Socwise logo

SIEM/SOC-IMPLEMENTIERUNG

SOC Maturity Assessment ist ein Service, der die wichtigsten Aktivitäten des Security Operations Center (SOC) untersucht, um Kennzahlen zu liefern, die eine Priorisierung der Weiterentwicklung ermöglichen.

Diese SOC-Aufgaben sind die Überwachung von Bedrohungen, die Suche nach Bedrohungen, die Untersuchung von Bedrohungen und das Management von Vorfällen und Maßnahmen. Der Schlüssel liegt darin, den „Reifegrad“ der Sicherheitsabläufe in Ihrem Unternehmen zu messen, die wichtigsten Leistungsindikatoren (KPIs) für die kritischen Sicherheitsabläufe zu vergleichen und sich dann auf die Bereiche zu konzentrieren, in denen Sie sich verbessern müssen, um die Sicherheit weiter zu erhöhen und die Erkennungs- und Reaktionszeiten zu verringern.
Dieser Service bietet die Möglichkeit, Ihr Unternehmen bei der optimalen Abstimmung von Technologien mit Menschen und Prozessen zu unterstützen und den „Reifegrad“ der gesamten Sicherheitsoperationen zu verbessern.

DETECT & RESPONSE-DIENSTE

Für Kunden mit einem bestehenden SIEM-System bieten wir Detect & Response-Dienste an. In diesem Fall setzt unser Expertenteam nur die bestehende Technik beim Kunden ein. Wie auch im Abschnitt „SOC als Dienstleistung“ beschrieben, bieten wir mehrere Stufen der Unterstützung an.

Die weniger komplexe Option ist ein Basis-Detect-Paket, das die kontinuierliche Überwachung von Ereignissen, Warnmeldungen und deren Priorisierung umfasst. Berichterstattung und eskalative Kommunikation auf Grundlage der Prioritäten der Vorfälle sind ebenfalls wichtige enthaltene Grundfunktionen.
Das obere Ende unserer Dienstleistung umfasst die gesamte Koordination der Incident-Response-Kette, die Malware- und forensische Analyse von Bedrohungen sowie die fortlaufende Beratung zur kontinuierlichen Verbesserung des Schutzes über die oben genannten hinaus. In jedem Fall arbeiten wir mit bewährter Methodik, bei der die Koordinierung durch einen Service-Manager erfolgt und die Arbeit durch das Senior Cyber Defense Advisory Team festgelegt wird.

DEFENSE ARCHITECTURE MANAGEMENT

Die Wirksamkeit des Gesamtschutzes hängt von der Zuverlässigkeit der Sicherheitssysteme ab. Diese Systeme sind heute komplexer als je zuvor.
Einer der Wettbewerbsvorteile von SOCWISE ist, dass wir für unsere Kunden ganzheitliche Schutzsysteme erstellen. Wir haben Erfahrungen bei Finanzinstituten, Regierungsorganisationen und Unternehmen, die kritische Infrastrukturen betreiben, gesammelt. 

Das bedeutet, dass unser Ingenieursteam zunächst den aktuellen Stand der Schutz-Tools und deren Leistungsfähigkeit analysiert. Anschließend werden – auf Grundlage der Cybersicherheitsstrategie und der aktuellen Risikobewertung – die Architekturkomponenten eines fortschrittlichen Sicherheitstoolsets geplant und implementiert.
Wir berücksichtigen natürlich die organisatorische Netzwerkarchitektur, die Systemhosts und die Benutzermerkmale. Basierend auf Möglichkeiten der nächsten Generation und den Bedürfnissen des Unternehmens entwerfen wir die Schutzarchitektur und erstellen einen detaillierten Plan der benötigten Systeme und deren Einrichtung.
Unsere Experten für Perimetersicherheit, Endpunktschutz-Suites, Tools für die Verhaltensanalyse und komplexe SIEM-Systeme sind imstande, diese Systeme zu entwerfen, zu implementieren und zu warten. Wir entwickeln Lösungen, die Prävention, Erkennung und Reaktion ermöglichen.
Es ist von entscheidender Bedeutung, dass dieses Team während eines neuen Kundenengagements die aktuellen Überwachungsmöglichkeiten analysiert, Lücken und Risiken identifiziert, damit sich das SOC-Team auf die Daten und Informationen verlassen kann, die das Netzwerk der Systeme liefert.

SIEM-VERBESSERUNG

In den letzten zehn Jahren haben sich die SIEM-Lösungen in hohem Tempo entwickelt. In Fällen, in denen die SIEM-Implementierung bereits abgeschlossen ist und das System noch viel mehr leisten könnte, ist es sinnvoll, es beizubehalten und zu erweitern. Um mit den Veränderungen Schritt zu halten, bieten wir Beratung und eine technische Weiterentwicklung, eine Verbesserung bestehender SIEM-Systeme an.

Zu den Verbesserungen gehören größere System-Upgrades, die Analyse und Feinabstimmung der aktuellen Systemeinrichtung und die Integration neuer Funktionen oder Anwendungen in das bestehende System. Neue Funktionen können die Analyse von Benutzer- und Systemverhalten sein, die Analyse von Netzwerkpaketen oder die Aufnahme von Endpunktdaten für die Verarbeitung und Suche. Eine weitere wichtige Entwicklungsrichtung ist die SOAR-Integration, bei der das SIEM die Basis bildet und mehrere Tools sowie Schutzverfahren integriert werden können. Die Integration von fortschrittlichen Bedrohungsdaten zur Unterstützung der Arbeit von Analysten ist ebenfalls ein wichtiger Schritt auf dem Weg zu einem ausgereiften, komplexen und fortschrittlichen SIEM.

SIEM/SOC-AUTOMATISIERUNG

Die Automatisierung ist heutzutage ein wichtiges Hilfsmittel für das Analyseteam. Unser Ansatz in diesem Bereich basiert auf dem SOC-Prozess. Wir erstellen Scripts zur Prozess- und Systemautomatisierung, die auf den Abläufen bei einem Cybersicherheitsvorfall basieren. 

Zunächst einmal kann der gesamte Prozessablauf so orchestriert werden, dass die Benutzer, das SIEM und andere Tools wie das Ticketing-System einer IT erkannt und unter dem Dach einer ausgereiften SOAR-Lösung integriert werden. Zweitens wird die Arbeit der Analysten von einer automatisierten Datenerfassung und einer Bedrohungsanalyse unterstützt, sodass möglichst wenig menschliche Arbeitszeit für die Suche und Vorverarbeitung von Kontextdaten während der Kategorisierung verschwendet wird.
Das dritte Hauptmerkmal, das es zu berücksichtigen gilt, ist die Automatisierung der Reaktionsmechanismen innerhalb des Security Information and Event Management bzw. mithilfe integrierter Abwehrwerkzeuge und Netzwerkkomponenten. Dabei kann es sich um Verfahren zur Eindämmung oder Behebung von Problemen handeln, die von Systemgeräten oder einfach von IT-Administratoren manuell auf Grundlage von automatisch geöffneten Anfrage-Tickets ausgeführt werden.

BEDROHUNGS- UND SCHWACHSTELLENMANAGEMENT

Vorhandene Schwachstellen-Scans, Sammlungen und Prüfprogramme werden als grundlegende Cybersicherheitsmaßnahmen gesehen, aber die Implementierung und der Betrieb des Systems sowie die Durchführung des Prozesses sind eine ernsthafte Herausforderung.

Unser Ansatz sieht die Einrichtung eines zentralen Risikoregisters vor, das den Schwachstellenstatus der Systemelemente enthält, sowie die Durchführung überprüfbarer, systemgestützter Workflow-Prozesse für das Patching. Für diese Arbeit bieten wir die Beratung und entsprechende Systemimplementierung an.
Mit andere Arten von Bedrohungsvektoren sollte ebenfalls umgegangen werden, einschließlich IoCs, die aus externen oder internen Quellen stammen. Unsere Experten für Cyberabwehr entwickeln und implementieren auch Systeme für Bedrohungsmanagement.

BERATUNGSDIENSTE ZUR CYBERABWEHR

Unser Beratungsteam für Cyberabwehr bietet unseren Kunden eine breite Palette an Dienstleistungen. Unsere Besonderheit in diesem Fachbereich besteht darin, dass unsere Berater über einen umfassenden Hintergrund sowohl in der System- und Netzwerktechnik als auch in der praktischen Abwehr und Einhaltung gesetzlicher Vorschriften verfügen.

SOC Maturity Assessment

Nach der Bewertung der Informationsquellen und der Zuverlässigkeit der IoCs werden diese mit Hilfe strenger und strukturierter Methoden analysiert und anschließend von denjenigen kommentiert, die über Fachwissen und Zugang zu allen Quellen verfügen. Die Nutzung von CTI as a Service oder der Aufbau von einem eigenen Service erfordert, dass die Analysten eine große Menge von Informationen genau und rechtzeitig entdecken und identifizieren.
Bei ordnungsmäßiger Implementierung können Aktualisierungen von Bedrohungsinformationen dazu beitragen, Ihre Erkennungs- und Reaktionseffizienz aufrechtzuerhalten.

SOC-Prozessentwicklung

Wie im Abschnitt SIEM-Implementierung beschrieben, haben wir für viele unserer Kunden schon SOC-Prozesse eingerichtet und mit unserem eigenen SOC gehen wir noch einen Schritt weiter. Wir teilen dieses Fachwissen mit unseren Partnern.

Entwicklung einer SOC-Roadmap

Auf Grundlage einer Bewertung der Sicherheitsabläufe und -technologien entwirft und plant unser Beraterteam die Roadmap für Ihre SOC-Weiterentwicklung. Die Reihenfolge dieser Schritte muss mit Bedacht gewählt werden, um das Qualifikationsniveau der Analysten, die Komplexität der Systeme und die aktuelle Prozesslandkarte zu berücksichtigen.

KPI-Konsultation

Die größte Herausforderung für Organisationen, ob neu oder alt, besteht darin, herauszufinden, wie gut sie arbeiten. Ein sinnvoller erster Schritt ist die Einrichtung eines Bewertungssystems. Unsere Balanced Scorecard-Methodik basiert auf der Verwendung eines KPI-Baums und einer Entscheidungsmatrix. Diese Methode hilft bei der Auswahl von Schlüsselkennzahlen zur Bewertung der Unternehmensleistung.
Die Berater liefern auf Knopfdruck oder automatisch gut aggregierte, gut visualisierte und – was vielleicht am wichtigsten ist – leicht lesbare Zahlen. Wenden Sie sich an unsere Experten, die Ihnen helfen, die am besten geeigneten KPI-Kennzahlen zu finden.

Weiterentwicklung von Abwehrteams

Ein entscheidender Aspekt eines gut funktionierenden Sicherheitsteams ist es, über das neueste Wissen, über neue Techniken und Taktiken zu verfügen. Was wir anbieten, ist eine praktische, erfahrungsbasierte und rollenspezifische Kompetenzschulung für Fachleute.

Ausbildung zum Sicherheitsanalytiker

Unser Unternehmen führt auch ein aktuelles, dynamisches Schulungsprogramm für Ingenieure und Analysten durch, die Systeme installieren, bedienen und nutzen, um zu lernen und zu wachsen. Einer der wichtigsten Faktoren in einem Unternehmen sind Sicherheitsexperten, die Vorfälle erkennen und anschließend Bedrohungen ermitteln, analysieren und abwenden. Ihre berufliche Aus- und Weiterbildung ist eine wesentliche Voraussetzung für die rasche Weiterentwicklung der Technologie.
Bedrohungen ermitteln, analysieren und abwenden. Ihre berufliche Aus- und Weiterbildung ist eine wesentliche Voraussetzung für die rasche Weiterentwicklung der Technologie. 

Situationsbezogene Spiele

Wir veranstalten verschiedene Arten von Planspielen zur Cybersicherheit für Schulungen und Leistungstests. Bei diesen Spielen handelt es sich in der Regel um Kampagnen des roten Teams gegen das blaue Team, um „Capture the Flag“ oder um SOC-Sensibilisierungstests durch simulierte Angriffe.

APT-Angriffssimulation

Ein APT-Simulationssystem (Advanced Persistent Threat) ist ein Netzwerksicherheits-Tool der nächsten Generation, das einen realen Angriff durchführt und gleichzeitig die Möglichkeit bietet, die Erkennungs- und Reaktionszeit zu messen und durch die Bereitstellung detaillierter Berichte aus dem Angriff zu lernen und die Verteidigungsprozesse und -systeme weiterzuentwickeln.
Es gibt verschiedene Testtools, mit denen die Werkzeuge und die Prozesse des Teams regelmäßig getestet werden können.

CTI-Service und Beratung

Durch CTI (Cyber Threat Intelligence) Beratung helfen wir Ihnen, das richtige Modell externen CTI-Wissens zu finden und einzubauen oder Ihre eigene, spezifische CTI-Datenbank und Vorgangsweise zu erstellen.
Nach der Bewertung der Informationsquellen und der Zuverlässigkeit der IoCs werden diese mit Hilfe strenger und strukturierter Methoden analysiert und anschließend von denjenigen kommentiert, die über Fachwissen und Zugang zu allen Quellen verfügen. Die Nutzung von CTI as a Service oder der Aufbau von einem eigenen Service erfordert, dass die Analysten eine große Menge von Informationen genau und rechtzeitig entdecken und identifizieren.
Bei ordnungsmäßiger Implementierung können Aktualisierungen von Bedrohungsinformationen dazu beitragen, Ihre Erkennungs- und Reaktionseffizienz aufrechtzuerhalten.

Dienst zur Reaktion auf Zwischenfälle

In allen Abschnitten der Reaktionskette können verschiedene Aufgaben vom SOCWISE-Expertenteam durchgeführt oder unterstützt werden. Erstens ist die Koordinierung des Reaktionszeitraums eine wichtige Aufgabe, die einen methodischen und technischen Hintergrund erfordert. Zweitens kann das SOCWISE-Team auch die Analyse einschließlich Sandboxing und forensische Analysen durchführen. Wenn ein kritischer Vorfall eintritt und/oder eine spezielle OT-Bedrohung zu bewältigen bzw. eine industrielle und fortschrittliche Malware-Laborumgebung erforderlich ist, kann unsere Unterstützung entscheidend sein.

Offensivdienste

Regelmäßige Vorsorgetests durch ethische Offensivkräfte können eine Notwendigkeit zur Einhaltung der Vorschriften sein, geben aber in den meisten Fällen sehr nützliches Feedback für das Verteidigungsteam. Wir entwerfen und führen verschiedene aktive Abwehrtests durch.

Penetrationstests

Holistische Penetrationstests werden in mehreren Stufen durchgeführt. Black-, Grey- oder White-Box-Tests können unter umfassend geplanten und sicher umgesetzten Bedingungen durchgeführt werden. Sie werden immer unter streng definierten Bedingungen ausgeführt, wobei der Zielbereich externe IP-Adressen, private Netzwerksegmente oder spezifische Anwendungen sein können.
Die gefundenen Schwachstellen und die ungeschützten Angriffsflächen werden in einer ausführlichen Dokumentation mit Vorschlägen zur Behebung aufgelistet.

Schwachstellentest

Schwachstellentests können für IT- und OT-Netzwerke getrennt durchgeführt werden. Das erfordert aber die manuelle Arbeit von Cyber-Abwehrtechnikern. Bei diesen Projekten bauen wir auf verschiedene Scanner- und Analysetools.
Eine ganzheitliche Schwachstellenanalyse wird mit professioneller Vorsicht in der produktiven IT-Umgebung durchgeführt, sodass der Betrieb nicht beeinträchtigt wird. Auch eine enge Zusammenarbeit mit dem IT-Team des Kunden wird vorbereitet.
Die Testergebnisse werden in einem detaillierten digitalen Bericht festgehalten, der den Betriebsteams Anhaltspunkte gibt, um anfällige Systemkomponenten zu patchen oder die betroffene Systemarchitektur neu zu gestalten.

Bewertung industrieller Kontrollsysteme

Durch den Einsatz eines vollständig passiven netzwerkbasierten OT-Netzwerkanalysetools bieten wir gelegentliche oder regelmäßige Bewertungen an.
Das erste Ergebnis der Bewertung ist eine genaue Inventarliste der Geräte, die über das Netzwerk kommunizieren – darunter Computer, Netzwerkkomponenten, SPS, HMIs oder andere. Wir ordnen jedem Objekt einen Sicherheitsstatus zu, der auf dem aktuellen Firmware-/Betriebssystemstatus basiert.
Wir ermitteln die Netzwerkverbindungen und -sitzungen zwischen allen kommunizierenden Einheiten und erstellen Topologiekarten der Schichten 2 und 3. Auf Grundlage eines automatisch erstellten grundlegenden Datenverkehrsmusters heben wir ungewöhnliches, verdächtiges Verhalten hervor. Auf Grundlage vordefinierter und maßgeschneiderter Regeln ermitteln wir Bedrohungen oder feindselige Aktivitäten im OT-Netzwerk und schlagen entsprechende Maßnahmen vor.

Malware-Analyse

Wir bieten unsere, auf Sandboxing- und Malware-Labor basierende Malware-Analyse-Dienstleistung 24/7 an. Je nach spezifischen Anforderungen liefern wir eine schnelle und tiefgehende Analyse der verdächtigen Elemente.
Wir führen forensische Untersuchungen und Malware-Analysen an Onsite-, Remote- oder Offsite-Standorten durch, je nach den erforderlichen und verfügbaren Sandboxing-Möglichkeiten.

crossmenu