Vorüberlegungen zum Betrieb eines Security Operations Center
Vorgeschaltete Sicherheit
IT-Sicherheit kommt ohne vorgelagerte automatisierte Erkennungsprozesse kaum mehr aus. Durchgesetzt haben sich sogenannte Security Operations Center, die man selbst betreiben oder ganz oder teilweise Dienstleistern überlassen kann.
Der Betrieb eines Security Operations Center (SOC) ist eine effektive Möglichkeit, auf die heute zu beobachtenden Cyberangriffe zeitgemäß zu reagieren (siehe Kasten „Was ist ein Security Operations Center?“). Kein IT-System ist frei von ausnutzbaren Fehlern (Exploits). Angriffe aus Schadcode nutzen zudem im Jahr 2018 gern mehrere Angriffsvektoren gleichzeitig. So ist eine singuläre Perimeterabwehrtechnologie nicht mehr in der Lage, die Angriffe verlässlich zu detektieren.
IT-Nutzer reagieren zunehmend, indem sie klassische IT-Security-Disziplinen wie Schadcodescanner, Firewalls, Intrusion Detection (siehe Glossar) et cetera vernetzen. Die Hersteller der Branche implementieren dazu APIs und bilden Ökosysteme für die Interaktion miteinander. Doch auch bei einer Verbindung dieser „Best-of-Breed“-Technologien wird ein Angriff mittels signaturbasierter Erkennung nicht mehr zum Erfolg führen. Ein Schadcode „überlebt“ im statistischen Mittelwert oft nur Minuten oder Sekunden, bevor er wieder permutiert und für signaturbasierte Scanner bis zum nächsten Update nicht mehr zu erkennen ist.