Foto: Trend Micro
Für ein IT-Systemhaus oder Beratungshaus, das bereits Managed Security Services anbietet oder dies plant, wird der Bereich Cyber Defense und die Auswahl geeigneter Technologie für SOC-Services (Security Operations Center) immer wichtiger. Dieser Bereich bietet einerseits großes Marktpotenzial, weil immer mehr Unternehmen aufgrund des Fachkräftemangels und wachsender Cyberbedrohungen externe Hilfe suchen.
Andererseits entwickelt sich Cyber Defense für Managed Service Provider (MSPs) auch zunehmend zum unverzichtbaren Angebot im Portfolio, um die eigene Wettbewerbsfähigkeit zu stärken. Denn wer die Anforderungen von Kunden kennt und sie in allen Phasen bei der Abwehr von Cyberangriffen unterstützen kann, positioniert sich als kompetenter Partner und gewinnt Aufträge.
Prävention reicht nicht mehr aus
Lange Zeit haben Unternehmen ihre Security-Maßnahmen vorwiegend auf die Prävention fokussiert. Das reicht heute nicht mehr aus. Cyberkriminelle sind mittlerweile hochprofessionell organisiert und finden früher oder später immer einen Weg, die äußeren Schutzmauern zu durchbrechen. Insbesondere Ransomware-Attacken sind für Hacker ein lukratives Geschäftsmodell, das sie sich stetig weiterentwickeln. Solange sich damit gutes Geld verdienen lässt, wird das auch so bleiben.
Solche Vorfälle bleiben oft lange unbemerkt und werden erst entdeckt, wenn es bereits zu spät ist. Um sich zu schützen, brauchen Unternehmen eine umfassende Cyber-Defense-Strategie. Für IT-Systemhäuser bietet sich dabei die Chance, sowohl kompetent zu beraten als auch mit Managed Services zu unterstützen. Denn kaum ein Unternehmen ist heute noch in der Lage, die wachsenden Security-Herausforderungen alleine zu stemmen.
Für welche Dienstleister eignen sich SOC-Services?
Channel-Partner, insbesondere MSPs, können von der Integration von SOC-Services in ihre Angebote erheblich profitieren. Viele übernehmen bereits seit Jahren den Infrastrukturbetrieb für Unternehmen. SOC-Services stellen dazu eine äußerst sinnvolle Ergänzung dar, die optional als auch Add-on ins Portfolio aufgenommen werden kann.
Denn MSPs, die in der Lage sind, Bedrohungen schnell zu erkennen und darauf zu reagieren, minimieren potenzielle Schäden und stärken das Sicherheitsprofil ihrer Kunden. Sie werden damit zum zuverlässigen Partner auf Augenhöhe in einer sich ständig weiterentwickelnden und komplexen Bedrohungslandschaft.
Entscheidend für den langfristigen Erfolg ist jedoch die Möglichkeit, SOC-Services je nach den wachsenden Anforderungen und der Größe der Kunden zu skalieren. Hierbei spielt eine flexible Infrastruktur eine zentrale Rolle, ebenso ein skalierbarer Ansatz für die Bereitstellung von Sicherheitsdienstleistungen. Darüber hinaus müssen MSPs die SOC-Services an die individuellen Anforderungen und Risikoprofile ihrer Kunden anpassen können.
Implementierung von SOC-Services bei PCO
Christian Gäbel vom Systemhaus PCO aus Osnabrück, berichtet: "Bei der Implementierung unseres SOC-Services haben wir viele wertvolle Erkenntnisse gewonnen. Eine zentrale Lektion war die Notwendigkeit einer proaktiven 24/7-Sicherheitsstrategie, die nicht nur auf Reaktion, sondern auch auf präventive Maßnahmen setzt, während die Qualität unserer Beratung im Hinblick auf die Anforderungen der Kunden an die IT-Sicherheit konstant hochwertig bleiben muss.
Gäbel berichtet weiter: "Hierbei spielen umfassende Weiterbildungsprogramme eine entscheidende Rolle, um Berater, SOC-Analysten und Fokus-Sales-Manager optimal für die stetig wachsenden Herausforderungen in der Cyber-Welt zu qualifizieren. Mit diesem klaren Fokus auf qualifizierte Beratung, innovative Lösungen und kontinuierliche Weiterbildung haben wir es als Branche selbst in der Hand, die Konjunktur anzukurbeln und einen sicheren digitalen Raum zu gestalten."
Um ein SOC erfolgreich einzurichten und zu betreiben, benötigen MSPs die notwendige Infrastruktur und Technologie aber auch das entsprechende Security-Know-How und die Ressourcen, um diese bedienen zu können. Entsprechende Investitionen in Personal, Qualifikation und Zertifizierungen sind daher unerlässlich. Da die IT-Security-Branche zunehmend mit Personalmangel zu kämpfen hat und Security-Experten mit zu den begehrtesten Fachkräften gehören, sollten MSPs auch in Betracht ziehen, solche Services gegebenenfalls gemeinsam mit anderen Partnern anzubieten.
Zudem benötigen Service-Provider einen Security-Technologie-Stack, der es ihnen ermöglicht, SOC-Dienstleistungen möglichst umfassend anzubieten. Zu den wichtigsten Services zählen fortschrittliche Sicherheitswerkzeuge wie Extended Detection & Response (XDR), Threat Intelligence und Angriffsflächenmanagement. Eine einheitliche Cybersecurity-Plattform, wie die von Trend Micro, korreliert die durch die verschiedenen Lösungen gewonnenen Informationen und wertet sie automatisiert aus. Durch diese Integration können MSPs eine höhere betriebliche Effizienz und einen effektiveren Schutz für ihre Kunden gewährleisten.
Was gehört zu einer Cyber-Defense-Strategie?
Eine umfassende Cyber-Defense-Strategie erstreckt sich von der Risikobewertung über die Bedrohungserkennung bis zur schnellen Bewältigung eines Cybervorfalls. Im ersten Schritt ist es wichtig, Transparenz über die Assets in der IT-Landschaft zu gewinnen. Denn nur, was man kennt, kann man auch schützen.
Anschließend geht es darum, Risiken zu identifizieren, zu priorisieren und zu mindern. Dies dient dazu, die Angriffsfläche zu minimieren und die Angriffswahrscheinlichkeit zu reduzieren.
Da sich aber nie alle Risiken beseitigen lassen, ist auf der nächsten Ebene eine leistungsfähige Detection und Response gefragt. Diese sollte sich über sämtliche Vektoren der IT-Umgebung erstrecken und Bedrohungsinformationen korrelieren. So entsteht aus vielen kleinen Puzzleteilchen ein zusammenhängendes Angriffsbild.
Hier spielt XDR eine entscheidende Rolle: Die Technologie ermöglicht eine sehr schnelle, ganzheitliche Bedrohungserkennung und zeigt in einer zentralen Konsole auf einen Blick, was passiert ist. Abschließend gehört zu einem umfassenden Cyber-Defense-Konzept auch ein Service für Incident Response, der im Ernstfall dabei unterstützt, einen Cyberangriff schnell einzugrenzen und Systeme wiederherzustellen.
Technologie für SOC-Services auswählen
Die Wahl der richtigen Security-Technologie ist für Channel-Partner entscheidend. Sie sollte dem neuesten Stand der Cyberabwehr entsprechen und mandantenfähig sein. Außerdem muss sie sich leicht managen lassen und einen hohen Automatisierungsgrad bieten. Letzteres ist insbesondere wichtig, um Kosten zu optimieren und den Fachkräftemangel zu meistern, unter dem auch MPSs leiden.
SIEM und XDR unterscheiden sich darin, welche Datenquellen sich anschließen lassen und wie einfach die Datenpflege ist. Grob gesagt ist ein SIEM offener, aber auch erheblich aufwändiger. Grundsätzlich kann man nahezu alle Systeme anbinden, die in irgendeiner Form Log-Daten erzeugen.
Wenn die Integration nicht bereits vom Hersteller vorbereitet ist, kann das jedoch komplex werden. Im SIEM landen Daten in unterschiedlichen Formaten. Damit das System diese Puzzleteile zusammensetzen kann, müssen sie zunächst normalisiert, also in eine einheitliche Struktur gebracht werden.
Bei XDR entfällt dieser Arbeitsschritt. Hier landen die Daten bereits in der richtigen Form im Data Lake und lassen sich sofort analysieren. Dafür arbeitet die XDR-Plattform aber auch nur mit bestimmter, vom Hersteller unterstützter Sensorik zusammen.
Zusammenfassend bedeutet das: XDR eignet sich für Kunden, die eine relativ standardisierte Infrastruktur haben und manuellen Aufwand reduzieren wollen. Viele Channel-Partner setzen daher bereits auf XDR.
SIEM und XDR lassen sich kombinieren
Die Entscheidung zwischen SIEM und XDR muss aber nicht zwangsläufig als eine Entweder-Oder-Situation betrachtet werden. In vielen Fällen arbeiten SOC-Anbieter mit einer Kombination beider Technologien. Hierbei erfolgt eine effektive Integration, bei der XDR die Daten vorab korreliert und diese dann an das SIEM weiterleitet, wo zusätzliche Datenquellen integriert werden.
Dieser Ansatz führt zu einer Reduzierung der SIEM-Kosten, da weniger Events pro Sekunde lizenziert werden müssen. Gleichzeitig wird die Analyse beschleunigt, was zu einer effizienteren Gesamtleistung beiträgt. Im Zusammenspiel mit einem Managed Service können Channel-Partner so auch für kleinere Kunden schnell und einfach eine leistungsfähige Detection und Response etablieren.
So gelingt die Portfolio-Erweiterung um SOC-Services
Eine Möglichkeit, wie IT-Systemhäuser SOC-Services aufbauen können ist, mit einem Hersteller zusammenzuarbeiten, der alle Cyber-Defense-Ebenen abdeckt und seine Partner mit einem dedizierten Channel-Angebot unterstützt. Dazu zählen neben hochmodernen Security-Lösungen auch Beratungsleistungen und ergänzende Services.
Gemeinsam mit Trend Micro können MSPs zum Beispiel SOC-Services im Co-Managed Modell anbieten. Sie erhalten dann selbst Unterstützung durch spezialisierte Security-Analysten, die die Security-Daten monitoren, auswerten und zur richtigen Reaktion beraten. Auf technologischer Seite empfiehlt sich eine Lösung, die Risikobewertung, XDR und SOAR-Funktionalität auf einer Plattform vereint. So profitieren MSPs von zentralem Management, stellen Interoperabilität sicher und sparen Aufwand. Um auch Incident Response ins Portfolio aufzunehmen, muss man kein eigenes Forensik-Team aufbauen. Indem MSPs mit spezialisierten Partnern zusammenarbeiten, können sie ihren Kunden garantieren, dass im Ernstfall Hilfe kommt. Wichtig ist dabei, Reaktionszeiten und Kontingente vertraglich festzuhalten.
Die Basics eines erfolgreichen MSP-Business
Wie ein kleiner IT-Dienstleister Enterprise-Kunden mit Cyber-Security versorgt