Experten-Interview: Cyber Defence

Als Cyber Defence Analyst ist Marco Hauser Teil des Blue Teams. Er ist verantwortlich für die Verhinderung, Erkennung und Abwehr von Cyberattacken und im DFIR (Digital Forensic Incident Response) -Bereich tätig.

Als Cyber Defence Analyst im Blue Team des Cyber Defence Centers identifiziere und analysiere ich potenzielle Schwachstellen, Bedrohungen und versuche Cyberangriffe zu detektieren. Dafür nutze ich Sicherheitstools und -technologien wie bspw. SIEM, XDR, EDR, SOAR und DNS-Security.

Wie der Jobtitel erahnen lässt, gehört die Analyse natürlich zu meinem Job. Das umfasst die tiefere Analyse von Phishing Mails, Security Events der einzelnen Tools, sowie Malware, um die Funktionsweise zu verstehen und mögliche Gegenmassnahmen einzuleiten. Für Malware- oder Forensische Analysen haben wir ein eigenes Labor. Andererseits überwache ich auch nationale und internationale Bedrohungsinformationen, um auf neue Gefahren zu reagieren. Wenn diese ein Risiko für unsere Kunden darstellen, informieren wir sie darüber, so dass sie entsprechende Massnahmen einleiten können. Des Weiteren erstelle ich Playbooks, Arbeitsabläufe und Automatisierungen im SOAR. Zur frühzeitigen Erkennung von Angriffen entwerfe ich kundenspezifische Use Cases und Detection Rules sowie geeignete Exclusions zur Reduzierung von False Positives, damit kein relevanter Alert in der Flut untergeht.

Und natürlich stehe ich als Lead Analyst meinen Kunden persönlich zur Verfügung: Somit bin ich der erste Ansprechpartner, helfe bei Rückfragen und leiste Support bei Incidents, da ich die Infrastruktur des Kunden am besten kenne. Uns sind kurze Kontaktwege sowie die enge Betreuung wichtig.

Wir sind häufig mit komplexen Netzwerk- und Systemarchitekturen konfrontiert. Moderne Netzwerkinfrastrukturen und IT-Systeme umfassen eine Vielzahl von Komponenten, Applikationen, Diensten und Betriebssystemen – jede Kundeninfrastruktur ist individuell.

Besonders herausfordernd sind die fortschrittlichen Angriffstechniken, welche Angreifer nutzen, um Sicherheitsmassnahmen zu umgehen, wie z.B. durch Social Engineering, Zero Day Exploits oder gezielte und lang vorbereitende Angriffe. Ein Security Analyst muss daher über fundierte Kenntnisse in Bezug auf aktuelle Angriffstechniken und -trends verfügen und sich kontinuierlich weiterbilden, um möglichst up-to-date zu sein und effektive Gegenmassnahmen ergreifen zu können.

Sowohl als auch. Auf der einen Seite bin ich dafür verantwortlich, mögliche Bedrohungen und Angriffsvektoren zu analysieren und Sicherheitslücken ausfindig machen. Auf der anderen Seite bin ich auch in der Verteidigung tätig: Wenn ein Angriff stattfindet, ist es meine Aufgabe, schnell zu reagieren, den Angriff zu identifizieren, zu stoppen und das System zu schützen und den Schaden zu minimieren. Erhalten wir beispielsweise einen SIEM Alert, muss die Ursache ermittelt und entschieden werden, ob es sich tatsächlich um einen Incident handelt.

Wir sind ein eingespieltes Team mit klaren Rollen und Prozessen. Das sieht dann im Detail so so aus:

1. Ein Anruf geht bei uns im CDC ein. Zum Beispiel vermutet ein Unternehmen, Opfer eines Cyberangriffs zu sein, da Systeme zum Teil verschlüsselt sind.
2. Der kontaktierte Analyst verifiziert die Lage, um ein Bild des Ausmasses zu bekommen.
3. Er fordert bei Bedarf von weiteren Cyberspezialisten im Team Hilfe an und kontaktiert einen internen Krisenmanager.
4. Der Krisenmanager organisiert ein Kick-Off Meeting. Darin sind Ansprechpartner des Kunden, wir Analysten und ggf. andere Experten.
5. Erste Handlungsempfehlungen und Sofortmassnahmen werden genannt.
6. Danach identifizieren wir den Angriff und beschaffen Informationen zur Analyse.
7. Wichtig sind auch die administrativen und rechtlichen Themen betreffend
8. Danach starten die technischen und organisatorischen Tätigkeiten. Aus technischer Sicht heisst das, wir analysieren die Script-Daten und finden heraus, wie der Angreifer eingedrungen ist bzw. wie er sich bewegt hat und sichern funktionierende Systeme. Organisatorisch geht es vor allem um die Ressourcen- und Schichtplanung, Aktualisierung der Tasks sowie Dokumentation und Protokollführung.
9. Fortlaufende Synch-Meetings gewährleisten den Informationsfluss, so dass jeder den aktuellen Status kennt und wichtige Informationen dem Team mitteilen kann.
10. Zum Abschluss erstellen wir einen Report sowie ein separates Dokument mit Verbesserungsvorschlägen und übergeben die noch offenen Tasks.

Auf Platz 1 stehen ganz klar Phishing Mails als Eintrittsvektor. Phishing Mails sind oft sehr raffiniert und für ungeschulte Mitarbeiter schwer zu erkennen. Deshalb ist es wichtig, dass Benutzer sich der Risiken bewusst sind und lernen, wie sie Phishing Mails erkennen können, um sich und das Unternehmen zu schützen. Hierbei kann Awareness helfen.

Ein Unternehmen investierte viel Geld in eine teure Sicherheitslösung zur Endpoint Protection, um sich vor Cyberangriffen zu schützen. Doch als ein Hackerangriff am Wochenende stattgefunden hat, wurde klar, dass die Lösung nicht richtig konfiguriert sowie verwaltet wurde und somit wirkungslos war. Das System hat tausende Warnungen generiert und das Dashboard hat geleuchtet wie ein Weihnachtsbaum. Nur leider hat die Events kein Mensch gemonitort und zusätzlich war die Policy versehentlich im Audit-Modus aktiv. Sprich, der Angriff wurde frühzeitig erkannt, jedoch nicht geblockt und erst entdeckt, als die IT-Mitarbeiter aus dem Wochenende zurückgekommen sind. Auch hier sieht man die Wichtigkeit und den Nutzen eines externen Cyber Defence Services. Beispielsweise decken wir als CDC einen 24/7 Pikett-Support ab, womit dieser Angriff frühzeitig detektiert und mit Gegenmassnahmen abgewehrt worden wäre.

Kontaktieren Sie Marco Hauser unter hauser@netcloud.ch, wenn Sie Fragen zu seinen täglichen Cyber-Defence-Aufgaben haben.