Was ist ein SOC-Analyst?

Laut einer Forschung von Gartner sollen die weltweiten Ausgaben für Sicherheits- und Risikomanagement im Jahr 2023 voraussichtlich um 11,3 % steigen und mehr als 188,3 Milliarden US-Dollar erreichen.

Da Unternehmen dem Thema Cybersicherheit zunehmend mehr Bedeutung beimessen, wird ein Security Operations Center oder SOC immer wichtiger. Ihr SOC dient als zentrale Einheit, die für den Umgang mit Cyber-Bedrohungen für Ihr Unternehmen verantwortlich ist.

SOCs umfassen mindestens einige SOC-Analysten, deren Fachwissen im Kern einer robusten Sicherheit liegt. SOC-Analysten helfen, Lücken selbst in den fortschrittlichsten Bedrohungserkennungssoftwarelösungen zu schließen, um Cyberangriffe und Bedrohungen zu stoppen.

In diesem Artikel werden wir uns mit der Rolle der SOC-Analysten, den drei verschiedenen Typen, einigen typischen Aufgaben sowie den Fähigkeiten, die diese Fachleute zum Erfolg benötigen, befassen.

Was ist ein SOC-Analyst?

Ein SOC-Analyst ist ein Cybersicherheitsspezialist, der die IT-Infrastruktur einer Organisation auf Bedrohungen überwacht. Sie sind oft die ersten, die auf diese Bedrohungen reagieren. Sie suchen auch nach Schwachstellen und führen Verbesserungen durch oder empfehlen Änderungen zur Stärkung der Sicherheit.

Wie bereits erwähnt, sind SOC-Analysten oft Teil eines größeren Sicherheitsteams. Einige Organisationen beschäftigen SOC-Analysten intern. Unternehmen, die keine Zeit, Ressourcen oder kein Interesse daran haben, ein internes SOC-Team aufzubauen, können jedoch an eine spezialisierte SOC-Firma auslagern.

Der Beitrag des SOC-Analysten ist für eine Organisation entscheidend. Ihre Empfehlungen können die Cybersicherheit verbessern und Verluste durch Hackerangriffe und andere Sicherheitsvorfälle verhindern.

Beachten Sie, dass in diesem Fall SOC für Security Operations Center steht. Dies ist unterschiedlich zu den System and Organization Controls, einem Satz von Standards und Richtlinien, die vom American Institute of Certified Public Accountants entwickelt wurden, um verschiedene interne Kontrollen zu bewerten.

SOC-Analyst-Zertifizierung

Zusätzlich zu einem Bachelor-Abschluss in Ingenieurinformatik, Informatik oder einem verwandten Bereich absolvieren SOC-Analysten oft zusätzliche Schulungen und erhalten eine Certified SOC Analyst (CSA) Lizenz, um ihre Fähigkeiten zu verbessern.

Andere relevante Zertifizierungen umfassen:

• Certified Ethical Hacker (CEH)
• Computer Hacking Forensics Investigator (CHFI)
• EC-Council Certified Security Analyst (ECSA)
• Licensed Penetration Tester (LPT)
• CompTIA Security+
• CompTIA Cybersecurity Analyst (CySA+):

SOC-Analyst-Stufen

Es gibt drei Ebenen von SOC-Analysten, die jeweils für fortschrittlichere und kritischere Aufgaben verantwortlich sind.

SOC-Analysten der Stufe 1: Triage

SOC-Analysten der Stufe 1 sind die am wenigsten erfahrenen der drei Stufen. Die meisten ihrer Aufgaben betreffen die Sicherheitsüberwachung auf verdächtige Aktivitäten und mögliche Bedrohungen. Sie sind selten tatsächlich in die Bekämpfung von Bedrohungen involviert.

Stattdessen erstellen sie ein Ticket und leiten es an einen Analysten der Stufe 2 weiter, wenn ein Analyst der Stufe 1 der Meinung ist, dass etwas genauer untersucht werden muss.

SOC-Analysten der Stufe 2: Incident Response und Untersuchung

SOC-Analysten der Stufe 2 sind erfahrener als Stufe 1. Sie können bei Bedarf alles tun, was ein Analyst der Stufe 1 tun kann, aber ihre Hauptaufgabe besteht darin, tiefer in die von Analysten der Stufe 1 an sie verwiesenen Probleme einzutauchen.

Während ein Fachmann der Stufe 2 ein Problem untersucht, sammelt er weitere Daten aus verschiedenen Quellen zur weiteren Untersuchung. Sie versuchen auch herauszufinden, woher die Bedrohung kam und wie sie eingedrungen ist, um eine angemessene Reaktion vorzubereiten.

SOC-Analysten der Stufe 3: Proaktive Bedrohungsjagd

SOC-Analysten der Stufe 3 stehen an der Spitze der Analystenhierarchie. Diese sehr erfahrenen Fachleute setzen ihre fortgeschrittenen Fähigkeiten ein, um die Reaktionen der Analysten der Stufe 2 auf komplexe Sicherheitsprobleme zu unterstützen.

Darüber hinaus ist ein Analyst der Stufe 3 ein Bedrohungsjäger. Sie suchen routinemäßig nach Bedrohungen, die an den Verteidigungsmechanismen eines Unternehmens vorbeigeschlüpft sein könnten – sowie nach Schwachstellen, die diese Bedrohungen möglicherweise ausgenutzt haben, um einzudringen.

Viele Unternehmen konzentrieren sich hauptsächlich auf Aktivitäten der Stufen 1 und 2 – auf das Auffinden verdächtiger Aktivitäten und die Abwehr von Bedrohungen – sodass sie nicht so viele Analysten der Stufe 3 beschäftigen. Sie haben wahrscheinlich einige dieser Analysten, die der Stärkung der Sicherheit gewidmet sind.

Einige Leute betrachten SOC-Manager als Stufe 4, aber das ist eine Managementposition und kein Analyst. SOC-Manager führen die meiste Zeit keine praktische Arbeit durch.

SOC-Analyst Gehalt

Laut Glassdoor beträgt das durchschnittliche Gehalt eines SOC-Analysten in den Vereinigten Staaten 84.439 USD pro Jahr.

Wie viel ein SOC-Analyst verdient, variiert je nach Berufserfahrung, Zertifizierungen, Standort und anderen Faktoren. Die Gehaltsspanne ist daher breit und liegt zwischen 79.000 und 125.000 USD.

Der Verdienst hängt auch von der Stufe ab. Analysten der Stufe 3 verdienen am meisten, gefolgt von Analysten der Stufe 2 und Stufe 1. Sie werden sehen, warum, wenn wir als nächstes die Aufgaben und Verantwortlichkeiten von SOC-Analysten behandeln.

Was macht ein SOC-Analyst?

SOC-Analysten haben mehrere Verantwortlichkeiten in Bezug auf die Stärkung und Aufrechterhaltung der Cyber-Abwehr und die Reaktion auf Bedrohungen.

Die genauen Aufgaben unterscheiden sich natürlich je nach Unternehmen und Analystenstufe, aber hier sind einige allgemeine Aufgaben eines SOC-Analysten.

1. Überwachung des Sicherheitszugangs

Vor allem überwachen SOC-Analysten den Sicherheitszugang auf verdächtige Aktivitäten.

Das ist im Allgemeinen eine Aufgabe der Stufe 1. Wenn ein Stufe-1-Analyst etwas Verdächtiges findet, kann er eine leichte Untersuchung durchführen, aber in der Regel sendet er die potenzielle Bedrohung an einen Stufe-2-Analysten weiter.

Einige Stufe-3-Analysten überwachen den Sicherheitszugang jedoch auf einer viel tieferen Ebene, als es Stufe-1-Analysten derzeit können.

2. Auf Bedrohungen reagieren

Wenn eine Cyber-Bedrohung auftritt, sind SOC-Analysten die ersten, die eingreifen und reagieren. 

Der Stufe-1-Analyst erkennt diese Bedrohungen in der Regel zuerst, während er auf verdächtige Aktivitäten überwacht. Er leitet sie an Stufe 2 weiter, das die Informationen überprüft. 

Stufe 2 versucht dann, das Ausmaß des Angriffs und die gefährdeten Systeme zu bestimmen. Sie sammeln Daten aus anderen Quellen und von Stakeholdern, um ein besseres Bild des Problems zu erhalten.

Der Analyst entwickelt dann eine Lösung zur Abschwächung der Bedrohung und zur Wiederherstellung. 

Hier kann auch Stufe 3 mit einbezogen werden, um Wege zu finden, die Sicherheitslücke zu beheben, durch die die Bedrohung eingedrungen ist.

3. Sicherheitsbewertungen durchführen

Stufe-1-Analysten scannen manchmal nach Schwachstellen, aber Stufe-3-Analysten sind meistens dafür verantwortlich, gründliche Sicherheitsbewertungen und Tests durchzuführen. 

Insbesondere suchen sie regelmäßig nach Schwachstellen in Systemen, um diese zu beheben und die Cybersicherheit zu stärken. Ein einziger Sicherheitsverstoß kann ein Unternehmen enorme Geldsummen durch Rechtskosten, Bußgelder, Behebung des Verstoßes und den Verlust von Kunden kosten – was diese Arbeit unerlässlich macht.

Eine wichtige Art der Sicherheitsbewertung ist der Penetrationstest. Dies beinhaltet die Durchführung eines simulierten Cyberangriffs auf Ihre IT-Infrastruktur, um die Stärke Ihrer Abwehrkräfte zu testen.

Penetrationstests helfen auch dabei, versteckte Schwächen zu finden und zu identifizieren, was das Unternehmen beheben muss, um die Sicherheit zu stärken.

4. Erstellen und Aktualisieren von Notfallwiederherstellungs- und Geschäftsfortführungsplänen

Ein Notfallwiederherstellungsplan legt fest, wie ein Unternehmen auf unerwartete schädliche Ereignisse wie Naturkatastrophen oder Cyberangriffe reagiert. 

Ein Geschäftsfortführungsplan beschreibt, wie eine Organisation während eines solchen Ereignisses weiterarbeiten wird. 

Angesichts des Risikos von Verstößen und anderen Cyber-Bedrohungen spielen SOC-Analysten eine Rolle bei der Entwicklung und Verfeinerung beider Pläne. Sie tragen mit ihrem Fachwissen dazu bei, einen Plan zu entwickeln, um IT-Betriebe während einer Katastrophe aufrechtzuerhalten und Dinge wieder zum Laufen zu bringen, sobald die Organisation das Problem behoben hat.

5. Aktuell über Cyber-Trends bleiben

Cyber-Bedrohungen entwickeln sich ständig weiter, und die Cybersicherheit muss mit ihnen Schritt halten. 

Solche Umstände machen SOC-Analysten dafür verantwortlich, über Cyber-Trends und Entwicklungen in IT und Sicherheit informiert zu sein. Sie müssen regelmäßig neue Arten von Cyber-Bedrohungen untersuchen und sich über Technologien und Cybersicherheitsstrategien auf dem Laufenden halten, die Experten zur Bekämpfung dieser Bedrohungen entwickeln.

Dieser Teil des Jobs erfordert möglicherweise eine Weiterbildung oder berufliche Entwicklung außerhalb der Arbeitszeit. Die dreijährige Rezertifizierungspflicht der CSA zeigt, wie wichtig kontinuierliche Weiterbildung für den Erfolg von SOC-Analysten ist.

6. Beratung und Implementierung neuer Sicherheitsrichtlinien

SOC-Analysten sind Experten darin, Schwachstellen zu finden und die Cybersicherheit zu stärken, insbesondere auf Stufe 3. 

Ob ein SOC-Analyst neue Schwachstellen durch die Bekämpfung von Bedrohungen, die Durchführung von Sicherheitsbewertungen oder das Lernen über neue Cybersecurity-Trends entdeckt, er muss diese Informationen an die richtigen Personen in seiner Organisation weitergeben.

Wenn ein Unternehmen Änderungen in der Cybersicherheitsrichtlinie vornehmen möchte, liegt es in der Regel auch an den Stufe-3-Analysten, diese Änderungen umzusetzen.

SOC-Analysten-Fähigkeiten

Cyber-Trends entwickeln sich vielleicht weiter, aber die Fähigkeiten, die ein SOC-Analyst benötigt, bleiben größtenteils gleich. Wenn Sie den Wert maximieren möchten, den SOC-Analysten Ihrem Unternehmen bieten, stellen Sie sicher, dass sie über diese Fähigkeiten verfügen.

Programmierkenntnisse

Tier-1-Analysten verbringen viel Zeit damit, Systemprotokolle zu durchsuchen, um Hinweise auf verdächtige Vorgänge zu finden. Dies nimmt erhebliche Zeit in Anspruch und ist ziemlich mühsam.

Solche manuelle Arbeit kann dazu führen, dass menschliche Analysten potenzielle Bedrohungen versehentlich übersehen, während sie versuchen, alles zu bewältigen.

Natürlich können Sie einen Teil dieser Arbeit automatisieren.

Tier-1-Analysten sollten über grundlegende Programmierkenntnisse verfügen – genug, um Skripte zu schreiben, die einen Großteil der Suche automatisieren und den Analysten auf potenzielle Probleme aufmerksam machen.

Davon abgesehen können auch Tier-2- und Tier-3-Analysten von der Verbesserung ihrer Programmierfähigkeiten profitieren. Programmierkenntnisse können nützlich sein, wenn Datenvisualisierungstools verwendet werden.

Computerforensik

Computerforensik umfasst die Untersuchung, Sammlung und Analyse von Daten und Informationen, die für Cyberkriminalität relevant sind.

Alle SOC-Analysten sollten Computerforensik verstehen, aber das ist besonders wichtig für Tier-2, da es ihre Aufgabe ist, Informationen über Cyberbedrohungen zu sammeln.

Auch Tier-3-Analysten können von Computerforensik-Kenntnissen profitieren. Sie kann nützlich sein, um Bereiche zu finden, in die potenzielle Cyberkriminelle in die Systeme einer Organisation eindringen können.

Ethisches Hacking

Ein Teil der Aufgabe eines Tier-3-Analysten besteht darin, die Cybersicherheit einer Organisation auf Schwachstellen und Verbesserungsmöglichkeiten zu bewerten. Wie erwähnt, geschieht dies häufig durch Penetrationstests, die ein hohes Maß an ethischen Hacking-Fähigkeiten erfordern.

Tier-3-Analysten benötigen umfassende Kenntnisse über Schwachstellen in Netzwerken, Systemen und Anwendungen, damit sie die Abwehrmechanismen testen und potenzielle Schwachstellen finden können.

Tier-1- und Tier-2-Analysten müssen in der Regel nicht über diese ethischen Hacking-Fähigkeiten verfügen. Das Verständnis der Grundlagen kann jedoch Tier-1-Analysten helfen, potenzielle Bedrohungen und Schwachstellen viel besser zu verstehen. Es ermöglicht ihnen, Bedrohungen zu überwachen und bei Bedarf mit anderen Ebenen zusammenzuarbeiten.

Ein Verständnis für Sicherheitswerkzeuge

SOC-Analysten – als Sicherheitsexperten – müssen in mehreren gängigen Sicherheitswerkzeugen geschult sein.

Zum Beispiel ist das Verständnis von Sicherheitsinformationen, Ereignismanagement (SIEM) und Intrusion-Detection-Software ein Muss.

Analysten sollten auch in Systemadministrationsaufgaben innerhalb der Macbook-, Windows- und Linux/Unix-Betriebssysteme versiert sein.

Tier-3-Analysten sollten insbesondere als Teil ihrer ethischen Hacking-Aufgaben mit beliebten Penetrationstest-Tools vertraut sein.

Reverse Engineering

Reverse Engineering beinhaltet die Analyse der Funktionen und des Informationsflusses von Softwareprogrammen, um deren Funktionalität und Leistung zu verstehen. Diese Technik kann auch auf Malware angewendet werden.

Tier-3-SOC-Analysten sollten nicht nur fortgeschrittene Malware kennen und in der Lage sein, sie zu neutralisieren – sie sollten auch in der Lage sein, sie durch Reverse Engineering zu analysieren, um die Systeme der Organisation gegen zukünftige Bedrohungen zu stärken.

Risikomanagement

Risikomanagement ist die Fähigkeit, Risiken zu identifizieren, zu analysieren und zu mindern. Tier-1-SOC-Analysten sollten in der Lage sein, bestehende Schwachstellen zu analysieren und zu detaillieren sowie mögliche Risiken zu berücksichtigen, die in der Zukunft auftreten können. Tier-2- und Tier-3-SOC-Analysten sollten in der Lage sein, Strategien zu entwickeln, um diese Risiken zu behandeln und zu mindern, und einen Wiederherstellungsprozess zu erstellen, wenn Sicherheitsvorfälle auftreten.

Wie Secureframe Ihnen helfen kann, Ihr Sicherheitsoperationen-Zentrum zu optimieren

SOC-Analysten stehen oft an der vordersten Front der Cyberabwehr eines Unternehmens. Dies gilt unabhängig davon, ob es sich um einen Tier-1-Analysten handelt, der nach Problemen sucht, oder um einen Tier-3-Analysten, der nach Möglichkeiten zur Verbesserung der Sicherheit sucht.

Um sicherzustellen, dass Ihre SOC-Analysten und Ihr Sicherheitsbetrieb als Ganzes ihr Bestes geben, sollten Sie eine umfassende SOC-Prüfung in Betracht ziehen – etwas, worauf wir uns hier bei Secureframe spezialisiert haben. Planen Sie noch heute Ihre Demo, um herauszufinden, wie Secureframe Ihnen bei der Vorbereitung einer Prüfung und der Verbesserung Ihrer Sicherheitslage helfen kann.