baseVISION baut ein eigenes SOC
Einige haben es schon gehört, für andere wird es wohl eine Überraschung sein – Doch nun ist es offiziell: baseVISION ist im Aufbau eines eigenen Security Operation Center (SOC), welches auf cloudbasierten Sicherheitslösungen von Microsoft Technologien aufbaut. Der Lead des SOC und dessen Aufbau ist bei Jürg Meier. Seit November gehört er zur baseVISION-Family. Genug Zeit ist vergangen, um erste Einblicke in seine Tätigkeit und ein erstes Feedback von ihm zu bekommen.
Du hast dich entschieden, deine vorherige Tätigkeit abzulegen, um bei baseVISION ein SOC aufzubauen. Was war deine persönliche Motivation dahinter? Was sind deine Ziele?
Jürg Meier: Die Motivation ist der Aufbau von etwas Neuen mit modernen Technologien. Mit der weltweiten Vernetzung wächst auch die Zahl der täglichen Cyber-Angriffe. In der Vergangenheit haben Unternehmen viel Zeit und Geld in «Protect» investiert. Was aber, wenn sich Angreifer bereits in deren IT-Infrastrukturen ‘eingenistet’ haben? Dies bietet Angreifern die Möglichkeit in einem Firmennetz nahezu unbemerkt zu agieren.
Moderne Lösungen bieten interessante Möglichkeiten, um auf verdächtigte Veränderungen hinzuweisen – «Detect» – und mit «Response» entgegenzuwirken. Microsoft bietet hier seit einigen Jahren sehr interessante cloudbasierte Sicherheitslösungen, welche sie selbst zum Schutz der eigenen Cloud Services einsetzen. Cloudbasierte Sicherheitslösungen zusammen mit dem Knowhow von unseren baseVISION-Experten werden im SOC vereint und bieten den Kunden einen optimierten Schutz für ihre Infrastrukturen.
Jürg Meier, Lead Security Operation Center
Wieso baut baseVISION ein internes SOC auf? Gibt es Unterschiede zu anderen SOCs?
Jürg Meier: Eine interessante Frage. 
baseVISION sieht mit ihrem cloudbasierten SOC die optimale Verbindung zwischen Sicherheit und der Nutzung moderner Services. Der Aufbau der SOC Services in Microsoft Azure bietet optimierte Integrations- sowie Skalierungsmöglichkeiten. Dabei setzen wir zu Beginn auf bereits intergierte Sicherheitstechnologien in den Microsoftprodukten. Dies schliesst einen Windows 10 Client ebenso mit ein, wie aber auch Microsoft Azure Cloud Services. Zudem stehen weitere Anbindungen zu Drittsystemen, wie etwa Firewalls offen.
Der servicebasierte Aufbau vermeidet Investitionen in Hardware und damit verbundene Betriebskosten. Der Kunde nutzt dabei seine Cloud-Services für die Aggregation, Analyse, Speicherung und Aufbewahrung der Daten. Mit dem konstanten Monitoring & Alerting sieht das baseVISION SOC die auftretenden Security Alerts und kann den Kunden entsprechend informieren sowie bei der Incident Response unterstützen.
Die Vorteile cloudbasierten SOC Lösung sind:
- Daten verbleiben in der Kunden–Cloud-Infrastruktur und somit in seiner Hoheit
- Keine Hardwareinvestitionen sowie dazu erforderliche Betriebskosten
- Reduktion der Komplexität aufgrund bestehender Schnittstellen zu Produkten von Microsoft und von Drittherstellern
- Skalierungseffekte im Service ohne zusätzliche Hardwarebeschaffung
- Stetige Optimierung für die Analyse, Detektion und Response
- Ein Service basiertes Preismodel
Für welche Unternehmen ist das SOC interessant?
Jürg Meier: Das baseVISION SOC ist für alle Unternehmen interessant, welche ihre Cyber Security mit «Detect» und «Response» ergänzen wollen. Das SOC übernimmt dabei grosse Teile der Aufgaben wie zum Beispiel das Monitoring und Alerting, oder in abgestimmten Fällen das Incident Response. Was heisst das? «Detect» schafft Visibilität über Indikatoren, welche auf Angriffe hinweisen und erlaubt, Analysen von System- sowie Identity-Aktivitäten durchzuführen. Auffälligkeiten generieren dabei einen Security Incident, der für die weitere Analyse von Bedeutung ist. Vorbereitete «Response» Massnahmen erlauben eine rasche und kontrollierte Reaktion auf Angriffe.
Oft beinhalten die vom Kunden gewählten Microsoft-Lizenzmodelle sowie eingesetzten Services bereits relevante Services, um direkt mit «Detect» und «Response» zu starten. Gerne prüfen wir die Anforderungen für die Nutzung zusammen mit dem Kunden.
Das baseVISION SOC ist für alle Unternehmen interessant, welche ihre Cyber Security mit «Detect» und «Response» ergänzen wollen. Das SOC übernimmt dabei grosse Teile der Aufgaben wie zum Beispiel das Monitoring und Alerting, oder in abgestimmten Fällen das Incident Response.
Gab es bereits erste Herausforderungen beim Aufbau?
Jürg Meier: Klar, Herausforderungen sind bei der Entwicklung neuer Produkte immer präsent. Eine Herausforderung im Aufbau des SOC ist das Gleichgewicht zwischen «Menschen», «Prozesse» und «Technologie» einzuhalten. Die Technologie habe ich bewusst als letzter Punkt der Aufzählung erwähnt, denn diese soll den Menschen und die Prozesse optimal unterstützen.
Die Entwicklung und Definition der Zusammenarbeit zwischen Partnern und den Prozessen stellt für mich auch hin und wieder eine Herausforderung dar. Es gilt, das baseVISION SOC so flexibel aufzubauen, dass wir jederzeit auf Kundenbedürfnisse eingehen und dabei interne SOC Prozesse und Aktivitäten effizient betreiben können.
Wann wird das SOC betriebsbereit sein?
Jürg Meier: Offiziell starten die ersten baseVISION SOC Services Mitte 2021. Die Services beinhalten zu diesem Zeitpunkt Microsoft integrierten Services wie das Monitoring und Alerting von Microsoft Defender von Endpoint oder Identities. Anschliessend erfolgt eine stetige Weiterentwicklung mit Service, wie Incident Response, Advanced Threat Hunting und die Anbindungen von weiteren Datenquellen.
Haben Sie fragen zum SOC? Melden Sie sich unverbindlich bei uns. Ein SOC zu betreiben ist aufwändig und geht mit viel Verantwortung einher. Jürg Meier freut sich auf weitere Teamkolleginnen und Kollegen, die ihn und seinem Team beim Aufbauen und Betreiben des SOC unterstützen.
baseVISION-Team kontaktierenTeam ergänzen