03245 CERT und SOC erfolgreich implementieren
|
In einer Welt, in der die Risiken für die Informationssicherheit rasant zunehmen, geht es darum, die Verteidigungslinien weit über die Basisanforderungen eines ISMS hinaus zu stärken und zu erweitern. Ein entscheidender Weg dazu sind die Implementierung und der Betrieb von Computer Emergency Response Teams (CERT) und Security Operations Centers (SOC). Doch wie können gerade kleine und mittlere Organisationen eine solch robuste Sicherheitsinfrastruktur erfolgreich etablieren?
In diesem Beitrag liefern wir Ihnen die Antworten. Wir gehen auf die formellen Aspekte ein, zeigen, welche Anforderungen zu erfüllen sind und welche Vorteile sich aus dem Betrieb von CERT und SOC ergeben. Ein Schlüsselvorteil ist dabei der Austausch mit den CERTs anderer Organisationen im Rahmen des Deutschen CERT-Verbunds. Arbeitshilfen: von: |
1 Einführung
Im Rahmen der allgemeinen Risikovorsorge sollte jede IT-unterstützte oder getriebene Organisation über eine adäquate technische und organisatorische Ausgestaltung ihrer IT-Landschaft hinsichtlich der allgemeinen Anforderungen an die Informationssicherheit verfügen. [1]
Je nach der Größe (Zahl der Nutzer, Arbeitsplätze, Server etc.) der IT-Umgebung wird oftmals in IT-Betrieb (teilweise weiter unterteilt in Serversysteme, Netzwerk etc.), Anwendungsbereitstellung und Anwenderebene unterschieden.
CERT/SOC Services bilden die Basis
Ausgehend von einer solchen Organisation ergeben sich im Rahmen eines Sicherheitsereignisses (Security Event) verschiedene Handlungsstränge und Anforderungen an Informationssicherheit und/oder IT-Betrieb, besonders wenn sich ein Sicherheitsereignis im späteren Verlauf zu einem Sicherheitsvorfall (Security Incident) entwickelt. Die Einrichtung von CERT und SOC-Services bildet die erforderliche Basis, um Sicherheitsereignissen und -vorfällen erfolgreich entgegentreten zu können.
Ausgehend von einer solchen Organisation ergeben sich im Rahmen eines Sicherheitsereignisses (Security Event) verschiedene Handlungsstränge und Anforderungen an Informationssicherheit und/oder IT-Betrieb, besonders wenn sich ein Sicherheitsereignis im späteren Verlauf zu einem Sicherheitsvorfall (Security Incident) entwickelt. Die Einrichtung von CERT und SOC-Services bildet die erforderliche Basis, um Sicherheitsereignissen und -vorfällen erfolgreich entgegentreten zu können.
1.1 Voraussetzungen für die Einführung eines CERT/SOC
Grundsätzliche Anforderungen
Um CERT und SOC-Services erfolgreich implementieren zu können, sind seitens der Organisation über die verschiedenen Ziel- und Prozessebenen (s. Abbildung 1) ein paar grundsätzliche Anforderungen an den IT-Betrieb und die Anwendungsbereitstellung zu erfüllen:
Um CERT und SOC-Services erfolgreich implementieren zu können, sind seitens der Organisation über die verschiedenen Ziel- und Prozessebenen (s. Abbildung 1) ein paar grundsätzliche Anforderungen an den IT-Betrieb und die Anwendungsbereitstellung zu erfüllen:
| • | Neben den Organisations- bzw. Unternehmenszielen muss auch eine korrespondierende Sicherheitsstrategie implementiert sein. |
| • | Die Verantwortlichkeit für die Informationssicherheit ist bis zur Geschäftsprozessebene eindeutig geregelt, sodass die Aufgaben dedizierten Personen oder Rollen (Informationssicherheitsbeauftragte – ISB) zugeordnet werden können. |
| • | Ein Asset- bzw. Config-Management muss erfolgreich implementiert sein. |
| • | Es muss zwingend ein funktionierender Incident-Prozess bestehen, der auch für die organisationsweite Aufarbeitung von Informationssicherheitsvorfällen genutzt wird. |
| • | Prozesse zum Change/Patch Management müssen gelebt werden. |
| • | Es müssen Regelungen getroffen werden und bekannt sein, die es ermöglichen, zwischen den verschiedenen Informationssicherheitsvorfällen und den damit verbundenen Handlungsanweisungen und Eskalationswegen zu unterscheiden. |
1.2 CERT vs. SOC
Abwägungsfragen
Grundsätzlich stellt sich für jede Organisation die Frage, ob sich der Aufbau bzw. das Etablieren von (zusätzlichen) Informationssicherheitsstrukturen wie einem CERT oder SOC wirtschaftlich sinnvoll abbilden lässt und woran sich diese dann orientieren sollen. Die Antwort auf die erste Frage kann nur ein klares „Ja” sein, da zum einen die frühzeitige Einführung der Informationssicherheitsprozesse schnelle und kontrollierte Reaktionen ermöglicht und zum anderen durch gesteuerte Information und Kommunikation Redundanzen vermieden werden können, und zwar schon dann, wenn nur ein zentraler Warn- und Informationsdienst eingeführt wird und nicht mehr unterschiedliche Personenkreise (Client-Desktop, Server, IT-Infrastruktur, Telekommunikation etc.) nach möglichen Informationen zu Schwachstellen suchen, sondern diese vorgefiltert und zentralisiert bereitgestellt werden. Welche Services erforderlich sind bzw. durch CERT/SOC übernommen werden könnten, lässt sich umfänglich den entsprechenden Handreichungen der ENISA (Europäische Agentur für Netz- und Informationssicherheit) [2] und des FIRST (Forum of Incident Response and Security Teams) [3] entnehmen, besonders wenn Dienstleistungen auch für andere Organisationen oder für große Organisationseinheiten innerhalb eines Konzerns erbracht werden sollen. Für den Aufbau von Strukturen in kleinen und mittleren Organisationen, in denen lediglich der Bedarf der eigenen Informationssicherheit zu decken ist, wird im Rahmen dieses Beitrags, zumindest teilweise, von den Handreichungen abgewichen.
Grundsätzlich stellt sich für jede Organisation die Frage, ob sich der Aufbau bzw. das Etablieren von (zusätzlichen) Informationssicherheitsstrukturen wie einem CERT oder SOC wirtschaftlich sinnvoll abbilden lässt und woran sich diese dann orientieren sollen. Die Antwort auf die erste Frage kann nur ein klares „Ja” sein, da zum einen die frühzeitige Einführung der Informationssicherheitsprozesse schnelle und kontrollierte Reaktionen ermöglicht und zum anderen durch gesteuerte Information und Kommunikation Redundanzen vermieden werden können, und zwar schon dann, wenn nur ein zentraler Warn- und Informationsdienst eingeführt wird und nicht mehr unterschiedliche Personenkreise (Client-Desktop, Server, IT-Infrastruktur, Telekommunikation etc.) nach möglichen Informationen zu Schwachstellen suchen, sondern diese vorgefiltert und zentralisiert bereitgestellt werden. Welche Services erforderlich sind bzw. durch CERT/SOC übernommen werden könnten, lässt sich umfänglich den entsprechenden Handreichungen der ENISA (Europäische Agentur für Netz- und Informationssicherheit) [2] und des FIRST (Forum of Incident Response and Security Teams) [3] entnehmen, besonders wenn Dienstleistungen auch für andere Organisationen oder für große Organisationseinheiten innerhalb eines Konzerns erbracht werden sollen. Für den Aufbau von Strukturen in kleinen und mittleren Organisationen, in denen lediglich der Bedarf der eigenen Informationssicherheit zu decken ist, wird im Rahmen dieses Beitrags, zumindest teilweise, von den Handreichungen abgewichen.
1.3 Warum CERT und SOC?
Minimalszenario
Ausgehend von einer Organisation mittlerer Größe und normaler IT-Nutzung lässt sich folgendes Minimalszenario beschreiben:
Ausgehend von einer Organisation mittlerer Größe und normaler IT-Nutzung lässt sich folgendes Minimalszenario beschreiben:
| • | Es gibt PC-Arbeitsplätze, die aus einem Client-Desktop-Team heraus betreut werden. |
| • | Die Server unterliegen der Überwachung und Betreuung durch die Server-Administration. |
| • | Die Firewalls werden durch qualifiziertes Personal administriert. |
| • | Es gibt eine beauftragte Person für die Informationssicherheit (ISB), die mit der Pflege des ISMS betraut ist. |
Hilfe durch CERT und SOC
Aufgrund dieser Rollenverteilung kann es nun in mehrfacher Hinsicht zu einem Informationsgefälle in Belangen der Informationssicherheit kommen. So mag sich die Informationssicherheit zwar der generellen Existenz von Schwachstellen bewusst sein, aber nicht zwingend der spezifischen in der organisationseigenen IT-Infrastruktur. Die Server-Administration hingegen kennt zwar die spezifischen Schwachstellen, kann aber nicht unbedingt ihre Kritikalität einschätzen, und die Firewall-Administration könnte zwar mit einer Web-Application-Firewall helfen, weiß aber nicht um die Problematik der anderen. CERT und SOC helfen in einer solchen Situation
Aufgrund dieser Rollenverteilung kann es nun in mehrfacher Hinsicht zu einem Informationsgefälle in Belangen der Informationssicherheit kommen. So mag sich die Informationssicherheit zwar der generellen Existenz von Schwachstellen bewusst sein, aber nicht zwingend der spezifischen in der organisationseigenen IT-Infrastruktur. Die Server-Administration hingegen kennt zwar die spezifischen Schwachstellen, kann aber nicht unbedingt ihre Kritikalität einschätzen, und die Firewall-Administration könnte zwar mit einer Web-Application-Firewall helfen, weiß aber nicht um die Problematik der anderen. CERT und SOC helfen in einer solchen Situation
| • | eine organisationsübergreifende Sensibilisierung für die unterschiedlichen Belange der Informationssicherheit in den einzelnen Abteilungen zu erreichen, |
| • | Schwachstellen zielgerichtet und standardisiert zu kommunizieren und ggfs. deren Behebung einzuleiten, um damit möglichen Informationssicherheitsvorfällen vorzubeugen, |
| • | bekanntwerdende Informationssicherheitsvorfälle koordiniert aufzuarbeiten, |
| • | dem (Wieder-)Auftreten von Informationssicherheitsvorfällen vorzubeugen. |
Weiterer Vorteil
Über das Szenario hinaus bieten ordentliche CERT und SOC noch einen weiteren Vorteil, der in der organisationsübergreifenden Vernetzung begründet liegt, z. B. im Deutschen CERT-Verbund, FIRST, was eine massive Verbreiterung des zugänglichen Wissens bedeutet. Zu guter Letzt sei darauf hingewiesen, dass die Kosten für die Behebung eines Security Incident und die aus ihm resultierenden Schäden meist größer sind als die Investition in ein entsprechendes CERT /SOC Team.
Über das Szenario hinaus bieten ordentliche CERT und SOC noch einen weiteren Vorteil, der in der organisationsübergreifenden Vernetzung begründet liegt, z. B. im Deutschen CERT-Verbund, FIRST, was eine massive Verbreiterung des zugänglichen Wissens bedeutet. Zu guter Letzt sei darauf hingewiesen, dass die Kosten für die Behebung eines Security Incident und die aus ihm resultierenden Schäden meist größer sind als die Investition in ein entsprechendes CERT /SOC Team.
1.4 Definitionen
CERT
Ein Computer Emergency Response Team (CERT), in Europa auch oft als Computer Security Incident Response Team (CSIRT) bezeichnet, ist eine organisatorische Einheit nach RFC 2350 [4], die sich den Aspekten
Ein Computer Emergency Response Team (CERT), in Europa auch oft als Computer Security Incident Response Team (CSIRT) bezeichnet, ist eine organisatorische Einheit nach RFC 2350 [4], die sich den Aspekten
| • | Prävention (Sensibilisierung, Information, Kommunikation, Forschung etc.), |
| • | Reaktion (Analyse, Alarmierung, Management, Koordination, Behebung etc.) und |
| • | Nachhaltigkeit (Beratung, Risikoanalyse, Training etc.) |
bei der Erzeugung von Informationssicherheit in einer Organisation oder auch für eine bestimmte Zielgruppe (Klientel – Constituency) verschrieben hat.
SOC
Security Operations Center (SOC) können als die operative Basis eines CERT angesehen werden und widmen sich im Allgemeinen der Überwachung der Informationssicherheitsinfrastruktur und damit der technischen Erkennung von Informationssicherheitsereignissen/-vorfällen. Es stellt quasi eine horizontale Perspektive durch die Organisation dar, die einen ausschließlichen Fokus auf Security hat. Je nach Größe einer Organisation und der Ausgestaltung der Teams von CERT und SOC kann es zu mehr oder weniger starken Überlappungen sowohl hinsichtlich der Organisation als auch der Serviceerbringung kommen, wobei dann z. B. das SOC auch in die Behebung von Security Incidents eingebunden wird.
Security Operations Center (SOC) können als die operative Basis eines CERT angesehen werden und widmen sich im Allgemeinen der Überwachung der Informationssicherheitsinfrastruktur und damit der technischen Erkennung von Informationssicherheitsereignissen/-vorfällen. Es stellt quasi eine horizontale Perspektive durch die Organisation dar, die einen ausschließlichen Fokus auf Security hat. Je nach Größe einer Organisation und der Ausgestaltung der Teams von CERT und SOC kann es zu mehr oder weniger starken Überlappungen sowohl hinsichtlich der Organisation als auch der Serviceerbringung kommen, wobei dann z. B. das SOC auch in die Behebung von Security Incidents eingebunden wird.
1.5 Rollen und Funktionen
Mit Ausnahme jener Fälle, in denen eine Organisation entscheidet, keine eigenen CERT/SOC Services zu betreiben, erfordern CERT und SOC immer verschiedene Rollen/Funktionen, die es ggfs. auch in Personalunion zu besetzen gilt, z. B., um die gezielte Kommunikation mit Dritten zu erleichtern.
Etwaige Interessenkonflikte, die sich beispielsweise aus einer Tätigkeit im IT-Betrieb ergeben, sind zu vermeiden, z. B., indem das CERT/SOC Management aus einer Stabsstelle besetzt wird bzw. direkt an den Informationssicherheitsbeauftragten berichtet.
CERT/SOC Management
Das CERT/SOC Management besteht in der Regel aus jeweils einer verantwortlichen und entscheidungsbefugten Person und einer entsprechenden Stellvertretung. Sind beide Teams voll etabliert, kann eine gegenseitige Vertretung erfolgen. Aufgaben des CERT/SOC Management sind:
Das CERT/SOC Management besteht in der Regel aus jeweils einer verantwortlichen und entscheidungsbefugten Person und einer entsprechenden Stellvertretung. Sind beide Teams voll etabliert, kann eine gegenseitige Vertretung erfolgen. Aufgaben des CERT/SOC Management sind:
| • | die Vertretung von CERT/SOC nach innen und außen, |
| • | die Beschaffung der erforderlichen Mittel, |
| • | die organisatorische Ausrichtung von CERT/SOC und |
| • | die Funktion als Eskalationsstufe bei in Konflikt stehenden Prioritäten bei Security Incidents. |
CERT/SOC Operatives
CERT/SOC Analysts sind verantwortlich für die Identifikation, Bewertung, Klassifizierung und Kommunikation von Sicherheitsereignissen und -vorfällen, sei es aus eigenen Beobachtungen/Forschungen oder aufgrund der Erkenntnisse anderer CERT/SOC und verschiedener Nachrichten-Feeds. CERT/SOC Analysts sind meist auch für die Einleitung der ersten Maßnahmen im Fall von Incident Response zuständig. Weitere Zuständigkeiten ergeben sich aus den angebotenen Services und deren zugewiesener Verantwortlichkeit.
CERT/SOC Analysts sind verantwortlich für die Identifikation, Bewertung, Klassifizierung und Kommunikation von Sicherheitsereignissen und -vorfällen, sei es aus eigenen Beobachtungen/Forschungen oder aufgrund der Erkenntnisse anderer CERT/SOC und verschiedener Nachrichten-Feeds. CERT/SOC Analysts sind meist auch für die Einleitung der ersten Maßnahmen im Fall von Incident Response zuständig. Weitere Zuständigkeiten ergeben sich aus den angebotenen Services und deren zugewiesener Verantwortlichkeit.