Security Operation Center aus der Cloud

Die drastisch steigende Zahl von Cyberangriffen stellt heutzutage viele Firmen vor eine grosse Herausforderung. In der komplexen und sich schnell verändernden Geschäftswelt werden Attacken immer zielgerichteter und machen vor keiner Branche oder Unternehmensgrösse halt.

9. März 2022

Dieser Problematik kann ein zentral organisiertes Sicherheitsteam entgegenwirken, welches rund um die Uhr die IT-Infrastruktur überwacht. Ein solches firmeneigenes Security Operation Center (SOC) zu betreiben, kostet übermässige Ressourcen. Dafür bietet Microsoft und baseVISION mit der Cloud eine ausgezeichnete Alternative.

Im Gehirn eines Hackers: Wie funktioniert ein gezielter Angriff?
«Was gibt es bei mir schon zu holen?» Diese Ausrede nutzen viele Kunden, die sich vor Cyberangriffen gefeit fühlen. Doch Angreifer gehen heutzutage immer gezielter und strategischer vor. Der Eintritt in eine fremde IT-Infrastruktur ist erst der Anfang des Angriffs. Nicht nur Ransomware ist ein Problem, je nach Motivation und Ziel des Hackers, bleibt dieser oft zuerst unbemerkt und sucht interessante Informationen in der betroffenen Umgebung. Diese ersten Eintritte werden immer wieder als Sprungbrett in grössere und finanziell spannendere Unternehmen benutzt. Arbeitet die gehackte Firma mit beispielsweise einem globalen Konzern zusammen, ist ein Zugriff auf dessen System ein Kinderspiel.

Das vergessene Potenzial von Microsoft und der Cloud
Erfahrungen zeigen, dass Unternehmen oft Microsoft 365 (M365) Komponenten einsetzen, ihr volles Potenzial jedoch selten ausnutzen. Anstelle des Kaufs von zusätzlichen Produkten sollten Firmen folglich die bestehenden Funktionen und Konfigurationen nutzen, um die volle Kraft der Lizenz auszuschöpfen.
Setzt ein Unternehmen M365 oder Microsoft Azure Services ein, kann die Infrastruktur einfach und unkompliziert mit einem Cloud-native SOC-Service erweitert werden. Jedes der darin enthaltenen Produkte ist für die Erkennung möglicher Angriffe optimiert. Entsprechende Gefahrenmeldungen lassen sich im SIEM (Security Information and Event Management) im Azure Tenant verarbeiten und analysieren.

Sicherheit in Form eines Managed Services
Die grösste Herausforderung im Umgang mit den M365 Defender Produkten ist nicht die Einführung, sondern der erfolgreiche Betrieb. Dieser ist zeitaufwändig und es werden IT-Fachpersonen mit spezifischen Fähigkeiten benötigt. Angreifer sind meist zu unerwarteten Zeiten aktiv und nutzen die Nacht und Wochenende gerne aus. Dafür muss ein Pikettdienst organisiert werden, welcher gemäss Schweizer Gesetz aus mindestens 5 Personen besteht. Diese Spezialisten sind jedoch im Normalbetrieb nicht ausgelastet, was wiederum zu einer Ressourcenverschwendung führt.

Um dieser Tatsache entgegen zu wirken, kann ein Unternehmen ein externes SOC beauftragen, welches in diesem Bereich spezialisiert ist. Dieses stellt die dafür nötigen Fachpersonen (Security Analystinnen und Analysten) bereit, welche einen Überblick über die Infrastruktur erhalten und diese rund um die Uhr überwachen. Das SIEM sowie die erforderlichen Daten für die SOC-Services verbleiben in der bereits vorhandenen Microsoft-Azure-Infrastruktur der Kundschaft.

Mithilfe der modernen Tools von Microsoft und eines Managed SOC Services kann die Sicherheit in Ihrem Unternehmen einfach und effizient erhöht und damit das volle Potenzial genutzt werden.

Der Autor
Thomas Kurth ist CEO und Principal Workplace Consultant der baseVISION AG. Dank seines Engagements in die IT-Community wurde er bereits mehrmals von Microsoft zum MVP gekürt. Thomas Kurth steht Ihnen für Fragen rund um das SOC-Angebot der baseVISION und weitere Security & Modern Workplace Themen gerne zur Verfügung.

Mehr Infos: www.basevision.ch