Was ist das virtuelle Sicherheitsbetriebszentrum VSOC?

Sicherheitszentralen werden für große Unternehmen immer wichtiger. Ein großes Unternehmen mit vielen Ressourcen und Interaktionspunkten mit der Außenwelt muss mindestens einen Teil seines IT-Budgets für die Sicherheitsüberwachung aufwenden.

Spezialwerkzeuge erfordern spezialisierte Techniker, die sie ausführen und ihre Ergebnisse interpretieren. So wird schnell ein SOC zusammengestellt, indem Cybersicherheitsspezialisten eingestellt und ihnen die notwendige Software zur Verfügung gestellt wird, um die Sicherheit des IT-Systems zu gewährleisten.

Erfahren Cybersicherheitstechniker sind sehr gefragt, daher steigen die Gehälter, die Unternehmen bieten müssen, um diese Leute anzuziehen, immer schneller als die Durchschnittslöhne in der IT-Branche. An vielen Standorten reichen hohe Gehälter einfach nicht aus, um das richtige Sicherheitspersonal zu gewinnen. Kleinere Unternehmen verfügen nicht über das Budget oder den Arbeitsdurchsatz, um die Einstellung von Sicherheitspersonal zu rechtfertigen. Aus vielen Gründen wird es immer attraktiver, Sicherheitsüberwachungsaufgaben auszulagern, und es gibt viele Managed-Service-Anbieter Gründung der Sicherheitsüberwachung im Kundenauftrag.

Der Begriff „virtuell“ wird für viele Dienste in der IT verwendet und beschreibt ein System, das scheinbar unternehmensintern ist, es aber nicht ist. Beispiele für dieses Phänomen sind virtuelle private Netzwerke und virtuelle Server. Das ausgelagerte Security Operations Center (SOC) scheint eine weitere Abteilung im Unternehmen zu sein. Dies ist jedoch nicht der Fall – es ist ein virtuelles Security Operations Center (vSOC).

Virtuelle Sicherheitsbetriebszentren

Virtuelle Sicherheits-Einsatzzentren können sich überall befinden. Diese Standortflexibilität ermöglicht es ihnen, ihre Kosten zu senken, indem sie sich in Gebieten mit niedrigeren Mieten niederlassen. Dies gilt jedoch nicht unbedingt für abgelegene Städte. Dies liegt daran, dass die Talent-Pool Die für den Betrieb dieser Zentren benötigten Mittel sind in Universitätsstädten tendenziell häufiger vorhanden. Das vSOC muss sich jedoch nicht unbedingt in Büroflächen mit hohen Mietpreisen an der Main Street befinden.

Ein vSOC kann sich überall auf der Welt befinden und Kunden aus jedem Land bedienen. Die größte Einschränkung für den Kundenstamm jedes Dienstleisters ist die Sprache des Supportpersonals.

Die primären Vorgänge der beteiligten vSOCs Überwachungssicherheitssoftware . Virtuelle Sicherheitsbetriebszentren müssen nicht auf die Datenspeicher des Kunden zugreifen, damit sie keine Daten für den Kunden speichern, nur um sicherzustellen, dass diese Daten nicht unangemessen verwendet werden. Es ergeben sich also keine Standortprobleme durch Gesetze wie die DSGVO, um ein vSOC, das Kunden in irgendeinem Land sucht, nicht zu blockieren.

Das vSOC hostet keine Daten und ist kein SaaS-Anbieter. Stattdessen verwaltet es die Software, die der Kunde separat abonniert hat. In einigen Fällen beraten die vSOC-Berater den Kunden, welche Sicherheitsüberwachungssoftware er kaufen soll, und empfehlen ihm dann zusätzlich den Verwaltungsservice. In anderen Fällen bietet der Anbieter der gewählten Sicherheitssoftware zusätzlich zum SaaS-Paket einen Verwaltungsservice an.

Es ist nicht ungewöhnlich, dass sich der Client an einem Ort befindet, die Systemsoftware auf einem Server in einem völlig anderen Land läuft, die Sicherheitsüberwachungssoftware an einem dritten Ort gehostet wird und die vSOC-Mitarbeiter woanders stationiert sind.

Das Team, das mit der Überwachung der Systemsicherheit Ihres Unternehmens beauftragt ist, muss nicht rund um die Uhr aus denselben Personen bestehen. Selbst wenn Sie Ihr SOC leiten, werden zu anderen Zeiten andere Personen besetzt sein. im Schichtbetrieb arbeiten . vSOCs können die Verantwortung für die Sicherheit eines Standorts auf verschiedene Rechenzentren rund um den Globus in strategischen Zeitzonen verlagern. Somit kann der Dienstanbieter bereitstellen 24-Stunden-Wachsamkeit ohne dass Techniker zu ungeselligen Zeiten gezwungen werden müssen.

Sicherheitskonfigurationen

Obwohl Cybersicherheitstechniker ausfindig gemacht wurden aus der Ferne mag wie ein schwacher Sicherheitspunkt erscheinen, das Gegenteil ist der Fall. Die Schwachstellenbewertungen für das geschützte System können von einem externen Standort aus durchgeführt werden, da diese Konfiguration das Szenario besser widerspiegelt, in dem sich Hacker über das Internet Zugang verschaffen.

Wenn das vSOC-Team auf Sicherheitssoftware-Residents im geschützten Netzwerk zugreift, werden die von ihnen verwendeten Verbindungen verwendet gesichert . So können vSOC-Mitarbeiter die im Netzwerk betriebene Sicherheitssoftware sicher überwachen. Wie bereits erwähnt, muss sich das Sicherheitsüberwachungssystem nicht unbedingt im geschützten Netzwerk befinden. In diesem Fall muss das Überwachungssystem vorhanden sein ein Agentenprogramm im geschützten Netzwerk, das mit dem cloudbasierten Überwachungssystem kommuniziert. Auch diese Kommunikation erfolgt über sichere, verschlüsselt Verbindungen.

Das vSOC-Team erhält dann Zugriff darauf Sicherheitsüberwachungsdienst , nicht das geschützte Netzwerk. Abhilfemaßnahmen werden in der Regel durch Orchestrierung mit residenten Zugriffskontrollsystemen umgesetzt, die auf dem geschützten System ausgeführt werden. Damit sind Firewalls, Zugriffsrechte, Managementsysteme und Netzwerkgeräte gemeint.

Sanierungsmaßnahmen müssen durch das Systemsicherheitsüberwachungstool ausgelöst werden, beispielsweise ein Intrusion-Prevention-System oder ein Data-Loss-Prevention-System. Auch hier müssen vSOC-Teams keinen direkten Zugriff auf das geschützte System haben, sondern müssen das Sicherheitsüberwachungssystem einrichten und optimieren.

Der wichtigste Teil eines Sicherheitsüberwachungssystems ist die Art und Weise, wie es eingerichtet wird. Angenommen, die Erkennungsregeln Und Sanierungsauslöser korrekt angelegt sind. In diesem Fall übernimmt das Überwachungssystem die gesamte Sicherheitsüberwachungsarbeit, sodass der Sicherheitsdienstleister mit einem Team von Technikern mehrere Systeme überwachen kann. Durch diese Taktik kann das vSOC Systemsicherheitsmanagement zu viel geringeren Kosten anbieten, als die meisten Unternehmen beim Betrieb ihres internen Sicherheitsbetriebszentrums erwarten würden.

VSOC-Verträge

Der Servicevertrag ist das Schlüsselelement, das Outsourcing möglich macht. Als Kunde haben Sie mehrere Entscheidungen darüber, was genau das vSOC tun soll. Benötigen Sie beispielsweise das vSOC zur Verwaltung? Kontinuität Schritte wie die Spiegelung Ihres Systems, um eine Failover-Umgebung bereitzustellen, damit Ihre Mitarbeiter auch dann weiterarbeiten können, wenn Ihr Server zerstört wird? Zu den weiteren peripheren Aufgaben, die nicht direkt der Sicherheitsüberwachung zugeordnet werden können, gehören: Datensicherungen Und Erholung . Ein weiterer Grund könnte die Verantwortung für die Verwaltung und Archivierung von Protokollen sein, um sie für Compliance-Prüfungen verfügbar zu machen.

Sie werden eine haben Service-Level-Agreement Ihrem Vertrag mit dem VSOC ist ein Dokument beigefügt, in dem die Servicequalität und die erwarteten Reaktionszeiten für verschiedene Ereignisse festgelegt sind. Der Vertrag sollte auch den erwarteten Erfahrungsstandard und den Grad der Akkreditierung des Personals festlegen, das für die Sicherheitsüberwachung des Kunden zuständig ist.

Solange der Vertrag in Kraft ist, hat der Kunde tatsächlich die rechtliche Haftung für den Erfolg oder Misserfolg des SOC bei der Verteidigung des Systems und der Verhinderung von Datenschutzverletzungen eine Versicherungspolice gegen böswillige Aktivitäten.

Die besten vSOC-Optionen

Da das vSOC keine Kontrolle über Ihr System übernimmt und keine Daten Ihres Unternehmens speichert, gibt es bei der Suche nach ausgelagerten Sicherheitsdiensten keine langfristigen Konsequenzen, die eine kurzfristige Entscheidung darüber, welchen Dienstleister Sie wählen sollten, übertreffen. Das heißt; Es gibt keinen verfahrenstechnischen Grund, an einen bestimmten vSOC-Anbieter gebunden zu sein.

Die Tatsache, dass Sie das ausgelagerte SOC nicht benötigen, um Ihre externen Kommunikationsmittel zu übernehmen weniger Druck Wenn Sie sich für ein virtuelles Sicherheits-Einsatzzentrum entscheiden, wird es kein kostspieliger Prozess sein, eine schreckliche Entscheidung rückgängig zu machen.

Unsere Methodik zur Auswahl eines virtuellen Sicherheitsbetriebszentrums

Wir haben den Markt für vSOC-Dienste und verwaltete Sicherheitsanbieter untersucht und Kandidatensysteme anhand der folgenden Kriterien bewertet:

• Ein Dienst, der so konfiguriert ist, dass er garantiert, dass Techniker keinen Zugriff auf Ihre Daten erhalten
• Ein System, das eine Überwachung rund um die Uhr bietet
• Dienste, die neue Sicherheitsüberwachungssoftware sowie Optionen für die Verwendung mit bestehenden Systemen bereitstellen können
• Flexibilität bei der SLA-Erstellung, um nicht standardmäßigen Anforderungen Rechnung zu tragen
• Die Möglichkeit, eine Reihe von Softwarepaketen zur Sicherheitsüberwachung zu verwalten
• Keine Einrichtungsgebühren oder Sperrfrist
• Gutes Preis-Leistungs-Verhältnis von einem Anbieter, der nicht versucht, unerwartete Gebühren hinzuzufügen, um die Rechnung in die Höhe zu treiben

Normalerweise erwarten wir von Softwareanbietern etwas eine kostenlose Testphase , das ist mit dem vSOC-Konzept nicht möglich. In diesem Fall stellen Sie ein Team ein, anstatt Software zu kaufen, und die Leute müssen bezahlt werden.

Angenommen, Sie haben unter Berücksichtigung dieser Auswahlkriterien mehrere zuverlässige und hoch angesehene Dienstleister bewertet, die Ihr virtuelles Sicherheitsbetriebszentrum werden können.

Hier ist unsere Liste der fünf besten Anbieter von Virtual Security Operations Centern:

1. Unter Verteidigung Dieser Anbieter bietet ein hohes Maß an Flexibilität in seinen Plänen. Das zentrale Sicherheitskonzept des Under Defense-Systems ist das SIEM. Under Defense berät Ihr Unternehmen bei der Installation der Sicherheitssoftware (SIEM) und unterstützt Sie sogar bei der Installation. Anschließend übernimmt das Under Defense-Team die Überwachung des Dashboards der SIEM-Software und stellt sicher, dass geeignete Maßnahmen ergriffen werden, falls ein Verstoß festgestellt wird. Das Team verwaltet auch die Protokolldateien für Sie. Under Defense bietet zwei vSOC-Optionen: vollständig verwaltete und gemeinsam verwaltete Sicherheit. Die gemeinsam verwaltete Option eignet sich für Unternehmen, die über ein kleines Team von Sicherheitsanalysten vor Ort verfügen.
2. VerSprite Virtual Security Operations Center Bei diesem Dienst handelt es sich um ein vollständig verwaltetes Sicherheitspaket, das ein Sicherheitsüberwachungssystem umfasst. Sie kaufen das Sicherheitssystem und die Berater von VerSprite können Sie bei diesem Prozess unterstützen. Wenn Sie bereits über ein Sicherheitsüberwachungssystem verfügen, ist das kein Problem. VerSprite übernimmt die Ausführung dieses Sicherheitssystems und wertet alle von ihm erzeugten Warnungen aus. Das Team richtet jede Benachrichtigung ein und eliminiert Fehlalarme. Ihr Systemadministrationsteam wird über tatsächliche Bedrohungen informiert, sobald diese auftreten. Wenn Sie möchten, können Sie mit dem VerSprite-Team zusammenarbeiten, um automatisierte Antworten einzurichten, sodass Ihr Team keine Zeit mit der Behebung von Behebungsaufgaben verbringen muss. Das VerSprite-Team schützt nicht nur vor Eindringlingen, sondern verfügt auch über Erfahrung in der Überwachung der Dateiintegrität und dem Datenschutz.
3. LightEdge Virtual Security Operations Center Während andere vSOC-Anbieter Sie bei der Auswahl Ihrer Sicherheitsüberwachungssoftware unterstützen oder die Verwaltung Ihres aktuellen Sicherheitsüberwachungs-Setups übernehmen, arbeitet LightEdge mit der IBM QRadar-Software. QRadar ist ein ausgezeichnetes, auf Könnten basierendes SIEM, und es könnte noch viel schlimmer sein. Der Punkt ist, dass das Light Edge-Team seine Recherchen durchgeführt hat und zu dem Schluss gekommen ist, dass QRadar das beste System ist, das sie finden konnten. Da alle Kunden dasselbe Sicherheitsüberwachungssystem nutzen, kann das Unternehmen außerdem Techniker schnell von einem Kunden zum anderen versetzen. Die Überwachung Ihrer Anlage erfolgt rund um die Uhr, jeden Tag im Jahr. Wie bei anderen vSOC-Lösungen können Sie entscheiden, wie viel Automatisierung der Behebung in der Vereinbarung implementiert wird. Sie können sich dafür entscheiden, die erkannten Probleme Ihren Mitarbeitern oder den LightEdge-Technikern zu überlassen.
4. Redscan Virtual SOC Der Ansatz dieses Dienstes ist eher ein Supportsystem als eine vollständige Übernahme des Sicherheitsmanagements. Diese Option wäre für ein Unternehmen geeignet, das sein internes SOC betreiben möchte, aber nicht die richtige Personalqualität mit einem hohen Maß an Fachwissen finden kann. Durch den Einsatz des SOC als Second-Line-Technikerteam kann das Kundenunternehmen seinen SOC-Mitarbeitern ermöglichen, ihre Fähigkeiten durch Erfahrung zu verbessern. Diese Lösung ist eine gute Idee für Unternehmen, die befürchten, dass die vollständige Auslagerung des Sicherheitsmanagements zu einem Kontrollverlust führen könnte. Bei dieser Lösung handelt es sich um einen maßgeschneiderten Ansatz, bei dem Ihr IT-Personal unter der Anleitung von Rescan-Beratern von der Auswahl der Sicherheitssoftware über deren Installation, Einrichtung und Betrieb hinweg einbezogen wird.
5. Executive Ops XOVSOC ist ein gemeinsam verwaltetes Angebot, das fachkundigen Support und Ersatz für Ihr internes IT-Betriebsteam außerhalb der Geschäftszeiten bietet. Das Executive Ops-Team verfügt über einen Threat-Intelligence-Feed, der die Techniker vor neuen Angriffen warnt. Die erste Verteidigungslinie besteht aus einer Systemsicherheitsüberwachungssoftware, die abnormales Verhalten erkennt. Anschließend werden diese Warnungen an einen Executive Ops-Analysten weitergeleitet, der Fehlalarme herausfiltert. Schließlich werden wirklich besorgniserregende Ereignisse an Ihr Team weitergeleitet, entweder als Benachrichtigungen oder als Feeds direkt in Ihr Netzwerkmanagementsystem.