Cybersecurity Team Roles and Responsibilities

Ein Security Operations Center (SOC) ist ein Team, das ständig daran arbeitet, die endlosen potenziellen Cyberbedrohungen zu beseitigen, die auf ein Unternehmen einprasseln. Das Verständnis der Struktur und der Prozesse innerhalb eines Cybersicherheitsteams ermöglicht ein weitaus effektiveres Sicherheitsmanagement – aber es folgt nicht immer einer starren Hierarchie.

IDC SOC-Bericht SOC Demo

Cybersecurity Team Roles and Responsibilities

Die Einführung in das NIST Cybersecurity Framework

Das NIST Cybersecurity Framework legt einen robusten Satz von Standards und Prozessen fest, die Cyberrisiken angemessen adressieren. Seine Flexibilität bedeutet, dass es zwar keine explizite Formel für die Struktur eines Cybersicherheitsteams gibt, aber jedes Bedrohungsmanagement muss diese fünf wichtigen Säulen abdecken:

  1. Identifizieren: Konzentriert sich auf die Identifizierung der kritischen Systeme eines Unternehmens und der Sicherheitsrisiken, denen sie ausgesetzt sind. Dazu gehört das Verständnis von Assets, Systemen, Daten und dem gesamten Geschäftsumfeld.
  2. Schützen: Umfasst die Ermittlung der Auswirkungen potenzieller Sicherheitsverletzungen und die Entwicklung von Strategien zur Minderung dieser Risiken, um sicherzustellen, dass Sicherheitsmaßnahmen zum Schutz kritischer Dienste und Daten vorhanden sind.
  3. Erkennen: Konzentriert sich auf die rechtzeitige Erkennung von Cybersicherheitsvorfällen. Das bedeutet, dass Systeme und Prozesse vorhanden sind, um kontinuierlich auf potenzielle Verstöße oder verdächtige Aktivitäten zu überwachen.
  4. Reagieren: Betont die Bereitschaft für eine schnelle und effektive Reaktion auf Cybersicherheitsvorfälle, um die Ausbreitung und die Auswirkungen der Verletzung zu begrenzen.
  5. Wiederherstellung: Konzentriert sich darauf, dass das Unternehmen nach einem Vorfall so schnell wie möglich zum normalen Betrieb zurückkehren kann.

Die Zusammensetzung eines Cybersicherheitsteams: Schlüsselrollen und Verantwortlichkeiten

Um das NIST Cybersecurity Framework zu erreichen, werden viele SOCs in Teams unterteilt, die die Erfahrung und das Erfahrungsfeld jedes Mitarbeiters am besten nutzen, wie z. B. die folgenden:

#1: Sicherheitsanalysten

Cybersecurity-Analysten sind Mitglieder des Sicherheitsteams vor Ort, die in den meisten Fällen ihre Nase fest auf die Spur von Sicherheitsbedrohungen innerhalb eines Netzwerks gedrückt haben.

Angesichts der Menge der Netzwerkdaten, der Bandbreite der Systeme, die gesichert werden müssen, und der unterschiedlichen Art der Alarmstufen ist es jedoch üblich, dass die Rolle des Sicherheitsanalysten weiter in drei oder vier Schlüsseltypen unterteilt wird.

Ebene 1: Warnungshandler

Dies ist in der Regel die am wenigsten erfahrene, aber ebenso geschäftskritische Rolle.

Tier-1-Sicherheitsanalysten sind für die Überwachung von Sicherheitstools auf Warnungen und Fehlkonfigurationen verantwortlich. Wenn neue Warnungen eingehen, sind sie die ersten, die diese bearbeiten, da sie entscheiden, was priorisiert wird und wie sie selektiert werden.

Stufe 2: Responder

Diese Ebene erhält die von Tier-1-Analysten identifizierten Vorfälle und beginnt mit einer tieferen Analyse ihres Ursprungs und ihrer weiteren Auswirkungen. Aufgrund der Vielzahl von Warnungen, die für jede Umgebung einzigartig sind, können sich die täglichen Besonderheiten dramatisch ändern. Diese tiefgreifenden Ermittler sind in komplexen Analysen versiert und können mehr Zeit damit verbringen, die Warnungen, die auf sie zukommen, zu vergleichen.

Sie bilden den Großteil der Incident-Response-Fähigkeiten eines Unternehmens und sind dank ihrer Erfahrung in der Tier-1-Position in der Regel sehr gut mit den normalen Prozessen des Netzwerks eines Unternehmens vertraut.

Diese Fähigkeit, die Feinheiten eines potenziellen Vorfalls schnell und präzise zu verstehen, bedeutet, dass Tier-2-Analysten auch gut positioniert sind, um zu reagieren: Sie helfen bei der Entwicklung einer Sicherheitsstrategie für die Eindämmung, Behebung und Wiederherstellung.

Stufe 3: Feldexperte oder Bedrohungsjäger

Die weitreichenden Untersuchungen von Tier-2-Analysten werden von ihren Tier-3-Kollegen unterstützt: Dabei handelt es sich um sehr erfahrene Analysten, die sich auf bestimmte Bereiche spezialisiert haben.

Sie können entweder:

  • Spezialisten für Infrastruktur
  • Spezialisten für Cybersicherheitstechnik,

Sie sind oft mit den proaktiveren Elementen der Cybersicherheit betraut, wie z. B. der Bedrohungssuche. Wenn ein Penetrationstest im Gange ist, sind es die Stufen 1 und 2, die als blaues Team fungieren, und die Stufen 3, die in der Regel als falsche Angreifer agieren – so kann die gesamte Sicherheitslage des Unternehmens von ihrer fortschrittlichen Erfahrung profitieren.

Unabhängig von der Stufe beginnen die Veränderungen der meisten Analysten gleich: 

Die erste Aufgabe besteht darin, die Informationen aus der vorherigen Schicht zu bewerten, insbesondere in einem 24/7-SOC, und mit einer Einweisung über laufende Vorfälle oder Ereignisse zu beginnen, die einer weiteren Überwachung bedürfen.

Tier-4-Analyst: SOC-Manager

Der SOC-Manager ist für die Analysten verantwortlich; Da es sich im Wesentlichen um die letzte Weiterentwicklung der traditionellen Analystenkarriere handelt, wird die Rolle manchmal als Tier-4-Analyst bezeichnet. Sie leiten den SOC-Betrieb und sind für die Synchronisierung von Analysten mit umfassenderen DevOps und Strategien durch Sicherheitsrichtlinien verantwortlich.

Auf diese Weise entwickeln sie die Cybersicherheitsstrategie und helfen bei der Umsetzung.

Die täglichen Aufgaben eines SOC-Managers drehen sich darum, das Team zu unterstützen und sicherzustellen, dass alles reibungslos abläuft, einschließlich:

  • Durchführung von Schulungen
  • Neue Mitglieder einstellen
  • Beauftragung externer Dienstleistungen und Tools, die das Team benötigt

#2: Sicherheitsingenieure

Obwohl sie nicht immer ein integrales Mitglied des SOC sind, verdienen Sicherheitsingenieure aufgrund ihrer Rolle beim Risikomanagement des Unternehmens eine Erwähnung. Sie verfügen in der Regel über umfangreiche Erfahrungen in Software oder Hardware und sind in der Regel für die Entwicklung sicherer Informationssysteme verantwortlich.

Das bedeutet oft, dass sie mit einem Fuß im SOC und mit dem anderen im DevOps Team stehen. Sie übernehmen auch die Verantwortung für die Dokumentation der Anwendungs-Sicherheitsprotokolle.

#3: Direktor für Incident Response

Der Incident Response Director übernimmt die Verantwortung für den gesamten Incident-Response-Prozess – er koordiniert und leitet alle Facetten der Reaktionsbemühungen.

Der IR Director übernimmt die volle Verantwortung für alle Rollen innerhalb des Reaktionsteams und ist befugt, bei Bedarf zusätzliche Rollen zu erstellen und zuzuweisen, um den Anforderungen eines Vorfalls gerecht zu werden, z. B. die Zuweisung mehrerer Analysten für die Bearbeitung bestimmter Informationsströme.

Dieser dynamische Ansatz ermöglicht es ihnen, die Struktur des Teams in Echtzeit anzupassen.

#4: CISOs

Eine Stufe über dem SOC-Manager steht der Chief Information Security Officer (CISO). Ohne die Ablenkungen durch die Verwaltung der einzelnen Analysten können sie sich fast ausschließlich auf strategische Entscheidungen konzentrieren, die das Unternehmen von branchenweiten Bedrohungen abhalten.

Sie berichten an den CEO und wägen Sicherheitsanforderungen mit übergeordneten Geschäftszielen und Budgets ab.

Sie haben kein komplettes Inhouse-Team? Check Point kann helfen

Wenn Sie sich auf ein schlankes Team oder sogar auf ein vollständig ausgelagertes Team verlassen, kann es schwierig sein, sich vollständig mit Ihrer Sicherheitslage im Einklang zu fühlen. Mit einem Cloud-nativen Sicherheitsmodell bietet Check Point eine vollständig zentralisierte Sicht auf jede Komponente der Anwendungsinfrastruktur.

Identifizieren Sie Ihre Assets über den gesamten Datenverkehr, die Konfigurationen und Komponenten hinweg und sichern Sie sie mit erweiterten Funktionen wie Makro- und Mikrosegmentierung, Next-Gen Firewall, API-Schutz und SSL/TLS-Inspektion. Diese Transparenz der nächsten Generation bildet die Grundlage des Check Point Infinity-Service – wenn Sie ein höheres Maß an praktischem Schutz benötigen, sollten Sie sich umfassende Managed Services ansehen, die diesen sinnvoll nutzen. Dazu gehören:

  • Full-Stack-Überwachung
  • Straffe Abstimmung der Richtlinien
  • Incident Management

All dies lässt sich nahtlos in Ihre bereits bestehenden IT- und InfoSec-Abläufe integrieren. Um mehr zu erfahren, erkunden Sie hier die gesamte Palette der Check Point Infinity-Dienste.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK