Fireeye bietet Security-as-a-Service nun auch aus SOC in Deutschland an

FireEye (Bild: FireEye)

Sitz des Security Operations Center (SOC) ist in der Nähe des Flughafens München. Es ist die siebte Einrichtung dieser Art des Unternehmens weltweit und neben dem SOC in Dublin die zweite in Europa. Aus ihm sollen durch deutschsprachige Experten vornehmlich Kunden aus der DACH-Region bedient werden.

Fireeye hat das siebte seiner weltweit verteilten Security Operations Center (SOC) in Hallbergmoos bei München eingeweiht. Von dem Standort aus sollen deutschsprachige Experten vornehmlich Kunden aus der DACH-Region mit Security-as-a-Service bedienen. Der IT-Security-Spezialist sieht das Angebot vor allem als Ergänzung zu diversen IT-Security-Produkten und –Strategie und sein damit befasstes Team als eine Art schnelle Eingreiftruppe, Feuerwehr und Kaufhausdetektive zugleich.

FireEye (Bild: FireEye)

Seine Security Operations Center bezeichnet Fireeye auch als “Advanced Threat Response Center”. Das macht etwas deutlicher, was die Hauptaufgabe der dort beschäftigten Experten ist: Sie sollen nicht Firewalls managen, Update-Prozeduren überwachen oder Virensignaturen aktualisieren, sondern sich vorrangig mit den Dingen beschäftigen, die von etablierten IT-Security-Systemen – seien es welche von Fireeye oder auch von anderen Herstellern, wobei in der Praxis oft heterogene Umgebungen anzutreffen sind – nicht vernünftig behandelt werden können. Hier agieren die Fireeye-Experten dann ja nach konkreter Sachlage als Eingreiftruppe oder als Feuerwehr.

Zusätzlich gehört zu dem Dienst immer in einem gewissen Umfang die Funktion als “Kaufhausdetektiv”. Die Einsatzhäufigkeit hier lässt sich von Kunden mit seinem Vertrag regeln. In dieser Rolle gehen die Fireeye-Experten “auf die Jagd”, wie sie es ausdrücken. Das heißt, sie spüren Merkwürdigkeiten in den Systemen der Kunden auf, gehen diesen nach und prüfen, ob es sich dabei möglicherweise um komplexe und ausgetüftelte Angriffe, sogenannte ATPs (Advanced Persistent Threats) handelt.

Seine inzwischen sieben, weltweit verteilten Security Operations Center bezeichnet Fireeye auch als "Advanced Threat Response Center"(Grafik: Fireeye)
Seine inzwischen sieben, weltweit verteilten Security Operations Center bezeichnet Fireeye auch als “Advanced Threat Response Center”(Grafik: Fireeye)

Dazu tauschen sich die Experten weltweit untereinander aus. Außerdem greifen sie auf andere Ressourcen zurück, die Fireeye sich inzwischen verschafft oder aufgebaut hat. Dazu gehören die Experten der Fireeye-Tochter Mandiant, das Wissen der im Januar aufgekauften Security-Forscher von iSight Partners, die sich sozusagen als Undercover-Ermittler im Untergrund bewegen, diesen beobachten und daraus Schlussfolgerungen oder Empfehlungen für eine angemessene Reaktion oder vorausschauende Abwehrmaßnahmen auf Taktiken und Techniken der Kriminellen erarbeiten.

Vielfalt an Methoden und Informationen sorgt für Sicherheit

Ein Beispiel dafür ist die von iSight Partners früh gewonnenen Erkenntnis, dass es Kriminelle nach einigen “erfolgreichen Jahren” allmählich als zu mühsam und zu risikoreich erachten, Kontodaten durch Skimming, also das Anbringen von manipulierten Lesegeräten an Geldautomaten, abzugreifen und bemerkt haben, dass zum Beispiel Hotelketten und Einzelhändler diese Daten schon legitim erfassen und in ihren Systemen speichern. Ein erfolgreicher Angriff auf sie würde also viele dieser Daten auf einmal bringen. Seine Kunden hatte iSight einem Sprecher von Fireeye zufolge frühzeitig davor gewarnt, andere habe es dagegen unvorbereitet erwischt.

Mit dem Kauf des Spezialisten iSight Partners hat sich Fireeye im Januar im Bereich "Intelligence" verstärkt - also vor allem Know-how bei der Beobachtung von Trends und Methoden im Cyber-Untergrund hinzubekommen. (Grafik: iSight Partners)
Mit dem Kauf des Spezialisten iSight Partners hat sich Fireeye im Januar im Bereich “Intelligence” verstärkt – also vor allem Know-how bei der Beobachtung von Trends und Methoden im Cyber-Untergrund hinzubekommen. (Grafik: iSight Partners)

Das ist aber nur ein Beispiel dafür, dass IT-Abteilungen von Unternehmen nach Ansicht von Fireeye in der Regel einen asymmetrischen Kampf gegen Cyberangreifer führen und mit den sich rasch weiterentwickelnden Methoden der Hacker nicht Schritt halten können. Sie sind vielmehr schon damit ausreichend beschäftigt, die vorhandene IT-Sicherheitsinfrastruktur zu betreuen, zu pflegen, zu warten und den “normalen” Vorfällen, etwa einem Ransomware-Angriff, entgegenzutreten. Um sich mit komplexeren, oft verschleiert ausgeführten Angriffen zu beschäftigen, fehlen sowohl Personal als auch Zeit und Expertise.

Nach Aussagen von Sven Schriewer, Director FireEye-as-a-Service, müsste ein firmeneigenes SOC ebenso wie das von Fireeye rund um die Uhr besetzt sein, um vernünftig arbeiten zu können. Um diese Zeit, Urlaubstage und krankheitsbedingte Ausfälle abzudecken, müssten mindestens 8 bis 10 Security-Analysten beschäftigt werden. Dazu kommen dann noch ein halbes Dutzend weiterer Personen, um alle Anforderungen abzudecken. Damit seien die Kosten für die meisten Firmen zu hoch.

Die Fragen, ob sie die entsprechenden Spezialisten überhaupt für sich gewinnen können und ob die aufgrund ihrer eingeschränkten Sicht auf die eigene Infrastruktur und die eingeschränkte Erfahrung daraus dann aber auch alle Gefahren zuverlässig erkennen können, seien da noch offen. Fireeye nehme zum Beispiel die Entdeckung einer Angriffsmethode in einer Branche etwa oft zum Anlass, um bei anderen Kunden aus derselben Branche nachzuprüfen, ob sie ebenfalls betroffen sind.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

“Viele Sicherheits- und Softwareunternehmen bieten Ihren Kunden Alerts an. Das werden dann so viele, dass die Unternehmen schnell den Überblick verlieren. Fireeye konzentriert sich stattdessen auf die Warnmeldungen, die wirklich relevant sind und reagiert entsprechend darauf”, so Schriewer.

“85 Prozent unserer Incident-Response-Kunden, die bereits über einen MSSP oder ein SIEM verfügen, wurden vor ihrer Zusammenarbeit mit Fireeye dennoch Opfer eines Cyberangriffs. Das zeigt, wie wichtig unser Service für Unternehmen sein kann“, so Schriewer weiter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Angriffe ganz verhindern kann aber natürlich auch Fireeye nicht. Der erste Angriff, mit dem sich die Kriminellen oder Wirtschaftsspione Zugang zum Firmennetzwerk verschaffen, sei aber in der Regel oft gar nicht die eigentliche Gefahr. Bedrohlich werde es erst, wenn der Angreifer beginnt, sich im Netzwerk umzusehen, die für ihn wertvollen Informationen zu identifizieren und nach Möglichkeiten zu forschen, diese in seinen Besitz zu bringen.

Da diese Aktionen aber inzwischen oft mit großer Geduld vorgetragen werden, ist es laut Fireeye ausgesprochen schwierig, sie durch Korrelationen oder traditionelle Systeme zu erkennen, die Regelverletzungen melden. Erforderlich sind vielmehr regelmäßige, virtuelle Patrouillengänge – oder um es weniger martialisch auszudrücken, ein Kaufhausdetektiv, der sich das Verhalten anschaut und im Falle verdächtiger Hinwiese diesen nachgeht. Genau hier liege der größte Mehrwert seines Security-as-a-Service-Angebots.

Dass diese Dienste nun auch aus einem Standort in Deutschland erbracht werden, ist auch ein Zugeständnis an die Wünsche deutscher Kunden. Zwar greifen die Fireeye-Spezialisten für ihre Arbeit nur in sehr begrenztem Umfang auf geschützte Daten zu – sie interessieren ja in erster Linie Log-Files, Monitoring-Daten. Netzwerkaktivitäten und ähnliches – die Möglichkeit besteht aber eben oft.

Neben tatsächlichen oder unterstellten Beschränkungen durch Auflagen und Gesetze, die den Zugriff aus dem Ausland unterbinden, ist es nach Ansicht von Fireeye vor allem eine “Kulturfrage”, wo die Security-Experten sitzen. Die Entscheidung sie in einem Büro in der Nähe von München unterzubringen ist aber auf alle Fälle schon einmal ein deutliches Signal dafür, dass man den Markt und seine Bedürfnisse ernst nimmt.