Cyber Defense Centers
Malware entdeckt – Analyst fehlt?
SecureLink gibt Einblicke in den Alltag eines Security-Analysten und erklärt, wie Unternehmen dem Mangel an Cybersecurity-Fachkräften begegnen können.
Freitag. Kurz vor Mitternacht. Im „Advanced Cyber Defense Center“ (A.C.D.C.) der SecureLink Germany in Augsburg geht ein Security Incident mit dem Titel „Malware Outbreak Detected“ ein. Der Security Analyst wirft einen ersten Blick in das „Security Orchestration & Automation“ (SOA) Tool. Die automatisch angereicherten und normalisiert zusammengefassten Informationen des Vorfalls genügen, um zu erkennen, dass es sich dabei um eine ausgeführte Malware auf einem Arbeitsplatzrechner der HR-Abteilung handelt.
Die automatische SIEM-Korrelation von Firewall-Logs mit dynamischen TI-Listen ergibt, dass zum selben Zeitpunkt Daten von dem betroffenen Host zu einer maliziösen IP-Adresse per DNS Anfragen ausgeleitet wurden. Anhand einer vorhergegangen Sandboxanalyse von dem MD5-Hash des Malwaresamples kann der Analyst den Vorfall in Kontext setzen. Wie schon befürchtet erhärtet sich sein Verdacht, dass sich die Malware lateral durch neu eingehende Vorfälle desselben Typs verbreitet. Mithilfe von Anomalie-Erkennung wird das gesamte Ausmaß der Infektion ausgeweitet auf den gesamten Netzwerkverkehr, durch ein „Network Behaviour Analytics“ (NBA) Tool deutlich. Zahlreiche Rechner weisen ein ungewöhnliches, bis dato nicht dagewesenes Verhalten auf. Für den Fall eines solchen Malware Outbreaks existieren ausführlich vordefinierte „Incident Response“ (IR) Playbooks. Diese dienen dem Analysten als Leitfaden für die Analyse sowie eine Immediate bzw. eine Later Response. Je schneller solche Angriffe erkannt und eingedämmt werden – man spricht hier von „mean time to detect“ (MTTD) und von „mean time to respond“ (MTTR) – desto geringer ist der Schaden für das Unternehmen.
Doch was, wenn Analysten trotz – und vielleicht auch wegen – ihres Alltags nicht genug Zeit für das erproben derartiger Situationen in einer realistischen Umgebung finden? Oder wenn es aufgrund des Fachkräftemangels nicht möglich ist, einfach so viele Cybersecurity-Experten anzustellen, wie möglich und nötig wären?
Individuelle Schwächen erkennen
Bei dem oben illustrierten Vorfall handelt es sich um einen unter hunderten möglichen Typen von Cyber Security Incidents, welchen die IT-Infrastrukturen von Unternehmen vermehrt ausgesetzt sind. Um vollumfänglich und effizient auf verschiedenste Sicherheitsvorfälle reagieren können, müssen die Mitarbeiter eines CDCs für entsprechende Prozesse der jeweiligen Security Incidents geschult und geprobt werden. Gerade in Zeiten des Fachkräftemangels müssen sich Unternehmen überlegen, wie Sie ihre Mitarbeiter aber am effizientesten weiterbilden.
Der Analyst muss in der Lage sein, sich in die Position eines Angreifers versetzen zu können und fundiertes Wissen über Angriffe aller Bereiche der Cyber Kill Chain mitbringen. Anhand beobachteter Events muss er wissen, nach welchen vorangegangen Ereignissen gesucht werden muss bzw. welche Schritte der Angreifer als nächstes durchführen könnte. Ist im Vorfeld die notwendige Sensorik gegeben, die es den Mitarbeitern eines Cyber Defense Centers überhaupt ermöglichen, dieses Verhalten zu erkennen?
Die Sensorik ist eine Kernkompetenz eines Cyber Defense Centers, welche durch die Kombination diverser Security Tools umgesetzt wird. Ein integraler Bestandteil ist somit das Beherrschen der zur Verfügung stehenden Tools. Dabei sollten nicht der Name des Herstellers, sondern die Funktionsweise und der Kontext des jeweiligen Tools im Vordergrund stehen. Die Analysten müssen verstehen, welche Daten für Analyse und IR eines Vorfalls notwendig und wie diese effizient durch entsprechende Tools zu gewinnen sind.
So wird deutlich, dass die notwendigen Kernkompetenzen, die ein Analyst eines CDCs mitbringen muss, breit gefächert sind. Ein Analyst ist ein Security-Experte, der Angriffe erkennen, verstehen und in Kontext setzen kann. In einer IR muss er ein Team von IT-Experten auch in Stresssituationen so koordinieren können, dass ein Angriff effizient eingedämmt werden kann. Welche Angriffsvektoren hat der Angreifer genutzt und wie können diese geschlossen werden, sodass ein Angriff dieser Art zukünftig nicht mehr möglich ist? Dafür werden zwingenderweise Plattformen für intensive Auseinandersetzung mit den Themen benötigt.
- Malware entdeckt – Analyst fehlt?
- Kompetenzen ausbauen und stärken
Lesen Sie mehr zum Thema
