SOC in der Praxis
20.03.2018, 06:50 Uhr
Cyber-Bedrohungen haben auch etwas «Gutes»
Hacker geben keine Ruhe - im Gegenteil. Das hat trotz der Gefährlichkeit auch etwas Gutes: Den Betreibern von Security Operation Centern wird es nicht langweilig, und Firmen erhalten plötzlich IT-Security-Projekte bewilligt.
Die Bedrohungslage im Cyber-Security-Umfeld nimmt stetig zu. Nicht nur, dass im letzten Jahr mit den Ransomware-Grossoffensiven Wannacry und Petya ein neuer Level erreicht wurde. Auch das Jahr 2018 bereitete Security-Spezialisten wegen Spectre und Meltdown einen regelrechten «Kaltstart», berichtet Urs Rufer, CEO von terreActive, während der Kundenveranstaltung «Cyber Security Insights» in Zürich. Die Sicherheitsvorfälle rissen quasi nicht mehr ab.
Deshalb sei man bei dem SOC-Betreiber (Security Operation Center) froh, im letzten Jahr die klassische MSS-Tätigkeiten (Managed Security Services) auf zwei separate Teams aufgeteilt zu haben, nämlich eines, das sich dem Betrieb und Unterhalt der Sicherheitskomponente widme, und ein zweites, das sich um das Incident-und-Response-Thema kümmere, also spezialisiert sei auf die Erkennung von und Reaktion auf Sicherheitsvorfälle.
Konkret hat das 15 Mitarbeiter zählende Team des Incident Response Center (IRC) gemäss Rufer seit Anfang Jahr über 450 Vorfälle registriert. Von diesen hätten sich 247 als Sicherheitsvorfälle entpuppt.
Eine weitere Aufgabe sieht Rufer im aktiven Schutz der Kunden. So habe man eine im Darknet angebotene 42 Gigabyte grosse Datenbank mit Login-Informationen analysiert und in dieser 4000 E-Mail-Adressen mit zugehörigen Passwörtern der eigenen Kunden finden können.
Auch Sicherheitslücken werden laut Rufer regelmässig analysiert und dahingehend untersucht, ob sie die eigene Kundschaft gefährdeten. Von diesen sogenannten CVE (Common Vulnerabilities and Exposures) habe man allein im laufenden Jahr schon 37 Stück verarbeitet.
Zusammengefasst seien seit dem Neujahrstag weit über 1000 Tickets von den beiden Teams verarbeitet worden. «Es wird uns also nie langweilig», lautet daher das Fazit von Rufer.
Security-Budgets werden nicht mehr in Frage gestellt
Dies dürfte auch für Andrea Klaes, Chief Information Security Officer von Sulzer, zutreffen, die an der Veranstaltung als eine von insgesamt sechs Kunden auftrat. Der Winterthurer Industrieriese gehört schliesslich zu einer jener Branchen, die zunehmend ins Visier der Cyberkriminellen genommen wird.
Für sie hätten die Cybercrime-Vorfälle des letzten Jahres einerseits viel Arbeit mit vielen Einsätzen am «Wochenende» bereitet. Andererseits kann Klaes den Ereignissen auch etwas Positives abgewinnen. Security-Budgets würden allgemein von Unternehmen nun nicht mehr gleich in Frage gestellt.
Besonders gefährlich sind laut Klaes derzeit die Phishing-Versuche, bei denen Hacker es darauf angelegt haben, die Zugangsdaten also Credentials von Mitarbeitern zu Diensten wie Office 365 samt Outlook zu ergaunern. Dies sei deshalb so bedenklich, da beispielsweise in Mail-Briefkästen ziemlich viele für Cyberkriminelle äusserst wertvolle Informationen zu finden seien, die dann als Grundlage für gezieltere Phishings bis hin zum Identitätsdiebstahl dienen könnten.
Einige dieser Versuche hätten einerseits für grosse Verwirrung gesorgt, andererseits auch die Awareness gesteigert. So hat Klaes laut eigenen Angaben in der Folge die konsequente Einführung von Zwei-Faktoren-Authentifizierung für die betroffenen Cloud-Dienste diskussionslos durchsetzen können.