Das erfahrene Intelligence Team beschäftigt sich ausschließlich mit der Risikoanalyse bei Kunden und profitiert von der wertvollen Möglichkeit, Analogien über Branchengrenzen hinweg ziehen zu können. Jeden Tag werden tausende Vorkommnisse bearbeitet und korreliert. Darüber hinaus verbessern die Erkenntnisse laufend die Policies und Regeln der automatisierten Risikoerkennung.

Die automatisierte Risikoerkennung liefert Ergebnisse, die von Experten analysiert und bewertet werden müssen. Auch die Werkzeuge an sich müssen ständig an aktuelle Gegebenheiten angepasst werden. Zu den Aufgaben der Security Analysten im SOC gehören besonders:

  • die Kontextualisierung von Security Events in wirkliche Incidents,
  • das Entwickeln, implementieren und optimieren von Risk Detection Usecases,
  • die Integration von bereits existierenden Risk Detection Solutions,
  • das Führen der IT Risk Management Prozessen und Workflows und
  • das Identifizieren, Sammeln und Zusammenführen von Threat Intelligence Daten.

Die Aufgaben der Security Analysten, des Operations Teams und des Computer Security Incident Response Teams im Überblick:

Vom Security Event zum bewerteten Incident: Security Events können, müssen aber nicht sicherheitsrelevant sein. Die Kunst besteht darin, diese sicherheitsrelevanten Events aus der großen Masse an Daten herauszufiltern und verschiedene Informationen so zu verdichten, dass sie zu bewerteten Incidents werden.

Im Mittelpunkt der Expertenarbeit steht also: Die richtigen Schlüsse ziehen. Sie lassen sich als Kombinationen aus verschiedenen Informationsquellen erkennen:

Die regelmäßige Analyse durch die Experten umfasst u.a. das Durchgehen der automatisiert erlangten Ergebnisse, das Aussortieren von False Positives/False Negatives, die Ergebniskorrelation und die Gewichtung der Incidents.

Die Aufgabe des Intelligence Teams besteht vor allem auch in der Unterstützung Ihrer IT-Teams. Hochqualitative Risiko- und Sicherheitsinformationen werden in der jeweils gewünschten Detailtiefe zur Verfügung gestellt. Neu entdeckte Risiken werden kontinuierlich integriert. Jede Risikobeschreibung wird mit einer Anleitung für ihre Behebung oder – wenn die Behebung nicht möglich ist – einer Darstellung von Wegen zur Risikominimierung angereichert. Auf diese Art und Weise werden Ihre IT-Risikomanagementprozesse unterstützt und zu Ihrer kontinuierlichen und stets aktuellen Risikoeinschätzung beigetragen.

Das Intelligence Team versteht sich also als Sparringspartner Ihrer IT-Teams. Die erfahrenen und sehr gut aus- und weitergebildeten Mitarbeiter transferieren ihr Wissen im Rahmen der Anleitung des IT-Betriebs bei Behebungsprozessen und – wenn gewünscht – auch beratend bei strategischen Entscheidungen. Jeder einzelne Mitarbeiter verfügt über tiefgreifendes Spezialisten-Knowhow in den Bereichen Security Audit, Penetration Testing, white-hat Hacking und Social Engineering.

Um immer auf dem aktuellen Stand zu bleiben, müssen die Experten ständig weitergebildet werden. Allem voran in den Themen Threat Landscape, neue Angriffsmethoden, neue Produktfeatures und Releases gibt es laufend Neuerungen.

Auch die funktionierende Zusammenarbeit mit anderen Organisationseinheiten gilt es zu pflegen und gegebenenfalls zu optimieren. U.a. stehen hier das Erstellen von Tickets, das Verfassen von Behebungsanleitungen, die Behebung an sich und das laufende Reporting im Mittelpunkt.

Regeln und die Erkennung müssen kontinuierlich adaptiert werden und Erkenntnisse umgesetzt werden. Es muss gepatched werden und auch Forensics und Dokumentationen müssen funktionieren.

Kunden, die sich nach einem Angriff an RadarServices wenden, finden sofort einsatzbereite Experten für fire fighting und Forensik vor. Das Intelligence Team nimmt also die Rolle eines externen CERT Teams ein.

Hinzu kommen externe Audits und eine „Endkontrolle“ der tatsächlichen Behebung, um den gesamten Kreis für eine effektive Erhöhung der IT-Sicherheit zu schließen.

Ein Fortschrittscontrolling und ein Reporting dienen dem Informationsaustausch in einem SOC und zwischen einem SOC und den Stakeholdern. Unter anderem sind die Kontrolle des Behebungsfortschritts, die Aufbereitung des Risikoreportings für Organisationseinheiten und das Management sowie die laufende Durchführung sowie Vor- und Nachbereitung von Kontrollmeetings und Jour Fixes umfasst.