Aktueller Channel Fokus:

IT-Security

Kai Grunwitz im Interview

NTT Security: Ein SOC muss stets abwehrbereit sein

| Autor: Michael Hase

Kai Grunwitz, Senior Vice President EMEA bei NTT Security, sieht globale Threat Intelligence als essenziell für ein SOC an.
Kai Grunwitz, Senior Vice President EMEA bei NTT Security, sieht globale Threat Intelligence als essenziell für ein SOC an. (Bild: NTT Security)

Ein Security Operations Center (SOC) erkennt nicht nur Bedrohungen. Im Angriffsfall muss es, wie Kai Grunwitz, EMEA-Chef von NTT Security betont, wirkungsvoll reagieren können. Systemhäusern empfiehlt der Experte, bei der Früherkennung und Abwehr von Cyber-Gefahren mit etablierten Dienstleistern zu kooperieren.

Ein SOC erbringt laut Wikipedia verschiedene Leistungen wie Analyse der Sicherheitssysteme, Device Management, Policy Management, Alerting, Schwachstellen-Assessments, Reporting und Nutzer-Support. Sind damit die Aufgaben im Wesentlichen beschrieben?

Grunwitz: Die Aufzählung beschreibt im Großen und Ganzen die Aufgaben eines SOC. Eine wichtige und unverzichtbare Leistung, die fehlt, ist das Incident Response Management. Da es letztlich keine hundertprozentige Sicherheit geben kann, muss immer auch ein möglicher Sicherheitsvorfall, sprich ein Incident, berücksichtigt werden. Es muss folglich ein Incident-Response-Verfahren etabliert sein, das im Gefahrenfall abgerufen werden kann, um die Störung zu beseitigen, und die Auswirkungen zu limitieren. Dabei bietet sich auch der Einsatz von Incident-Response-Plattformen zur systematischen und koordinierten Bearbeitung von Sicherheitsvorfällen mit fertig ausgearbeiteten Handlungsplänen an. Das SOC-Service-Modell von NTT Security beispielsweise ist, ausgehend von konkreten Business-Anforderungen, modular aufgebaut. Bei Definitionen sollte ein entscheidender Punkt nie außer Acht gelassen werden: Es geht bei einem SOC nicht nur um Technik. Ebenso wichtig ist das übergeordnete Thema IT-Governance.

Welches Knowhow müssen die Mitarbeiter eines SOC besitzen? Gehen alle mehr oder weniger der gleichen Tätigkeit nach oder gibt es eine Aufgabenteilung?

Grunwitz: In jedem SOC werden Mitarbeiter mit unterschiedlichem Knowhow und verschiedenen Profilen benötigt. Sie gehen in der Regel nicht den gleichen Tätigkeiten nach, sollten aber durchaus regelmäßig andere Rollen übernehmen, um dem Problem einer zu einseitigen und eventuell monotonen Tätigkeit vorzubeugen. Grob sind vier Rollen zu unterscheiden: die Zuständigen für Device und Policy Management, für Security-Analysen, für Incident Response und für das SOC-Management. Vor allem der SOC-Manager nimmt eine wichtige Rolle ein, die vielfach unterschätzt wird. Qualität und Erfolg hängen aber auch von Themen wie Mitarbeiterauswahl, Weiterbildung oder Betriebsmanagement ab, das heißt von der betrieblichen Organisation. Und für diese Aufgaben ist der SOC-Manager verantwortlich.

Wie ergänzen die Leistungen eines SOC andere Services wie Security-Beratung oder die Implementierung von Sicherheitstechnologien bei Kunden?

Grunwitz: Die verschiedenen Dienstleistungen sind komplementär. Ein Anbieter, der über ein eigenes SOC verfügt, kann die Wertigkeit anderer Dienstleistungen deutlich erhöhen, gerade auch im Consulting-Bereich. Im SOC gewonnene Erkenntnisse können direkt im Consulting genutzt werden, sodass sich eine bessere Beratungsqualität sicherstellen lässt.

NTT Security betreibt zehn SOCs auf vier Kontinenten, eines davon in Ismaning bei München. Welche Bedeutung haben diese Zentren für den Dienstleister?

Ergänzendes zum Thema
 
Zur Person

Grunwitz: Für die strategische und operative Ausrichtung von NTT Security als Anbieter ganzheitlicher Sicherheitslösungen und -services haben sie elementare Bedeutung. Unsere SOCs fungieren als proaktive Abwehrzentren, in denen unter anderem die Früherkennung von Angriffen erfolgt, und zwar durch den Einsatz modernster Technologie in Kombination mit fachlicher Expertise – durch den Zugriff auf intelligente Tools wie KI-gestützte Systeme, die eine permanente Analyse des Datenverkehrs und die Korrelation unterschiedlichster Informationen sicherstellen sowie durch das Experten-Knowhow von Cybersecurity-Analysten. Der Vorteil von NTT Security ist, dass wir ein globaler Anbieter mit lokaler Präsenz sind. Ein weltweit agierender Provider analysiert Meldungen und Störungen unterschiedlichster IT-Infrastrukturen und verfügt damit über ein Echtzeitbild der Bedrohungslage. Nur eine globale Threat Intelligence kann letztlich eine zuverlässige Basis für die Realisierung eines umfassenden Schutzes vor akuten, auch gänzlich neuen Bedrohungen sein. Lokale Präsenz wiederum ist wichtig im Hinblick auf gesetzliche und aufsichtsrechtliche Aspekte gerade auch bezüglich Datenschutz und -haltung.

Threat Intelligence, also Daten zu Gefahrenquellen und weltweit verbreiteten Angriffsmustern, lässt sich zukaufen, beispielsweise in Form von Threat Feeds. Müssen SOC-Betreiber zwingend international aufgestellt sein?

Grunwitz: Das ist ein wichtiger Punkt. Viele neu gegründete SOCs setzen auf den Zukauf von Daten. Aus unserer Sicht kann aber nur eine Kombination von individuellen, nicht käuflich erhältlichen Threat Feeds und Marktlösungen erfolgreich sein. Der Grund: Auf alle kommerziellen Feeds können letztlich auch Cyber-Kriminelle zugreifen. NTT Security setzt deshalb auf eine Kombination aus externen Threat Feeds und interner Forschung und Entwicklung, wobei wir den Backbone von NTT und eigene globale Honeypot-Netzwerke nutzen.

Der Betrieb eines SOC ist mit Personalaufwand verbunden und erfordert große Expertise. Ist der Aufbau einer solchen Einrichtung für die breite Masse der Systemhäuser überhaupt sinnvoll?

Grunwitz: Geht es um den Aufbau eines eigenen SOC lautet die Antwort eindeutig nein. Nicht jeder sollte auf diesen Zug aufspringen. Denn der erforderliche Knowhow-Aufbau ist keinesfalls einfach zu bewerkstelligen, selbst wenn ein Systemhaus über IT-Security-Kenntnisse verfügt. Der hohe Aufwand für die Konzeption und vor allem für den Betrieb eines SOC kann schnell dazu führen, dass die Profitabilität nicht mehr gewährleistet ist. Andererseits ist aber auch klar, dass Systemhäuser in immer stärkerem Maße SOC-Leistungen anbieten müssen. Deshalb empfehlen sich Partnerschaften mit Anbietern, die eine ausgewiesene SOC-Expertise besitzen. Durch sinnvolle Allianzen kann die hohe Komplexität wesentlich schneller und kostengünstiger bewältigt werden als durch den Aufbau eines eigenen SOC. Wir sehen hier primär Systemhäuser, die nicht über die notwendigen Security-Kapazitäten verfügen, aber die Kunden ganzheitlich bedienen möchten. In diesem Kontext bietet sich die Zusammenarbeit mit einem spezialisierten Anbieter wie NTT Security an, um Zugriff auf Früherkennungsdienste und Threat Intelligence zu haben.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45953034 / Service Provider & MSP)