SOC-as-a-Service (SOCaaS) ist ein Sicherheitsmodell, bei dem ein Drittanbieter im Rahmen eines Abonnements den Betrieb und die Wartung eines vollständig verwalteten Sicherheitskontrollzentrums über die Cloud übernimmt.

SOCaaS bietet alle Sicherheitsfunktionen, die normalerweise ein herkömmliches, internes Sicherheitskontrollzentrum übernimmt, einschließlich Netzwerküberwachung, Protokollverwaltung, Bedrohungserkennung und -analyse, Untersuchung und Behebung von Zwischenfällen, Berichterstellung sowie Risikoverwaltung und Compliance. Außerdem übernimmt der Anbieter die Verantwortung für alle Mitarbeiter, Prozesse und Technologien, die für die Bereitstellung der Services nötig sind, und bietet Rund-um-die-Uhr-Support.

Welchen Platz nimmt SOCaaS innerhalb des Sicherheitssystems ein?

SOCaaS ist ein Beispiel für einen verwalteten Service. Er kann von einem Drittanbieter als eigenständiger Service bereitgestellt werden, ist aber oft Teil eines umfassenden Sicherheitspakets und sollte im Rahmen der Sicherheitsarchitektur des Unternehmens in andere Sicherheitstools und Services integriert werden.

Ist SOCaaS das Gleiche wie Managed SIEM?

Nein. Sicherheitsinformations- und Ereignismanagement (SIEM) ist zwar ein unverzichtbarer Bestandteil eines SOC-Angebots, bietet jedoch nicht die gleichen Funktionen wie ein Sicherheitskontrollzentrum. Ein SIEM überwacht Ereignisse im Unternehmen nicht in Echtzeit, sondern bestimmt anhand der Protokolldaten anderer Sicherheitslösungen, ob ein Zwischenfall stattgefunden hat.

Ist SOCaaS das Gleiche wie MDR?

Es gibt einige Überschneidungen zwischen den Funktionen von SOCaaS und verwalteter Erkennung und Reaktion (MDR). Bei beidem handelt es sich um einen Cybersicherheitsservice für verwaltete Erkennung und Reaktion, der Technologie und menschliches Know-how vereint und Bedrohungssuche, Überwachung und Reaktionsmaßnahmen umfasst. Doch SOCaaS ist definitionsgemäß ein ausgelagerter Service, was bei MDR nicht immer der Fall ist. Zudem bietet SOCaaS ein breiteres Spektrum an Services und im Vergleich zu MDR-Tools besseren, umfassenderen Schutz.

Vorteile von SOC-as-a-Service

SOCaaS bietet Unternehmen im Vergleich zum herkömmlichen lokalen Sicherheitskontrollzentrum viele wichtige Vorteile, zum Beispiel:

Schnellere Erkennung und Behebung

Einer der wichtigsten Vorteile von SOCaaS ist Geschwindigkeit. Das SOC-Team kombiniert hochentwickelte Technologien und Automatisierung mit menschlicher Überwachung und kann dadurch Sicherheitsereignisse zuverlässig identifizieren, kategorisieren, priorisieren und beheben. Da die Zahl der Warnungen immer mehr zunimmt, müssen Unternehmen den Zeitaufwand zur Untersuchung falsch positiver Meldungen (False Positives) verringern und sich auf die Probleme konzentrieren, die eine echte und dringende Gefahr für das Unternehmen darstellen.

Geringeres Risiko einer Kompromittierung

Ebenso wie ein normales Sicherheitskontrollzentrum arbeitet SOCaaS ununterbrochen und ermöglicht damit Überwachung, Erkennung und Reaktion rund um die Uhr, sodass Bedrohungen schnell eingedämmt und neutralisiert werden können. Das wiederum verkürzt die Breakout-Time für die Unternehmen und reduziert das kritische Fenster, das zwischen der Kompromittierung des ersten Rechners durch den Eindringling und dem Einsetzen lateraler Bewegungen in andere Teile des Netzwerks liegt.

Zudem haben Unternehmen durch SOCaaS Zugang zu hochspezialisierten Experten, ohne dass diese Personen in Vollzeit fest angestellt werden müssen. Die Kompetenz dieser Fachkräfte kann bei bestimmten Sicherheitsereignissen eingesetzt werden, um Aktivitäten zu analysieren und die Ausarbeitung einer Behebungsstrategie zu unterstützen. Dieses Know-how ist nur begrenzt auf dem Markt verfügbar und häufig ist es für Unternehmen nicht praktisch oder gar unmöglich, diese Fachkräfte selbst zu beschäftigen.

Zudem sind in den meisten Fällen nicht gepatchte bzw. veraltete Anwendungen oder Betriebssysteme die Ursache für Kompromittierungen. Angesichts des Fachkräftemangels und der zunehmenden Überlastung von IT-Teams wird dies zu einem schnell vernachlässigten Bereich, der Hackern sowie Cyberkriminellen ein Einfallstor bietet. SOCaaS sorgt dafür, dass sich jemand um diesen wichtigen Bereich kümmert und Risiken minimiert werden.

Skalierfähigkeit

Ebenso wie andere XaaS-Lösungen ist SOCaaS bekannt für seine Flexibilität und Anpassungsfähigkeit. Die Mitarbeiter und Services lassen sich problemlos je nach Bedarf oder bei einzelnen Ereignissen hoch- oder herunterskalieren. Im Vergleich dazu sind die Ressourcen – insbesondere die menschlichen – beim herkömmlichen SOC-Modell begrenzt und lassen sich nicht einfach bei Bedarf erweitern.

Besserer Reifegrad

SOCaaS kann in vielerlei Hinsicht als „Abkürzung“ zur Erreichung ausgereifter Sicherheit betrachtet werden, da Unternehmen, die die Services eines vertrauenswürdigen Anbieters nutzen, von den neuesten und fortschrittlichsten Lösungen sowie einem äußerst kompetenten Team profitieren. Dies ermöglicht schnellere, präzisere Erkennungen und Reaktionen und senkt gleichzeitig das Gesamtrisiko.

Geringere Kosten als lokales SOC

Für die meisten Unternehmen ist SOCaaS kostengünstiger als der Betrieb eines lokalen Sicherheitskontrollzentrums, da ein Großteil der Kosten (z. B. für Personal, Geräte, Lizenzen, Hardware und Software) von mehreren Kunden gemeinsam getragen wird. Dies senkt die Gesamtbetriebskosten für alle Abonnenten.

Zudem sind viele SOCaaS-Preismodelle nutzungsbasiert, d. h. Unternehmen zahlen nur für die tatsächlich genutzten Services.

Ressourcenoptimierung

SOCaaS hat aufgrund des Fachkräftemangels in der Cyberbranche besonders in den letzten Jahren an Attraktivität gewonnen. Da das Anwerben und Binden von Fachkräften immer schwieriger geworden ist, hilft SOCaaS nicht nur bei der Bewältigung des Personalmangels, sondern entlastet auch die vorhandenen Mitarbeiter, sodass diese sich auf Sicherheitsaufgaben konzentrieren können, die eher intern erledigt werden sollten.

Rollen und Verantwortungsbereiche für SOCaaS

Bei SOCaaS gibt es folgende Rollen:

• SOC-Manager: Fungiert als Leiter des Sicherheitszentrums und überwacht alle Aspekte des SOC, seiner Mitarbeiter und Abläufe
• Sicherheitsanalyst Ebene 1 – Triagierung: Kategorisiert und priorisiert Warnmeldungen, eskaliert Zwischenfälle an Analysten der Ebene 2
• Sicherheitsanalyst Ebene 2 – Zwischenfallreaktion: Untersucht und behebt eskalierte Zwischenfälle, identifiziert betroffene Systeme und das Ausmaß des Angriffs, enttarnt den Angreifer mittels Bedrohungsanalyse
• Sicherheitsanalyst Ebene 3 – Bedrohungssuche: Sucht proaktiv nach verdächtigem Verhalten und testet und bewertet die Netzwerksicherheit, um komplexe Bedrohungen zu erkennen und Bereiche mit Schwachstellen oder unzureichend geschützten Assets zu identifizieren
• Sicherheitsarchitekt: Entwirft das Sicherheitssystem und seine Prozesse und integriert verschiedene technologische und menschliche Komponenten
• Compliance-Auditor: Überwacht die Einhaltung interner und externer Richtlinien und Bestimmungen im Unternehmen
• SOC-Koordinator: Fungiert als Vermittler zwischen dem SOCaaS-Anbieter und den internen IT- und Sicherheitsmitarbeitern eines Unternehmens

Unternehmenstypen, die von SOC-as-a-Service profitieren könnten

Jedes Unternehmen, das mit einem lokalen Sicherheitskontrollzentrum arbeitet oder eines einrichten möchte, kann diese Funktion auslagern, um für weniger Geld mehr Sicherheit zu erhalten. Ob dies eine kluge Entscheidung ist, hängt vom Reifegrad des Unternehmens und den bereits vorhandenen Sicherheitsmaßnahmen ab.

Wann ist die Nutzung von SOCaaS sinnvoll?

Wie bereits erwähnt, bietet SOCaaS Unternehmen viele wichtige Vorteile durch besseren Schutz, schnellere Reaktionen und geringere Kosten. Ein Abonnementmodell ist möglicherweise die beste Option für Ihr Unternehmen, wenn folgende Punkte zutreffen:

• Sie verfügen nur über wenige IT- und Sicherheitsmitarbeiter, insbesondere im Hinblick auf hochspezialisierte Cybersicherheitskompetenzen oder den Rund-um-die-Uhr-Betrieb.
• Es ist kein dedizierter und geschützter Raum für den Betrieb eines Sicherheitskontrollzentrums vorhanden.
• Sie haben nicht umfassend in Technologie investiert, um Funktionen eines lokalen SOC bereitstellen zu können.
• Der Cybersicherheits-Reifegrad ist relativ gering und es besteht die Bereitschaft zur Nutzung von Backbone-Services eines Drittanbieters, um schnell ausgereifte Sicherheit zu erreichen.
• Innerhalb des Unternehmens gelten unterschiedliche Sicherheitsanforderungen.

Wann ist ein lokales SOC sinnvoll?

Obwohl SOCaaS zumeist die gleichen Services wie ein herkömmliches SOC zu geringeren Kosten bietet, sollten dennoch einige Unternehmen ein eigenes Sicherheitskontrollzentrum betreiben. Für folgende Unternehmen ist dies die beste Option:

• Sie haben bereits erheblich in Technologie investiert, das Fachpersonal ist bereits vorhanden und es sind Ressourcen verfügbar, um diesen Bereich zu unterhalten und weiter auszubauen.
• Es besteht ein hoher Sicherheitsreifegrad und es sind umfassende Sicherheitsmaßnahmen sowie ausgeprägtes Know-how vorhanden, sodass das Unternehmen die bestehende Sicherheitsarchitektur weiter unterhalten und verbessern kann.
• Ein hohes Maß an Granularität der Sicherheitskontrollen ist erforderlich.
• Das Unternehmen unterliegt umfangreichen und komplexen Vorschriften, die von einem Drittanbieter nicht vollständig verstanden oder unterstützt werden.

SOCaaS-Lösungen

Die meisten SOCaaS-Angebote sind technologieneutral und übernehmen die Verwaltung des gesamten Sicherheitspakets eines Kunden, unabhängig davon, welche Tools der Kunde wählt oder bereitgestellt hat. Bei der Wahl eines SOCaaS-Anbieters sollten Sie darauf achten, welche Tools der Anbieter in seine Plattform integrieren und von dort aus verwalten kann. Zudem sollten Sie berücksichtigen, welche Sicherheitskomponenten das SOCaaS-Angebot enthält.