In the Code: Von der Idee bis zum "SOC-as-a-Service"

Abraxas baut aktuell "Security Operations Center"-Services auf. Solution Architect Anton Brauchli zeigt im Gastbeitrag, welche Erfahrungen man dabei gemacht hat.
 
Abraxas sieht sich als Mittlerin zwischen Innovation und Kunden. Meine Aufgabe als Solution Architect ist also die eines Innovations-Integrators und für die Kunden von Abraxas nachgefragte, innovative Lösungen rechtzeitig als Service bereitzustellen. Ein Service, welcher mich die letzten anderthalb Jahre beschäftigt hat – und noch eine Zeit lang beschäftigen wird –, ist ein Security-Operations-Center-Angebot (SOC), welches wir im Q3 zur Marktreife bringen wollen.
 
In einem SOC werden sicherheitsrelevante Vorfälle durch Security Analysten bewertet – und in unserem Fall in Zusammenarbeit mit den Kunden auch behoben. Um einen solchen Service auf die Beine zu stellen, muss man die entsprechenden technologischen, organisatorischen und personellen Voraussetzungen schaffen.
 
Strategie – die richtigen Entscheide
Kundenseitig wurden wir immer mal wieder angefragt, wann wir einen solchen Service in unserem Angebot haben werden. Deshalb hat die Geschäftsleitung von Abraxas den Aufbau eines solchen Services als Leuchtturm-Projekt definiert. Ab Herbst 2017 haben wir zusammen mit IBM eine Strategie entwickelt. Wesentlicher Teil derselben war in einem ersten Schritt ein Maturity Assessment, in welchem man festgestellt hat, wie gut wir als Abraxas überhaupt dafür prädestiniert sind. D.h. wie gut unsere Grundlagen sind, ein SOC aufzubauen. Wir haben schon viele Prozesse in Place, viele Sicherheitsmassnahmen sind bereits umgesetzt und gut dokumentiert. Unter dem Strich ist uns attestiert worden, dass wir sehr gute Voraussetzungen haben, ein SOC aufzuziehen; trotzdem wäre der Aufwand massiv gewesen, den notwendigen Maturity Level zu erreichen. Auf Basis des Strategie-Reports haben wir dann ab Januar 2018 Business-Cases gerechnet: Wie viele Leute brauchen wir im Betrieb, wie viele Stunden brauchen wir für den Aufbau und wie viele Kunden brauchen wir zur Refinanzierung?
 
Die Aufwandschätzung, wenn wir alles von Grund auf selber aufgebaut hätten, lag bei massiven 15'500 Stunden.
 
Technology – der richtige Weg
Im Frühling 2018 kam dann der Entscheid der GL, dass wir einen anderen Ansatz suchen müssen. In dieser Zeit haben wir also damit begonnen, nach geeigneten Partnern Ausschau zu halten, die das nötige Know-how schon mitbringen. Ziemlich rasch hat sich das Westschweizer Start-up Hacknowledge als unser Favorit herauskristallisiert.
 
Die ersten Gespräche fanden gegen Sommer statt. Ab August 2018 haben wir dann im Rahmen eines Proof of Concept während zwei Monaten ihr Produkt bei uns eingesetzt. Danach war für beide Seiten klar, dass wir partnern wollen. Das Service-Integrations-Projekt wird mit Hacknowledge als Partner mit 2'500 Stunden überschaubar, der Preis stimmt, die Swissness stimmt, wir sind Türöffner für sie in die Deutschschweiz und bringen eine Sales-Abteilung mit, welche Hacknowledge auf den nächsten Level heben kann. Als das gegenseitige Committment da war, sind wir Anfang 2019 in die Vertragsverhandlungen eingestiegen und konnten im April unseren Partnerschaftsvertrag unter Dach und Fach bringen.
 
Das technologische Herzstück eines SOCs ist ein "Security Information & Event Management"-System (SIEM), welches mögliche Cyberattacken erkennen kann. Im Zusammenspiel mit Sensoren, welche Funktionalitäten wie Log Collectors, Intrusion Detection, Vulnerability Scanning, Honeypots, Canaries u.a.m. bieten, werden damit Events zu Security Alerts gefiltert.
 
Zur Verdeutlichung: von wöchentlich geloggten drei Milliarden Events eines Beispiel-Unternehmens werden durch vordefinierte Regeln gut Tausend als Alerts eingestuft, von denen dann drei als Incidents mit negativem Impact für die Organisation qualifiziert werden. Unsere Security-Analysten im SOC liefern dann den Kunden Handlungsempfehlungen zum Umgang mit diesen Incidents.
 
Process – kontinuierliche Integration
Als nächster Schritt muss diese
Architektur-Übersicht (Grafik: zvg)
Technologie jetzt in unsere Systemlandschaft integriert und in die umfassende Supportorganisation eingebunden werden – so dass alle Rädchen ineinandergreifen und wir SOC-as-a-Service auch anbieten können. Diese Integrationsleistung werden wir im Verlauf der nächsten drei bis vier Monate erbringen.
 
Für die notwendigen Schritte sind im Projekt drei High-Level-Streams geplant und diesen die entsprechenden Ressourcen zugewiesen: Erstens der Aufbau von SOC-Services für unsere Kunden, zweitens der Aufbau des internen SIEM und drittens eine nachgelagerte Ablösung der Log-Archivierung.
 
Innerhalb dieser Streams gibt es diverse Themen, die berücksichtigt werden müssen. Dazu gehören technische Integration, Use Case Planning, organisatorische Integration und Prozesse, Datenschutz und Datensicherheit, Preisfindung und Kundenverträge etcetera. Es wurde auch eine Vereinbarung getroffen, wie wir unsere Leute auf der Hacknowledge-Technologie ausbilden können. Anfang Q3 2019 findet ein interner Probelauf statt, bei welchem wir unsere operationelle Readiness testen werden. Insgesamt ist das Ziel, dass wir im Herbst prozessual und organisatorisch soweit sind, dass das Abraxas-SOC in Betrieb gehen kann und wir Kunden boarden können.
 
Mit einem SOC ist es aber so eine Sache: Es hat die Eigenschaft, dass Du eigentlich nie fertig bist. Vielmehr es ist eine kontinuierliche Weiterentwicklung der Services im Rahmen des Betriebs – sowohl funktionell, wie auch prozessual und organisatorisch.
 
People – die richtigen Fachleute
Die grosse Herausforderung für ein SOC ist, die richtigen Spezialisten in der richtigen Anzahl verfügbar zu haben – wenn nötig auch 7x24. Der Strategiereport hat hier – krankheitsbedingte Ausfälle und Drei-Schicht-Betrieb eingerechnet – eine Empfehlung von zwölf bis 16 notwendigen Security-Analysten abgegeben.
 
Ein Grossteil der Kosten eines SOC definiert sich damit also über den Personalbedarf. Weil es auf dem Markt extrem schwierig ist, die entsprechenden IT-Fachleute zu finden, unterstützt uns Hacknowledge während einer Ramp-Up-Phase noch verstärkt im Analyse-Teil. Es ist wichtig einen guten Know-how-Mix zu finden, und dies tun wir, indem wir zum einen eigene Leute mit Potential weiterentwickeln, und zum anderen ein aggressives Hiring betreiben. Im Wettbewerb um die besten Spezialisten gilt es, diese von unserer technischen Lösung und den guten Anstellungsbedingungen zu überzeugen.
 
Die schwierige Situation auf dem Personalmarkt ist auch einer der Gründe, warum sich nach unserer Meinung das Modell eines SOC als Service durchsetzen wird. Es ist nämlich schlicht nicht möglich, dass jedes Unternehmen selber Security-Spezialisten anstellt – weil es diese einfach nicht in der notwendigen Zahl gibt, schon gar nicht in der Schweiz.
 
Service – Boarding erster Kunden
Zusammengefasst bin ich sehr optimistisch, dass wir ab Q3 die ersten Kunden boarden können. Die Marktchancen für den Service sind gut: Wir sind mit rund einem Dutzend Kunden im Gespräch. Worauf der Markt nicht wartet, sind teure Angebote. Sind Dinosaurier. Sind Anbieter, bei denen schon die Lizenzkosten höher sind als bei uns der ganze Service mit allem Drum und Dran. Mit unserem Partner starten wir eben nicht bei null. Hacknowledge hat schon 50 Kunden, schützt schon hunderttausend Systeme, hat schon 25 Security-Analysten, kann schon 7x24 bieten, was in der Schweiz nicht selbstverständlich ist. Der Mehrwert für unsere Kunden, welcher uns abhebt im Vergleich zu anderen Security-Providern, ist, dass sie dir zwar sagen, wo du das Problem hast und wie du es lösen kannst, wir aber das Problem für den Kunden auch effektiv lösen können. Dazu sind wir als Infrastruktur-Provider viel eher in der Lage und bringen das Know-how mit. (Anton Brauchli)
 
Zum Autor:
Anton Brauchli ist Solution Architect bei Abraxas Informatik AG.
 
Über "In The Code"
Wir laden monatlich eine Firma oder eine Organisation ein, aus der eigenen Praxis einen Diskussionsbeitrag für die Schweizer ICT-Community zu publizieren.