SOC (Security Operations Centre) as a Service versus Eigenbetrieb

Die kontinuierliche und ganzheitliche Überwachung der IT-Sicherheit ist ein essentieller Bestandteil einer Gesamtstrategie, um Ihr Unternehmen vor Angriffen, Datenexfiltration und Betriebsstörungen zu schützen.

Die richtigen Hard- und Softwarewerkzeuge, hochqualifizierte Experten und die im Notfall perfekt funktionierenden Prozesse intern aufzubauen, bedeutet den Einsatz von großen personellen und finanziellen Ressourcen.

Die Alternative heißt: SOC (Security Operations Centre) as a Service. Der Einkauf der externen Dienstleistungen ist eine effektive und effiziente Alternative zum Eigenbetrieb. Die Auswahl des Dienstleistungsanbieters ist dabei jedoch von zentraler Bedeutung.

Der vorliegende Leitfaden soll Sie unterstützen, die richtige Entscheidung für einen Dienstleister anhand eines Kriterienkataloges zu treffen.

Entscheidungskriterium 1:
Wie schätzen Sie die SOC-Kompetenz & Erfahrung des Dienstleisters ein?

Welchen Stellenwert hat das Angebot „SOC as a Service“ im Gesamtportfolio des Anbieterunternehmens?

Die Beantwortung dieser Frage wird je nach Anbieter sehr unterschiedlich sein: große Beratungsunternehmen bieten die Leistungen neben vielen anderen an, bei spezialisierten Anbietern ist es die Kernkompetenz.

Wichtig vor diesem Hintergrund: „SOC as a Service“ ist keine hoch standardisierbare Dienstleistung. Vielmehr muss sie stark auf die individuellen Bedürfnisse einer Kundenorganisation angepasst werden, um tatsächlich effektiv – allem voran bei akut aufkommenden Gefahren – zu sein. Wird im Auswahlprozess ersichtlich, dass die Möglichkeiten der Individualisierung seitens des Anbieters fehlen, ist das ein Signal für ein mittelfristiges Risiko für den Kunden.

Werden passende Kundenreferenzen gegeben um die Erfahrungen eines Anbieters für ein individuelles Projekt einschätzen zu können?

Da SOC-Dienstleister Ihren Kunden höchstmögliche Vertraulichkeit über die Zusammenarbeit bieten sollten, werden Kundenreferenzen oftmals nicht öffentlich zur Verfügung gestellt, sondern in Form von persönlichen Kontakten zwischen IT-Sicherheitsverantwortlichen des interessierten Unternehmens und des Bestandskundenunternehmens gegeben.

Bekommen Sie eine solche Kundenreferenz vermittelt, erlangen Sie den Vorteil, sehr individuell und ausführlich Feedback eines Bestandskunden des Dienstleisters zu bekommen.

Achten Sie darauf, dass es sich bei den Kundenreferenzen um Organisationen handelt die zum Beispiel in Größe, Branche oder weiteren Wesensmerkmalen Ihrer Organisation ähneln.

Wie groß ist die Erfahrung des Anbieters ausgedrückt in Zahlen?

Zu den Kennzahlen zur Einschätzung der Größe eines SOCs gehören die Anzahl der analysierten Daten, Events und Schwachstelleninformationen und der identifizierten Incidents über die letzten Jahre. Die Anzahl der Kunden und der Experten ist ebenso interessant.

Die Größe eines SOCs ist nicht nur entscheidend für die Einschätzung der Erfahrung des SOC-Betreibers: Große SOC-Standorte ziehen vor allem auch die weltweit besten IT Security Analysten an, die wiederum die Qualität der Arbeit des SOCs prägen.

Entscheidungskriterium 2:
Handelt es sich um eine zukunftsfähige Technologie, die optimal Ihre jetzigen und künftigen Bedürfnisse erfüllt?

Welche Einfallstore für Cyberangreifer werden durch die Risikoerkennungsmodule des Dienstleisters abgedeckt und wie funktioniert die Korrelation von Big Data?

Aus Billionen Events aus unterschiedlichen Quellen soll durch die Werkzeuge und Arbeit des Dienstleisters ein einfacher Cyber Risk Management Prozess werden, in dem die entscheidenden Risiken erkannt werden. Um dieses Ziel zu erfüllen, muss die zugrundeliegende Technologie sehr gut in der Analysetiefe sowie in der –breite arbeiten.

Eine optimalerweise ganzheitliche Lösung (versus Insellösungen für verschiedene Teilbereiche) muss auf einer Korrelation eines breiten Spektrums an Ereignissen, sowohl aus der IT selbst als auch aus dem Umfeld, in dem die IT betrieben wird, beruhen. Die Korrelation muss nicht nur innerhalb einzelner Risikoerkennungsmodule sondern zeitgleich auch als Cross-Korrelation über verschiedene Risikoerkennungsmodule hinweg stattfinden, um effektiv Schlüsse zu ziehen.

Handelt es sich um Eigen- oder Fremdtechnologie, die der Anbieter einsetzt?

Ein wichtiges Unterscheidungsmerkmal zwischen „SOC as a Service“-Dienstleistern ist die verwendete Technologie: es kann sich um eine Eigenentwicklung des Anbieters oder eine (meist ausländische) Fremdtechnologie handeln.

Eine Eigenentwicklung bietet drei zentrale Vorteile:

  1. Die Analysten, die die Ergebnisse der automatisierten Erkennungsmodule weiterverarbeiten und die die Konfiguration und täglichen Anpassungen an Ihre Bedürfnisse vornehmen, verstehen die Technologie und ihren richtigen Einsatz bis ins kleinste Detail.
  2. Sie als Kunde können die Weiterentwicklung der verwendeten Technologie mitverfolgen und gegebenenfalls individuell für Sie wichtige Features direkt mit den Entwicklungsexperten besprechen.
  3. Sie können zudem die Qualität der Software auf Wunsch bis ins letzte Detail nachvollziehen und jederzeit näher prüfen.

Wie effektiv und schnell fließen neu verfügbare Forschungserkenntnisse in die Technologieweiterentwicklung und damit in die Serviceerbringung ein?

Immer ganz nah an den aktuellen Trends: Anbieter mit Eigentechnologie können sich durch ein besonderes Qualitätsmerkmal für die Zukunftsfähigkeit ihres Angebots auszeichnen: Eine eigene Researchabteilung. Sie bietet den Vorteil, dass hochausgebildete Experten technologische Trends und ihre Umsetzung in die eigene Technologie effektiv vorantreiben können. Ihre Erkenntnisse gehen laufend in die Serviceerbringung ein – so zum Beispiel im Bereich Machine Learning.

Bei Machine Learning werden Algorithmen angewendet, um Muster oder Beziehungen in bestehenden Daten zu erkennen. Zugrunde liegen verschiedene statistische Methoden, unter anderem die klassische Inferenzstatistik, Bayesche Modelle oder Clustering. Auf dieser Basis werden von den als ‚selbstlernend‘ oder  auch als ‚verhaltensbasiert‘ bezeichneten Systemen automatisiert Schlüsse gezogen, Wahrscheinlichkeiten für verschiedene Szenarien berechnet und Vorhersagen getroffen – ein zentrales Wesensmerkmale für hochmoderne Sicherheitstechnologien.

Entscheidungskriterium 3:
Vertrauen Sie den fachlichen Fähigkeiten der Experten eines Dienstleisters und sind diese für Sie optimal erreichbar, auch wenn es einmal eilig ist?

Wer sind Ihre persönlichen Ansprechpartner?

Vertrauen ist die Basis für Sicherheit. Vertrauen wird besonders durch persönlichen Kontakt, durch eine langfristige Zusammenarbeit und „das Sprechen einer gemeinsamen Sprache“ gefördert.

Informieren Sie sich daher zu einem frühen Zeitpunkt über Ihre persönlichen Ansprechpartner – die Analysten im SOC. Sprechen Sie sie am besten persönlich, fordern Sie ihre fachlichen Referenzen und Informationen über Ihre Erfahrungen sowie Aus- und Weiterbildungsaktivitäten an.

Wie sind die organisatorischen Rahmenbedingungen im SOC-Expertenteam gestaltet?

Evaluieren Sie zwei organisatorische Rahmenfaktoren ganz besonders: die gute Erreichbarkeit Ihrer persönlichen Ansprechpartner und eine niedrige Fluktuation innerhalb des Analystenteams. Beide Faktoren bilden eine wichtige Basis für eine dauerhaft hohe Servicequalität, der Sie vertrauen können.

Entscheidungskriterium 4:
Funktionieren die Arbeits- und Informationsprozesse innerhalb des Dienstleisters und in der Zusammenarbeit mit Ihren IT-(Sicherheits-)experten reibungslos?

Die Funktionsfähigkeit von Prozessen stellen Sie am besten in einem Testbetrieb (Proof of Concept/POC) fest. Evaluieren Sie nach einem angemessenen Zeitraum:

  1. die täglichen Abläufe und Arbeitsresultate des Dienstleisters,
  2. die für Sie passende Granularität der Ergebnisse als Basis für die Weiterverarbeitung (inklusive der False Positives- und False Negatives-Reduktion) und für die Information an alle Stakeholdergruppen,
  3. die bedarfsgerechte und übersichtliche Darstellung der Risiken für kritische Geschäftsprozesse, IT-Services und rechtliche sowie regulatorische Anforderungen und
  4. die schnelle Erreichbarkeit und Reaktionsfähigkeit der Experten.

Entscheidungskriterium 5:
Wie sicher sind Ihre Daten beim Dienstleister?

Wo befinden sich Ihre sicherheitsrelevanten Daten?

SOC-Anbieter offerieren verschiedene Modelle beim Umgang mit Ihren sicherheitsrelevanten Daten, die sie analysieren: in der sichersten Variante werden alle Ihre sicherheitsrelevanten Daten physisch in Ihrer Organisation belassen. Cloudbasierte Dienstleistungen stellen dagegen effizienzseitige Merkmale in den Vordergrund.

Wie ausgeprägt sind die physischen und IT-seitigen Sicherheitsmaßnahmen des Dienstleisters und wie werden sie von seinen Mitarbeitern gelebt?

Qualitätsmerkmale für die eigene physische und IT-seitige Sicherheit beim SOC-Dienstleister sollten ebenfalls beurteilt werden: Eine ISO 27001-Zertifizierung des Gesamtunternehmens, ausgeprägte organisatorische Sicherheitsmaßnahmen wie die Abschottung des SOCs, Zugangskontrollen, Screenrecording oder Videoüberwachung, Awareness-Schulungen und Zuverlässigkeitsprüfungen der Mitarbeiter sowie technische Sicherheitskonzepte für die Verwendung von Hard- und Software sowie Verschlüsselung im Unternehmen sind Beispiele dafür.

Entscheidungskriterium 6:
Wie hoch schätzen Sie Ihren realen Return on Investment ein?

Die Effektivität Ihrer IT-Risikoerkennung sollte in jedem Fall höchste Priorität genießen – denn in einem Ernstfall muss das Frühwarnsystem für Ihre IT perfekt funktionieren. Dennoch müssen auch ökonomische Rahmenfaktoren erfüllt werden: liegt ein kompetitives Angebot des Dienstleisters vor, dass Ihnen unter anderem auch Flexibilität gibt, wenn Sie sie zukünftig brauchen? Stichworte sind hier „Pay-as-you-grow-Modell“ oder das Anpassen an veränderte Rahmenbedingungen, neue Standorte, neue System-Plattformen oder neue Anwendungen.

Conclusio

Die hochspezialisierte Dienstleistung „SOC as a Service“ ist eine effiziente Alternative zum Eigenbetrieb eines SOCs. Gleichzeitig ist die Auswahl des SOC-Dienstleisters für eine vertrauensvolle, verlässliche und langfristige Zusammenarbeit von großer Bedeutung. Seine Kompetenz, Erfahrung, Technologie, Experten, Prozesse und eigene Sicherheit sollten beurteilt werden, um die richtige Anbieterwahl zu treffen.