Die Zusammenarbeit zwischen dem Security Operations Center und dem Computer Emergency Response Team ist heute entscheidend, um IT-Sicherheitsvorfälle effektiv zu bewältigen. Darja-Anna Yurovsky von Switch erklärt warum.
Gestern gab es einen grösseren IT-Sicherheitsvorfall bei einer Organisation. Beim Einloggen in den Domain Controller, oftmals ein Kronjuwel der Institution, stellte jemand fest, dass der eigentliche Administrator nicht mehr die Kontrolle über sein Konto hatte. Stattdessen hatte sich ein Angreifer eingenistet und richtete Unheil im Netzwerk an. Dieses Szenario ist vergleichbar mit einem Vollbrand eines Gebäudes in einer Stadt, der sich schnell ausbreitet und auf die umliegenden Gebäude übergreift.
Was nach einem dramatischen Einzelfall klingt, passiert in der Praxis häufiger als man denkt. Um zu verstehen, wie wir einen solchen digitalen Vollbrand in einer Organisation verhindern oder möglichst effizient bewältigen können, möchte ich Ihnen diese Analogie näherbringen:
Stellen Sie sich die IT-Infrastruktur einer Organisation als digitale Stadt vor…
Das Security Operations Center (SOC) schützt digitale Werte, behält den Überblick und entsendet im Notfall das Computer Emergency Response Team (CERT), um grössere und akute Bedrohungen zu bewältigen. llustration: Erstellt von Switch mit DALL·E
Die Situation
Heute sitze ich in der digitalen Einsatzzentrale des Security Operations Center (SOC) von Switch. Ausgerüstet mit virtuellem Fernglas, Funkgerät und – wie immer - einem Kamillentee bin ich bereit die digitalen Städte vor Ungemach zu schützen.
Kaum schaue ich durch mein Fernglas, erkenne ich, dass mehrere Gebäude der benachbarten Stadt ausserhalb der Mauern unseres Städteverbundes im Vollbrand stehen. Leider befindet sich diese digitale Stadt ausserhalb meines Einflussbereichs, denn sie hat sich entschieden, sich nicht unserer Einsatzleitzentrale anzuschliessen.
Die Notfalleinsatzkräfte
Unser Computer Emergency Response Team (CERT) wurde spät abends von der Stadt alarmiert, in der das Feuer ausgebrochen war. So ist der Prozess definiert, wenn eine akute Gefahr erkannt wird, die allein nicht bewältigt werden kann, werden die Notfalleinsatzkräfte gerufen – in der IT-Welt das CERT – in der digitalen Welt die Feuerwehr.
In unserer Nachbarstadt brennt es immer noch lichterloh, und ein mutmasslicher Brandstifter läuft frei herum. Das CERT tut sein Bestes, um die Feuer in der digitalen Stadt zu erkennen, zu löschen und gleichzeitig herauszufinden, wer sie wie gelegt hat, um weitere Brände zu verhindern. Eine schwierige vielschichtige Aufgabe. Ihr Ziel: Die Eindämmung der Gefahr, damit keine weiteren Gebäude zu brennen beginnen.
Unter den beschriebenen Umständen ist dieses Ziel jedoch nur über viele Umwege erreichbar. Nach 24 Stunden ist immer noch unklar, was genau passiert ist. Die Daten der letzten Monate muss das CERT mühsam zusammensuchen. In der Nachbarstadt gibt es keine Einsatzleitzentrale, die ein Lagebild der Stadt mit ihren Ereignissen und Bedrohungen hat.
So sind die zu treffenden Massnahmen für die Organisation nicht einfach zu bestimmen, denn ohne ein genaues Lagebild sind die Konsequenzen schwer abschätzbar, als würden sie im Nebel herumstochern.
Oft bleiben Brände lange unentdeckt und die Notfalleinsatzkräfte kommen - wie auch in unserem Fall - oft zu spät, um das sich entwickelnde Feuer schnell und effektiv zu löschen. Zusätzlich müssen sie in dichtem Nebel und Rauch die genauen Brandherde identifizieren, um das Löschwasser gezielt dorthin zu leiten, wo es am dringendsten benötigt wird. So werden auch diese letzten Einsatzkräfte durch die unklare Grosslage aufgerieben. Hätte man das verhindern können?
Die Einsatzleitzentrale
Das grösste Problem in solchen Situationen ist das fehlende Lagebild. Ohne Übersicht weiss man nicht, wo es raucht oder bereits brennt. Man steht vor den Fragen: Können Bedrohungen präventiv eingedämmt werden? Braucht es zusätzliche Einsatzkräfte? Wohin sollen sie geschickt werden und was genau sollen sie tun?
Die Grenzen zwischen SOC und CERT scheinen oft fliessend zu sein, doch gerade in Zeiten zunehmender IT-Sicherheitsbedrohungen und wachsender IT-Infrastrukturen wird ihre Zusammenarbeit entscheidend. Während früher in kleinen Dörfern das CERT als erste Verteidigungslinie eingesetzt wurde und den Überblick über die wenigen Häuser behalten konnte, wird ein SOC unumgänglich, sobald das Dorf zu einer Stadt mit der notwendigen Infrastruktur für mehrere Stadtteile herangewachsen ist.
Stellen wir uns das SOC als Lagezentrum der digitalen Stadt vor. Jemand muss den Überblick behalten. Diese Einsatzleitzentrale muss laufende Einsätze, potenzielle Bedrohungen und eingehende Informationen überwachen, um die Feuerwehrleute effizient einzusetzen. Ein anspruchsvoller Job, bei dem eine Flut von Informationen auf einen einströmt, die es zu bewertet gilt. Die Kunst besteht darin, die entscheidenden Anzeichen zu identifizieren, um die passenden Prozesse einzuleiten.
Um Synergien zu nutzen und die richtigen Fachkräfte zu bündeln, entwickelte Switch ein Community SOC als digitale Einsatzleitzentrale für Organisationen aus der Bildungs- und Forschungscommunity. Es dient als digitales Lagezentrum.
Ein SOC hätte geholfen
Zum technischen Teil: Die ganze Misere hätte mit hoher Wahrscheinlichkeit verhindert werden können, wenn die Organisation ein SOC gehabt hätte. Wenn ein IT-Sicherheitsvorfall auftritt, stellt ein SOC nicht nur die wichtigsten Informationen bereit und ermöglicht so fundierte Entscheidungen, sondern entdeckt im besten Fall auch den Vorfall schon viel früher, damit es nicht zu einem grossen Feuer kommen kann. Wie funktioniert das?
Das SOC überwacht unter anderem, woher und wohin Netzwerkpakete gesendet werden. Endpoint Detection and Response (EDR)-Agenten auf allen Systemen sowie Netzwerkdaten hätten den Brandstifter beim Herumstreifen entdeckt.
Es überprüft, wer sich wo Zugang verschafft hat. Die Sicherheitslogs der Systeme schlagen Alarm, wenn jemand versucht, unberechtigt ein Gebäude oder System zu betreten – so wie unser digitaler Brandstifter.
Das SOC sieht, wer wann welche Applikationen nutzt. Wenn unser Störenfried sich in der Nachbarschaft Unmengen an Brennstoff kauft, würde das definitiv auffallen und hätte einen Alarm ausgelöst.
Die Auditlogs verraten auch, wer sich wann von wo aus einzuloggen versucht. Wenn der Angreifer versucht hätte, über die Stadtmauer zu klettern, hätten die Sirenen geheult.
Aus DHCP-Logs geht hervor, welches Gerät zu welchem Zeitpunkt welche IP-Adresse hatte. Das ist wie ein digitales Einwohneramt der Stadt. Wenn die Bäckerei umzieht, wird das sofort aktualisiert, damit die Feuerwehr weiss, wohin sie hinfahren muss, falls ein Alarm losgeht.
Die DNS-Logs verraten, welches System sich mit welcher Domain verbinden wollte. Das kann man sich wie ein digitales Adressbuch vorstellen. Versucht ein Einwohner mit einer fremden Stadt zu korrespondieren, wird das Nachschlagen der Adresse vermerkt. Hätte der Brandstifter also vorher Briefe an eine fragwürdige Organisation oder Person geschickt, wäre dies in den DNS-Logs aufgefallen. Es ist, als hätte unser Übeltäter heimlich Briefe an zwielichtige Bekannte geschrieben, die bereits unter Beobachtung standen. Die Einsatzleitzentrale hätte dies sofort bemerkt und Alarm geschlagen.
Firewall-Logs zeigen, welche IP-Adressen aus verschiedenen Netzwerken miteinander kommuniziert haben. Hätte der Brandstifter schon vorher Verdächtiges ausgekundschaftet, wäre der Alarm ausgelöst worden.
Selbst wenn der Angreifer versucht hätte, seine Spuren zu verwischen, hätten die Datei-Logs gemeldet, wer welche Dateien geöffnet, verändert oder gelöscht hat.
Und schliesslich gibt das Vulnerability Management Einblicke in Schwachstellen der Systeme, ähnlich einer Gebäudeinspektion, die baufällige Häuser überwacht und diese an die Einsatzleitzentrale meldet.
Diese gesammelten Informationen, Analysen und Alarme – das Security Incident and Events Management (SIEM) – bilden das technische Herzstück eines SOC.
Vom Erfolg nur einen Schritt entfernt
Wie wäre dieser ganze Fall abgelaufen, wenn die Organisation ein SOC gehabt hätte?
Ich stelle mir vor, wie ich Tage, vielleicht Monate zuvor am Morgen meinen Dienst als "SOCie of the Day" angetreten hätte. Der SOCie des Vortages hätte mit mir die Dienstübergabe gemacht und mir erzählt, dass er ein paar kleine Rauchwölkchen gesichtet und diese eigenhändig gelöscht hätte. Es gäbe Hinweise auf einen Brandstifter, der die Stadtmauer erklimmen wolle, und ich solle ein Auge darauf haben. Ich hätte mich an meinen Tisch gesetzt und auf den Monitor geschaut.
In der Tat – der Brandstifter gibt nicht auf. Ich melde ihn allen Sicherheitsleuten der Stadt, die ein besonderes Augenmerk auf die Schwachstellen in der Stadtmauer haben und sorge dafür, dass er keine Chance hat, über die Mauer zu kommen. Um die Schwachstellen zu beheben, informiere ich die Handwerkerinnen und Handwerker, damit sie die Stadtmauer weiter verstärken. Derweil informiere ich auch die SOCs der Nachbarstädte, damit sie ebenfalls gewappnet sind.
Natürlich ist unser Brandstifter nicht der einzige Übeltäter. Und so erspähe ich den nächsten Angreifer, besser ausgerüstet mit Pickel und Seil, auf der anderen Seite der Stadtmauer. Aber auch er wird keinen Erfolg haben – ich bin bereit! Ihm mache ich es noch schwerer und er hat keine Chance auch nur ein Zündholz über die Mauer zu werfen.
Das SOC ist kein CERT und das CERT ist kein SOC
Das SOC darf sich nicht in einzelne Einsätze hineinziehen lassen, sonst verliert es den Überblick über die Gesamtsituation. Wenn man sich zu sehr auf ein Feuer konzentriert, könnte man andere Brandherde übersehen, die dann die ganze Stadt bedrohen können. Zusammenfassend gesagt, schützt das SOC die digitalen Werte, behält den Überblick und entsendet im Notfall das CERT, um grössere und akute Bedrohungen zu bewältigen. Es ist unverzichtbar, um fundierte Entscheidungen zu treffen und unnötige Feuerwehrübungen zu vermeiden. Letztere zermürben nicht nur das Personal, sondern verursachen auch erhebliche Kosten in verschiedenen Bereichen.
Sie sehen, ich habe kaum meinen Kamillentee getrunken, habe ich schon zwei Brandstifter erfolgreich bekämpft. So macht es Spass, die digitale Stadt zu beschützen! Und wie schützen Sie Ihre digitale Stadt?
Über die Autorin
Wenn Darja-Anna nicht gerade den Hyperfokus packt, um digitale Forensik-Rätsel zu lösen, teilt sie ihre Begeisterung für IT-Security. Nebenbei managt sie IT-Sicherheitsvorfälle. Um dennoch etwas Schlaf zu finden, unterstützt sie Institutionen dabei, ihre IT-Sicherheit zu verbessern. Ihr Ziel: IT-Sicherheitsvorfälle zu verhindern oder effektiv zu bewältigen. Seit 2020 macht sie dies mit Leidenschaft für Switch CERT.