Bildet sich in einem Unternehmen aus Aufgabenbereichen der IT-Sicherheit eine spezialisierte Elitetruppe an Mitarbeitern, dann werden diese oft als Security Operations Center (SOC) bezeichnet. Dieser Blogbeitrag beschreibt die verschiedenen Aufgaben dieses Centers.
Aufgaben eines Security Operations Center
Die Aufgaben des SOC beziehen sich grundsätzlich auf den Bereich der IT-Sicherheit. Dazu zählt die Verwaltung und Organisation von den unterschiedlichen im Unternehmen eingesetzten Sicherheitssysteme wie als Beispiel Hardware-Sicherheits Module. Zunächst müssen für diese Systeme ein genaues Sicherheitskonzept herausgefunden werden, ehe die entsprechende Konfiguration für das Gerät erstellt wird.
Betrachtet man zum Beispiel einen DHCP-Server. Ein solcher Server vergibt IP-Adressen im internen Netzwerk. Ist dieser schlecht konfiguriert, so vergibt dieser jedem Gerät an einer Netzwerkbuchse eine IP-Adresse. Ein gut konfigurierter DHCP-Server vergibt nur IP-Adressen an Geräte, dessen Media-Access-Control Adresse im Netzwerk bekannt ist. Mit dem Beitrag zum Shark Jack oder der Lan Turtle haben wir bereits gezeigt, dass es Möglichkeiten gibt binnen Sekunden eine Hintertür in das Unternehmensnetzwerk einzuschleusen. Bekommt zum Beispiel der Shark Jack von einem DHCP keine IP-Adresse zugewiesen, so müsste der Angreifer breites Wissen über das interne Netzwerk haben, um das Gerät vollständig verwenden zu können.
Weiter könnten Geräte wie eine Firewall, ein Unified Threat Management Gerät oder andere Sicherheitsmodule von einem SOC dementsprechend konfiguriert werden. Auch Anpassungen der Konfiguration sollten vorher mit dem Team abgesprochen und entsprechend dokumentiert werden.
Incident Response
Das SOC Team kann ebenfalls das Team sein, was bei einem sicherheitskritischen Ereignis möglichst schnell den entstandenen Schaden eingrenzt und analysiert. Ein entsprechender Incident Response Plan ist hierfür vorteilhaft. Das Security Operations Center kann durch das entsprechende Wissen über die IT-Sicherheit die entsprechenden Maßnahmen in Kürze durchführen.
Das Security Operations Center als Angreifer
Eine weitere Aufgabe des SOC ist es, dass bestimmte System oder sogar das ganze Unternehmen auf die Sicherheit hin zu testen. Dabei können sogenannte Penetrationstests ein guter Indikator sein. Denn auch wenn hohe Schutzmaßnahmen ergriffen wurden, sollte auch überprüft werden, ob diese korrekt funktionieren. Generell kann auch überlegt werden, ob nicht ein externer Betrieb der IT-Sicherheit nicht einen Pentest in Zusammenarbeit mit dem internen Security Operations Center realisiert. Möglicherweise kennt das externe Unternehmen, was ggf. auf IT-Sicherheit spezialisiert ist noch weitere Aspekte, die dem internen Team unbekannt sind.