Security-Outsourcing im Nachfrage-Hoch
Interview mit Ernesto Hartmann von InfoGuard
Interview
«Wir konnten ein paar hochprofessionelle Angriffe auf Schweizer Firmen aufdecken»
Ernesto Hartmann, Chief Security Operations Officer bei InfoGuard
Jens Stark / NMGZ
IT-Security im Outsourcing wird zunehmend nachgefragt. Wie ein solches Security Operations Center Cyberattacken abwehrt, erklärt Ernesto Hartmann, Chief Security Operations Officer des Zuger Anbieters InfoGuard.
Computerworld: Welche Security-Dienste werden am häufigsten nachgefragt?
Ernesto Hartmann: Wir erleben seit Längerem einen regelrechten Run auf unsere Cyber-Defence-Dienstleistungen, wie beispielsweise Vulnerability- und SIEM-Services (Security Information and Event Management), aber insbesondere auch «Threat Detection und Respond»-Services. Hier geht es um das Aufdecken und Analysieren von Cyberangriffen und das Reagieren darauf. Dafür haben wir einige neue Services entwickelt wie etwa auch das «Threat Hunting». Dabei warten wir nicht, bis ein Angriff erfolgt und Alarm geschlagen wird. Vielmehr suchen wir aktiv nach den Angreifern.
CW: Wie sieht Ihre Reaktion auf einen konkreten Angriff aus?
Hartmann: Unsere Reaktion läuft über mehrere Stufen und wird jeweils von unterschiedlichen Experten bearbeitet. Meldet eines unserer Systeme eine Attacke, kümmert sich zunächst ein Spezialist der sogenann-ten «Tier 1» um den Alarm. Dieser nimmt eine erste Triage vor. Er hinterfragt kritisch, ob es sich überhaupt um einen echten Cyberangriff handelt. Dabei korreliert er Daten, beispielsweise aus einem SIEM-System. Falls er nicht abschliessend beurteilen kann, ob es sich um eine Attacke handelt, wird beim Kunden direkt nachgefragt. Schlussendlich erstellt er eine Validierung, die drei unterschiedliche Reaktionen zulässt.
Handelt es sich um einen Fehlalarm, beispielsweise weil sich jemand falsch angemeldet hat, wird dieser dokumentiert und mit Verhaltensverbesserungsvorschlägen abgelegt. Kann der Spezialist nicht abschliessend beantworten, weshalb der Alarm ausgelöst wurde, wird der Fall an die nächste Instanz (Tier 2) weitergeleitet. Diese nimmt erneut eine Validierung vor. Kommt es auch hier zu keinem Ergebnis, werden die Systeme gegebenenfalls mittels Threat Analysis forensisch untersucht. Bestätigt die erweiterte Analyse, dass es sich um eine Attacke handelt, gelangt der Fall zum Tier-3-Analysten. Dieser startet daraufhin die «Incident Response»-Routinen. Diese bestehen zunächst aus einer Lagebeurteilung, die ebenfalls mit dem Kunden zusammen durchgeführt wird. Es werden Fragen gestellt wie: «Was war der Angriffsvektor? Ist es ein gezielter oder opportunistischer Angriff? Und welcher Schaden ist womöglich schon angerichtet worden?». Nur wenn man sich solche Fragen auch nach dem Motiv stellt, kommt man den Angreifern auf die Schliche. Wir hatten beispielsweise vor Kurzem einen Fall, bei dem die E-Mail-Konten von ausgewählten Mitarbeitenden aus bestimmten Abteilungen angegriffen wurden. Anhand dieses Verhaltensmusters konnten wir erkennen, dass der Täter es auf ganz spezifische Informationen abgesehen hatte.
CW: Haben Sie in letzter Zeit einen Coup landen können?
Hartmann: Ja, haben wir. In den letzten Monaten konnten wir einige hochprofessionelle Angriffe auf Schweizer Kunden aufdecken und abwehren. Details darf ich Ihnen hier aber leider keine nennen. Ich kann Ihnen aber so viel verraten: Es handelte sich um Angriffe, die – sagen wir mal – «politisch motiviert» waren und es auf Informationsdiebstahl oder Sabotage abgesehen hatten. Bei Angriffen, die wir in der Frühphase entdecken, können wir natürlich in der Regel nicht sagen, wie schwerwiegend die Folgen einer erfolgreichen Attacke gewesen wären.
Unsere Services haben aber nicht selten auch einen weiteren positiven Nebeneffekt – die Visibilität. Durch diese Visibilität haben sich schon viele Kunden punkto Prävention verbessert. Das ist sowohl für deren IT-Security als auch für uns ein grosser Erfolg. Mitunter konnten wir auch unsichere Praktiken und Verhaltensmuster von IT-Administratoren aufdecken – etwa, wenn jemand mit dem gleichen PC kritische Systeme administriert, mit dem er auch im Web surft.
CW: Wie schützen Sie sich eigentlich selbst? Sie gelten sicher in Hackerkreisen als interessantes potenzielles Opfer.
Hartmann: Das stimmt. Grundsätzlich schützen wir uns gleich wie unsere Kunden. Uns kommt natürlich zugute, dass wir die Erkenntnisse, die wir beim Schutz unserer Kunden und bei der Abwehr von Angriffen sammeln, auch bei der Verteidigung unserer eigenen Infrastruktur anwenden können. Hier entstehen neue «Use Cases», gerade in den Bereichen «Detect» und «Respond», wovon wieder alle Kunden profitieren. Im Bereich der Aufdeckung lernen wir von neuen Indizien, die auf einen Angriffsversuch hinweisen und uns schneller reagieren lassen.
CW: Greifen Sie sich auch selbst an, verfügen Sie über ein «Red Team»?
Hartmann: Genau, bei uns arbeiten rund ein Dutzend Penetration-Tester und bilden so unser «Red Team». Dieses Angriffs-Know-how steht unseren Kunden offen, indem wir beispielsweise Attack Simulations anbieten. Dabei erhält unser Pentest-Team ein Budget (in Form von Zeit und Geld) und schaut so, ob es möglich ist, an Assets des Kunden zu gelangen – so, wie es auch «richtige» Hacker tun. Dies ist eine sehr gute Methode, um Schwachstellen ausfindig zu machen.
Zusammen mit dem «Blue Team» aus unserem Cyber Defence Center, das sich auf die Verteidigung und Analyse von Angriffen fokussiert, bilden sie das sogenannte «Purple Team». Dabei durchlaufen Angreifer und Verteidiger alle Phasen einer Attacke. So versuchen wir herauszufinden, wo noch Schwachstellen, sogenannte Blind Spots, in der Verteidigungslinie bestehen.