Interview mit Ernesto Hartmann von InfoGuard

IT-Security im Outsourcing wird zunehmend nachgefragt. Wie ein solches Security Operations Center Cyberattacken abwehrt, erklärt Ernesto Hartmann, Chief Security Operations Officer des Zuger Anbieters InfoGuard.

Ernesto Hartmann: Wir erleben seit Längerem einen regelrechten Run auf unsere Cyber-Defence-Dienstleistungen, wie beispielsweise Vulnerability- und SIEM-Services (Security Information and Event Management), aber insbesondere auch «Threat Detection und Respond»-Services. Hier geht es um das Aufdecken und Analysieren von Cyberangriffen und das Reagieren darauf. Dafür haben wir einige neue Services entwickelt wie etwa auch das «Threat Hunting». Dabei warten wir nicht, bis ein Angriff erfolgt und Alarm geschlagen wird. Vielmehr suchen wir aktiv nach den An­greifern.

Hartmann: Unsere Reaktion läuft über mehrere Stufen und wird jeweils von unterschiedlichen Experten bearbeitet. Meldet eines unserer Systeme eine Attacke, kümmert sich zunächst ein Spezialist der sogenann-ten «Tier 1» um den Alarm. Dieser nimmt eine erste Triage vor. Er hinterfragt kritisch, ob es sich überhaupt um einen echten Cyberangriff handelt. Dabei korreliert er Daten, beispielsweise aus einem SIEM-System. Falls er nicht abschliessend beurteilen kann, ob es sich um eine Attacke handelt, wird beim Kunden direkt nachgefragt. Schlussendlich erstellt er eine Validierung, die drei unterschiedliche Reaktionen zulässt.

Handelt es sich um einen Fehlalarm, beispielsweise weil sich jemand falsch ange­meldet hat, wird dieser dokumentiert und mit Verhaltensverbesserungsvorschlägen abgelegt. Kann der Spezialist nicht abschlies­send beantworten, weshalb der Alarm aus­gelöst wurde, wird der Fall an die nächste Instanz (Tier 2) weitergeleitet. Diese nimmt erneut eine Validierung vor. Kommt es auch hier zu keinem Ergebnis, werden die Systeme gegebenenfalls mittels Threat Analysis forensisch untersucht. Bestätigt die erweiterte Analyse, dass es sich um eine Attacke handelt, gelangt der Fall zum Tier-3-Analysten. Dieser startet daraufhin die «Incident Res­ponse»-Routinen. Diese bestehen zunächst aus einer Lagebeurteilung, die ebenfalls mit dem Kunden zusammen durch­geführt wird. Es werden Fragen gestellt wie: «Was war der Angriffsvektor? Ist es ein gezielter oder opportunistischer Angriff? Und welcher Schaden ist womöglich schon angerichtet worden?». Nur wenn man sich solche Fragen auch nach dem Motiv stellt, kommt man den Angreifern auf die Schliche. Wir hatten beispielsweise vor Kurzem einen Fall, bei dem die E-Mail-Konten von ausgewählten Mit­arbeitenden aus bestimmten Abteilungen angegriffen wurden. Anhand dieses Verhaltensmusters konnten wir erkennen, dass der Täter es auf ganz spezifische Informationen abgesehen hatte.

Hartmann: Ja, haben wir. In den letzten Monaten konnten wir einige hochprofessionelle Angriffe auf Schweizer Kunden aufdecken und abwehren. Details darf ich Ihnen hier aber leider keine nennen. Ich kann Ihnen aber so viel verraten: Es handelte sich um Angriffe, die – sagen wir mal – «politisch motiviert» waren und es auf Informationsdiebstahl oder Sabotage abgesehen hatten. Bei Angriffen, die wir in der Frühphase ent­decken, können wir natürlich in der Regel nicht sagen, wie schwerwiegend die Folgen einer erfolgreichen Attacke gewesen wären.

Unsere Services haben aber nicht selten auch einen weiteren positiven Nebeneffekt – die Visibilität. Durch diese Visibilität haben sich schon viele Kunden punkto Prävention verbessert. Das ist sowohl für deren IT-Se­curity als auch für uns ein grosser Erfolg. Mitunter konnten wir auch unsichere Praktiken und Verhaltensmuster von IT-Administratoren aufdecken – etwa, wenn jemand mit dem gleichen PC kritische Systeme administriert, mit dem er auch im Web surft.

Hartmann: Das stimmt. Grundsätzlich schützen wir uns gleich wie unsere Kunden. Uns kommt natürlich zugute, dass wir die Erkenntnisse, die wir beim Schutz unserer Kunden und bei der Abwehr von Angriffen sammeln, auch bei der Verteidigung unserer eige­nen Infrastruktur anwenden können. Hier entstehen neue «Use Cases», gerade in den Bereichen «Detect» und «Respond», wovon wieder alle Kunden profitieren. Im Bereich der Aufdeckung lernen wir von neuen Indi­zien, die auf einen Angriffsversuch hinweisen und uns schneller reagieren lassen.

Hartmann: Genau, bei uns arbeiten rund ein Dutzend Penetration-Tester und bilden so unser «Red Team». Dieses Angriffs-Know-how steht unseren Kunden offen, indem wir beispielsweise Attack Simulations anbieten. Dabei erhält unser Pentest-Team ein Budget (in Form von Zeit und Geld) und schaut so, ob es möglich ist, an Assets des Kunden zu gelangen – so, wie es auch «richtige» Hacker tun.  Dies ist eine sehr gute Methode, um Schwachstellen ausfindig zu machen.

Zusammen mit dem «Blue Team» aus unserem Cyber Defence Center, das sich auf die Verteidigung und Analyse von Angriffen fokussiert, bilden sie das sogenannte «Pur­ple Team». Dabei durchlaufen Angreifer und Verteidiger alle Phasen einer Attacke. So ver­suchen wir herauszufinden, wo noch Schwachstellen, sogenannte Blind Spots, in der Verteidigungslinie bestehen.