Wien (pts006/09.09.2019/09:30) – Die Aufregung war früher groß, wenn Organisationen, Parteien, Prominente, Firmen oder staatliche Stellen Einbrüche in ihre eigene oder angemietete digitale Infrastruktur vermeldet haben. Mittlerweile gehören Berichte über Datenlecks und kompromittierte Systeme fast schon zum Wetterbericht. Sicherheitsapplikationen auf Smartphones oder Portale bieten diese Informationen an, um dem User eine Prüfung zu ermöglichen ob man selbst betroffen sein könnte. Die vernetzte Welt des Alltags macht es scheinbar möglich Angriff und Verteidigung in einem Atemzug zu präsentieren. Betroffene, Angreifer, Verteidiger und Nutznießer rücken näher zusammen. Wer diesen Eindruck hat, ist der um sich greifenden Vereinfachung zum Opfer gefallen. Die moderne Informationstechnologie muss sich täglich gefährlichen Situationen stellen, die weit mehr Facetten haben. Dazu braucht es eine gehörige Portion Fachwissen und Erfahrung.
Ersthelfer, Analyse und Finden von Bedrohungen
Alle digitalen Systeme und Netzwerke haben mittlerweile eine Verteidigung. Das Spektrum reicht vom Minimum bis hin zu Absicherungen mit hohem Aufwand. Im Normalbetrieb prüft man die benötigten Funktionen und stellt gegebenenfalls die Sicherheitsmaßnahmen nach, wenn es neue Meldungen gibt. Das ändert sich schlagartig, wenn ein tatsächlicher Einbruch entdeckt wird. Die sogenannte Incident Response, also Reaktion bei einem Vorfall, unterscheidet sich grundlegend vom normalen Betrieb. Es gilt festzustellen, welche Systeme, Applikationen und Daten betroffen sind.
Was haben Angreifer verändert? Welche Beweise und Indizien gibt es dafür? Thomas Fischer und Craig Jones werden auf der diesjährigen DeepSec ein Training veranstalten, in dem man die Abläufe von Incident Response erlernen und ausprobieren kann. In solchen Situationen muss sehr strukturiert und sorgfältig vorgegangen werden. Die Übungen lehren auch wie man Bedrohungen in der eigenen Infrastruktur oder Organisation findet bevor sie potentielle Angreifer ausfindig machen. In den zwei Tagen des Trainings werden alle Aspekte dieser Vorgehensweise ausgeführt. Die Teilnehmerinnen lernen auch die notwendigen Werkzeuge kennen, die in solchen Fällen benötigt werden.
Einbrüche bleiben lange unbemerkt
Leider werden kompromittierte Systeme oft nicht sofort entdeckt. Fähige Gegner vermeiden es entdeckt zu werden, um möglichst lange von dem Einbruch zu profitieren. Die Zeitspanne zwischen Angriff und Entdeckung bewegt sich im Bereich von Wochen bis zu vielen Monaten. Man kann diesen Zeitraum verkürzen, indem man sich eingehend mit dem Normalbetrieb der eigenen Infrastruktur auseinandersetzt und versucht Abweichungen zu erkennen. Peter Manev und Eric Leblond, Spezialisten auf dem Gebiet der Netzwerkeinbruchsanalyse, lehren in einem zweitägigen Training an Hand von Beispielen wie das funktioniert. Beide sind seit über 10 Jahren im Entwicklungsteam der Network Intrusion Detection Software Suricata tätig. Sie haben durch ihre Arbeit tiefen Einblick in die Vorgänge von Netzwerkübertragungen und sehr viel Erfahrung im Finden von Anomalien.
Das Training wird echte Daten von historischen Vorfällen verwenden, um direkt Techniken ausprobieren zu können. Neben dem Umgang mit den Werkzeugen zur Entdeckung, lernt man auch den Einsatz von Ködern, um Angreifer leichter entdecken zu können. Darüber hinaus wird vermittelt wie man Fehlalarme und echte Alarme besser auseinander halten kann.
Bestehende Daten nutzen, neue Angriffe erkennen
Wege zur Erkennung von Ereignissen sind oft schon vorhanden. Logdaten sind in allen Bereichen der IT vorhanden. Systeme und Applikationen generieren selbst Daten, die extrem hilfreich für die Verteidigung sind. Xavier Mertens zeigt in seinem Workshop wie man diese Schätze hebt. Er wird Techniken zur Anomalieerkennung auf Systemen (OSSEC im Speziellen) mit extern verfügbaren Informationen kombinieren, um das Bild der Lage zu schärfen. Diese sogenannten Open Source Intelligence (OSINT) Quellen liefern wichtige Daten zur Ergänzung. Xavier Mertens wird mit Beispielen vermitteln wie man diese Daten in die eigene Verteidigung richtig integriert. Sein Workshop ist für erfahrene IT Administratoren gedacht, die den Stand ihrer Verteidigungsmaßnahmen steigern möchten.
Vermutungen sind immer fehl am Platz
Bei der Untersuchung von Sicherheitsvorfällen darf es keine Spekulationen geben. Alle Erkenntnisse müssen auf Fakten beruhen, die aus der Analyse der verfügbaren Daten stammen. Das ist ein wichtiger Punkt, an dem oft schwere Fehler begangen werden. Es schleichen sich gerne Annahmen ein, die sich im Laufe der Abhandlung des Vorfalls verfestigen. Man entwickelt dann gerne einen Tunnelblick und interpretiert Informationen nur einseitig. Das gilt es zu vermeiden. Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Vorfälle, die Daten von Kunden oder Dritten betreffen, natürlich gemeldet werden. Das steht nicht im Widerspruch keine Annahmen zu verbreiten, sondern bestätigt das Vermeiden von Spekulationen.
Es gibt zahlreiche Beispiele in aktuellen und vergangenen Nachrichtenmeldungen. Das Datenleck im Jahre 2017 bei Equifax, einem US-amerikanischen Finanzdienstleistungsunternehmen mit Hauptsitz in Atlanta im Bundesstaat Georgia, ist gut dokumentiert. Ohne Details bekannt zu geben, wurden Betroffene aufgefordert auf einer Webseite eine Teil ihrer Sozialversicherungsnummer einzugeben. Der Zweck sollte die Feststellung sein, ob eigene Daten kopiert wurden oder nicht. Dieser Schnellschuss führte zu viel größerer Unsicherheit, die durch Nachbesserungen und zusätzliche Erklärungen nicht nachhaltig verbessert wurde. Antworten, die zu mehr Fragen führen, sind keine sinnvolle Erklärung. Sie führen maximal zu mehr medialer Reichweite, weil die Öffentlichkeit dann mit spekulieren kann. In einem seriösen Kontext hat dieser Ansatz nichts zu suchen.
Die angebotenen Trainings zur DeepSec Konferenz sind als Hilfestellung gedacht, um in einem angenehmen Umfeld Erfahrungen im Umgang mit Sicherheitsvorfällen zu sammeln und Prozesse für den Ernstfall sinnvoll gestalten zu können.
Programme und Buchung
Die DeepSec 2019 Konferenztage sind am 28. und 29. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 26. und 27. November statt.
Der Veranstaltungsort für die DeepSec-Veranstaltung ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.
Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.
(Ende)
Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net/