Netcloud Experten erläutern: Cyber Defence Center

26.06.2019

Marcel Maeder ist eines der Asse im Ärmel der Netcloud in Sachen Cyber-Attacken. Er gehört zu den besten Nachwuchs-Hackern der Schweiz, startete 2012 im Security Team und hält nun als Senior Cyber Security Engineer die Stellung im Cyber Defence Center (CDC).

Marcel, du sorgst für die IT-Sicherheit der Kunden. Warum entscheidet sich eine Unternehmung überhaupt dafür, die Unterstützung des Netcloud Cyber Defence Centers zu beanspruchen?

Ein Hauptgrund ist sicher, dass Firmen zu wenig Leute haben, um die Security selbst solid zu betreiben. Es herrscht Zeitmangel; und die Sicherheit in dem Masse zu gewährleisten, ist mit hohem Aufwand verbunden. Wir sind sicher auch effizienter, denn oft fehlt kundenseitig die Ausbildung und Erfahrung.

 

Und wie könnt ihr genau helfen?

Der gesamte Prozess orientiert sich am NIST-Framework (identify, protect, detect, respond, recover). Zuerst finden wir heraus, was überhaupt alles im Netz ist, wie Hardware und Software kommunizieren, was normal ist und was nicht. Also eine Analyse der Sicherheitsarchitektur. Oft ist unbekannt, was für Geräte überhaupt am Netz sind. Das ist aufwendige Grundlagenarbeit, die wir vereinfachen können. Wir zeigen dann auf, wo Schwachstellen sind und was verbessert werden muss. Anschliessend bestimmen wir gemeinsam mit dem Kunden Use Cases, welche Ereignisse erkennt werden müssen und definieren entsprechende Prozesse. Zum Beispiel ob der Kunde informiert oder das Gerät vom Netz getrennt wird. Hier kommt auch das Business in Spiel. Was sind die Konsequenzen, wenn dieser Server offline ist? Steht dann die Produktion still? Das Business Continuity Management muss stimmen. Zuhören und Kundennähe sind in dieser Phase extrem wichtig.

Wenn jemand schon Kunde bei uns ist, kennen wir natürlich auch schon seine Produkte und können sehr gezielt helfen. Wir beleuchten dann die bestehende Infrastruktur noch aus dem Blickwinkel der Cyber Security.

 

Wie geht ihr vor, wenn ein interessiertes Unternehmen dann tatsächlich die Cyber Defence Services beziehen will?

Nach der Analyse und Beratung installieren wir den massgeschneiderten, modularen Stack – und zwar vor Ort beim Kunden, da die Daten bei ihm bleiben. Dafür nehmen wir Logs auf, klären die Grössenordnung ab und definieren, wie lange die Daten aufbewahrt werden. Dieser Stack kann jederzeit erweitert oder verkleinert werden. Ist alles installiert, gehen wir in den Betrieb über, die Alerts kommen in unser zentrales System und wir bearbeiten diese, teils auch automatisiert. Das heisst zum Beispiel, dass Mails automatisch generiert werden.

 

Stimmt es, dass die grösste Schwachstelle nach wie vor der Mensch selbst ist?

Das glaube ich nicht wirklich. Denn in einer sicheren Umgebung beschädigt der User kaum etwas, da ihm die Rechte fehlen und er nicht beliebige Sachen ausführen kann. Er sollte nur das dürfen, was er effektiv im Arbeitsalltag benötigt. Wieso sollte jeder User Makros ausführen? Oder Software installieren? Mit Whitelisting fangen wir diesbezüglich viel ab. Wenn beispielsweise eine Policy bestimmt, dass keine privaten Programme erlaubt sind, gibt es nur zwei Fälle: Entweder verstösst jemand gegen die Richtlinien oder es ist eine Bedrohung, aber beides kann eingedämmt werden. Der User ist insofern eine Schwachstelle, wenn er unsichere oder dieselben Passwörter verwendet. Aber handkehrum: Wieso gibt es dann keine Zwei-Faktoren-Authentisierung? Der User kann bis zu einem gewissen Grad aus der Schuld genommen werden.

 

Wie regiert ihr, wenn tatsächlich ein Zwischenfall passiert und eine Bedrohung in ein System eingedrungen ist?

Grundsätzlich gibt es zwei Szenarios: Wir entdecken den Zwischenfall und reagieren gemäss dem definierten Prozess. Dieser ist auf den Kunden zugeschnitten respektive auf den bereits erwähnten Use Case. Der zweite Fall ist, dass ein Kunde bei uns anruft. Dies ist schwieriger, da wir zuerst herausfinden müssen, was das Problem ist. Denn offenbar existierte dafür noch kein Use Case. Wir trennen dann zum Beispiel die Netze oder bauen sogar parallel ein neues auf; das Vorgehen ist je nach Bedrohungsart verschieden. Es kann auch sein, dass nur das System bereinigt werden muss.

 

Wie hilft Dir deine Erfahrung beim Hacken bei der Arbeit im CDC?

Der Perspektivenwechsel hilft insofern, da ich die Funktionen der Attacken und deren Aufbau besser kenne und weiss, worauf sie abzielen. So kann ich eine Attacke gleich selber ausführen und testen, ob das System diese erkennt. Weiter hilft es auch bei der Absicherung der Kundensysteme. Ich habe ein paar Attacken im Kopf und überlege, wo die Schwachstellen sind und wie die Angriffe am besten abgewehrt oder aufgedeckt werden.

 

Sie sind für die IT-Sicherheit verantwortlich und suchen eine professionelle Lösung? Dann vertrauen Sie unseren Cyber Security Engineers, die Tag und Nacht über Ihre IT-Infrastruktur wachen. Kontaktieren Sie Markus Michalek, Solution Account Manager, um mehr über die Cyber Defence Services zu erfahren oder gleich einen Beratungstermin zu vereinbaren >

 

Share on Facebook
Share on Twitter
Please reload