Ein Jahr Cloud Security Operations Center

May 18, 2020 / by Jan Geisbauer


Der Modern Workplace Client erfordert moderne Sicherheitslösungen. Microsoft bietet hierfür erstklassige Tools, die alle notwendigen Informationen bereitstellen, um schnell auf Bedrohungen reagieren zu können. Vielen Unternehmen fehlt jedoch in der Regel die Zeit, diese Tools eingehend zu studieren, geschweige denn die personelle Ausstattung, um sie ständig zu überwachen. Aus diesem Grund haben wir vor anderthalb Jahren unseren Managed Service ‘Cloud Security Operations Center (CSOC)’ gestartet. Ein Fazit.

Der CIO eines großen Unternehmens sagte in meinem Beisein, er habe sich zu Weihnachten ein Fitnessbike gekauft und in den Keller gestellt. Das Problem sei nur, dass er nie in den Keller gehe.

In unseren 100% Cloud Projekten können wir unsere Kunden davon überzeugen, dass ein Modern Workplace Client moderne Sicherheitslösungen benötigt. Microsoft fasst diese Cloud Security Tools in der ‘E5 Security’ Lizenz zusammen. Der Einsatz dieser Tools ist für die meisten Kunden unumstritten, damit der moderne Arbeitsplatz, die Cloud Services, die Daten und die Identitäten gleichermaßen und von überall gut geschützt sind.

Allerdings folgt nach einer anfänglichen Begeisterung darüber, was mit diesen Security Tools alles entdeckt werden kann, schnell die Ernüchterung, da vielen Mitarbeitern in Unternehmen in der Regel die Zeit fehlt, sich eingehend mit diesen Werkzeugen zu beschäftigen, geschweige denn die Manpower, um sie ständig zu überwachen. Das ist nachvollziehbar, denn praktisch alle IT-Abteilungen, die ich kenne, sind notorisch überbelastet. Und doch: das Fitnessbike im Keller erfüllt nur dann seinen Zweck, wenn es auch genutzt wird.

Aus dieser Motivation heraus haben wir vor gut eineinhalb Jahren begonnen, die Architektur für unseren Managed Service ‘Cloud Security Operations Center (CSOC)’ zu entwerfen. Denn wir haben erkannt, dass im Laufe der Zeit immer mehr Kunden auf moderne Cloud-Sicherheit setzen, aber Unterstützung benötigen.

Dabei bauen wir unter anderem auf folgende Maximen:

1. Microsoft Nativ

Wer sich mit der Cloud beschäftigt hat, weiß, Veränderung ist ihr zweiter Vorname. Das ist gerade im Bereich Security wichtig und gut, um ständig neuen Bedrohungen zu begegnen, kann aber auch bedeuten, dass Konnektoren und kundenspezifische Software ständig angepasst werden müssen. Hier setzen wir auf die nativen Microsoft-Lösungen und sind in ständigem, engem Kontakt mit den jeweiligen Produktgruppen in Israel und Redmond. Wir geben kontinuierlich Feedback und haben so direkten Einfluss auf die Produktentwicklung – was wiederum unseren Kunden zugutekommt.

2. Niemand ist eine Insel

Unsere Kunden profitieren von den Erkenntnissen, die wir in anderen Kundenumgebungen sammeln. Wenn wir beispielsweise eine neue Angriffsmethode entdecken, entwickeln wir hierfür spezielle Hunting Queries, die wir dann in allen Umgebungen einsetzen.

3. Immer Mehrwert erzeugen

Alles, was wir unseren Kunden berichten, muss für sie einen Mehrwert schaffen. Der Kunde hat nicht viel von seitenlangen Security-Reports, für die er keine Zeit zum Lesen hat. Stattdessen konzentrieren wir uns auf einseitige Reports, die für das Management geeignet sind und sprechen sie im Detail durch:

CSOC Report

Dieser Ansatz hat sich zu einer intensiven Zusammenarbeit zwischen dem Glück & Kanja CSOC und den SecOps Abteilungen unserer Kunden entwickelt. Jeden Monat diskutieren wir Vorfälle und mögliche Verbesserungen. Und darüberhinaus unterstützen wir bei der Umsetzung dieser Verbesserungsmöglichkeiten. Das ist entscheidend!

Mittlerweile wenden wir diese Maximen täglich bei mehreren Kunden erfolgreich an. Wir haben in dieser Zeit unzählige Angriffe verhindert oder unterbrochen. Wir haben Attacken forensisch analysiert und daraus Schlussfolgerungen gezogen, wie sie in Zukunft verhindert werden können. Dabei haben wir Tools und Verfahren entwickelt, die allen unseren Kunden helfen.

Die tägliche Arbeit besteht einerseits aus monotonen Aufgaben und anderseits aus spannenden Recherchen im Falle von Angriffen durch Hacker-Gruppen. Sobald ein interessanter Fall auftaucht, stecken oft mehrere Spezialisten virtuell die Köpfe zusammen, um gemeinsam zu rekonstruieren, was passiert ist. Wir versuchen, die monotonen Aufgaben zu reduzieren, indem wir unsere Prozesse und Automatisierungen stetig verbessern. Auch unser eigener Service wird evergreen gelebt.

Neben der Incident Response und dem Analysieren von Vorfällen bei Malware-, Phishing- und Identity Angriffen haben wir die Security Posture unserer CSOC Kunden massiv verbessert. So konnten wir beispielsweise den Microsoft Secure Score bei einem Kunden innerhalb von 3 Monaten auf 169% steigern und seine Security Landschaft somit stark optimieren.

Ausblick

Wie schon erwähnt: sicher bleibt nicht sicher. Deshalb sind wir dabei, die Dienste des CSOC auf andere Bereiche auszudehnen, zum Beispiel auf das Azure Security Center. Wir stellen auch die Alerts und Sensoren, die täglich überwacht werden, ständig in Frage und sind bereit, sie bei Bedarf anzupassen. Auf diese Weise versuchen wir, unseren Service ‘neu’ und ‘frisch’ zu halten, um für unbekannte Bedrohungen perfekt vorbereitet zu sein.