy. Sicherheitsmaßnahmen wie das Sperren ausgewählter Domains, der Einsatz von AV-Technologie sowie Sandboxing helfen, Schadsoftware aufzuspüren, zu blockieren und sicherheitskritische Programme zu separieren. Zum Malware-Monitoring gehört auch die Geräteanalyse im Rahmen der Endpoint Protection. Für die Angriffserkennung führt das SOC-Team zudem Sicherheitsanalysen mithilfe von IDS-Tools durch. Je nach individueller Sicherheitsarchitektur ergänzen diese die Aktivitäten der Deep Inspection Firewall oder laufen direkt auf den zu schützenden Systemen. Erkannte Angriffe werden dem SOC-Admin mittels Log-Files mitgeteilt. Zusätzlich verhindern IPSs proaktiv und automatisiert potenzielle Bedrohungen. Komplexe, zielgerichtete und anhaltende Attacken (APT) lassen sich durch ein spezielles APT Monitoring frühzeitig aufdecken und analysieren.

 

Der SOC-Service ist eine anpassungsfähige Lösung, die Unternehmen einen verbesserten Schutz bietet. Sie beinhaltet die Konzeption und Implementierung eines Sicherheits-Operationszentrums, einschließlich der Prüfung und Konfiguration von Tools sowie dem Übergang zu Sicherheits-Monitoring-Tools.


Der SOC-Service ist eine anpassungsfähige Lösung, die Unternehmen einen verbesserten Schutz bietet. Sie beinhaltet die Konzeption und Implementierung eines Sicherheits-Operationszentrums, einschließlich der Prüfung und Konfiguration von Tools sowie dem Übergang zu Sicherheits-Monitoring-Tools.

 

Das aktive Scannen des Datenverkehrs auf Clients und Server spürt mögliche Schwachstellen innerhalb des Netzwerks auf (Vulnerability Scanning). Zudem baut das SOC-Team an neuralgischen, aus Erfahrungswerten ermittelten Netzwerkpunkten passive Sensoren ein. Hierzu zählt auch die von Airbus eingesetzte KeelbackNET-Technologie. Als eine von mehreren passiven Sensoren überwacht sie den Netzwerkverkehr auf Auffälligkeiten im Verhalten von Systemen und Benutzern. Die in den Sensoren eingebrachten Regeln melden entsprechende Anomalien an ein Sicherheitsüberwachungssystem wie LMS (Log Management System) oder SIEM (Security Information and Event Management System). Auf diesem führen spezielle, meist eigenentwickelte Korrelationsregeln weitere Analysen durch, welche die zuständigen Analysten im SOC dann auf eine sicherheitsrelevante Situation hinweisen.

Bei Standardvorfällen wird gleichzeitig automatisch ein entsprechendes Troubleticket erzeugt. In diesem ist ein Mehrpunkteplan für die Analysten enthalten. Sie setzen die vorgesehenen Vorfallreaktionen um und protokollieren die Ergebnisse wieder im Ticket. Bei Nicht-Standardvorfällen nutzen die Analysten Korrelationsregeln aus dem SIEM, die sich auf früher bereits erkannte Angriffsszenarien beziehen, und erstellen unter Anwendung ihrer Erfahrungswerte manuelle Tickets. Besitzt ein Unternehmen zu überwachende Infrastrukturen an mehreren Standorten, sind die Sensoren über eine VPN-Verbindung angebunden und berichten entweder in ein eigenes oder ein gemeinsam genutztes, aber mandantenfähiges SIEM- und Ticketsystem.

Aufbau eines SOC. Das SOC bei Airbus gliedert sich in drei Ebenen, zwischen denen übergreifende Security-Prozesse stattfinden. Monitoring und Sicherheitsvorfall-Analyse gehören zur ersten Ebene, in der Echtzeitdaten und Log-Files aus Firewalls, AV, Servern, Clients und Applikationen zum SIEM und LMS gelangen und relevante Informationen an die Nachverfolgungs- und Dokumentationstools des SOC weitergegeben werden.

Das SOC-Team korreliert dann die erfassten Netzwerkdaten zu einem Gesamtbild der Bedrohungslage. Hier ist die tiefgreifende Expertise bei der Erstellung von Use Cases notwendig, um Auffälligkeiten (etwa C&C-Kommunikation) zu erkennen, die richtigen Schlüsse aus den sicherheitsrelevanten Daten zu ziehen und Vorfallreaktionen abzuleiten. Im SOC erstellte, standardisierte Security-Abläufe unterstützen Administratoren bei der Prävention und Reaktion künftiger Cyberangriffe.

Zentrales Aufgabenspektrum der zweiten SOC-Ebene ist das Management der Infrastruktur: Hier liegt das Augenmerk unter anderem darauf, IT-Systeme kontinuierlich zu überwachen, entdeckte Sicherheitsvorfälle zu analysieren und zu beheben (Equipment Infrastructure Incident Management) und gegebenenfalls die Infrastruktur zugunsten eines höheren Schutzlevels neu aufzustellen (Infrastructure Change Management).

Die größtmögliche Effizienz aller Security-Maßnahmen ist dabei durch automatisierte Prozesse zu erreichen. Die Automatisierung lässt sich nur umsetzen, wenn ein vorab definiertes Regelwerk und programmierte Algorithmen vorhanden sind. An dieser Stelle greifen die SOC-Leistungen der dritten Ebene: Das Vertrags-/Lizenz-Management und die Aufstellung von Service Level Agreements (SLAs). Nur mit dem Wissen, wie man die Compliance-Vorgaben des jeweiligen Unternehmens richtig in automatisierte Abläufe einbettet, kann gewährleistet werden, dass es zu keinen Sicherheitsverletzungen kommt, gerade wenn personenbezogene Daten im Spiel sind.


Marcus Pauli, Security Analyst bei Airbus CyberSecurity
https://airbus-cyber-security.com/

 

Bilder: © Airbus CyberSecurity

 


 

Erfolgsfaktoren für »Threat Hunter« und SOC

Next Generation Security Operations Center (SOC) – Angriffe frühzeitig erkennen und zielgenau verhindern

Informationssysteme in der Industrie: Sicherheit ist ein absolutes Muss

Unbemerkt im Schatten der DSGVO – Handlungsbedarf bei der NIS-Richtlinie

Flughafen München gründet Zentrum für den Kampf gegen Cyberkriminalität

IT-Sicherheit kommt erst nach der Produkt-Performance

Europa in Datennot: Länderübergreifend fühlt sich kaum jemand wirklich datenkompetent