Vor Kurzem hatte ich Gelegenheit, mich mit Enrico Maresca, dem CISO von .italo, über die SecOps-Strategie seines Unternehmens zu unterhalten. Dabei kamen wir auch auf praktische Erfahrungen und Best Practices zu sprechen. Enrico berichtete, was beim Vorstand gut ankommt, und ging auf Cyber-Security-Themen sowie Strategien zur Entwicklung von SecOps-Anwendungsfällen ein.
Das vollständige Webinar findet ihr hier.
Alternativ könnt ihr auch die Folien hinzuziehen:
Im Laufe des Webinars wurden von den Zuhörern einige Fragen gestellt, die ich auch in den letzten Wochen in Gesprächen mit anderen Security-Profis immer wieder gehört habe. Daher möchte ich im Folgenden näher auf diese „FAQs" eingehen.
F: Wie identifiziert man die APT-Gruppen welche in MEINER Branche speziell aktiv sind?
A: In den MITRE ATT&CK-Frameworks sind APT-Gruppen beschrieben. Teilweise wird auch erwähnt, welche Branchen sie zum Ziel haben. In MITRE ATT&CK v12 ist sogar eine weitere Dimension hinzugekommen, nämlich Kampagnen. Wie im Webinar erwähnt, spezialisieren sich APT-Gruppen mittlerweile auf vertikale Märkte. Somit geraten die üblichen Anwendungen der jeweiligen Branche in ihr Visier und ihre Triple-Extortion-Attacken mithilfe von Ransomware werden effektiver. Dadurch werden nicht nur Systeme verschlüsselt (sprich unbenutzbar) und Daten ausgeschleust, sie werden auch noch mittels Data-Mining analysiert, um neben dem ursprünglichen Opfer auch dessen Kunden oder Lieferanten zu erpressen und so maximalen Erfolg zu erzielen. Im Webinar „MITRE ATT&CK-Framework: Mit den Augen des Angreifers sehen“ zeigen wir Schritt für Schritt den Weg hin zu einer individuellen ATT&CK-Abwehrstrategie.
F: Wo finde ich die technischen und organisatorischen Anforderungen für Betreiber von kritischen Infrastrukturen?
A: Mit der NIS2-Direktive hat die Europäische Kommission eine Richtlinie erlassen, die (ebenso wie damals die DSGVO) von allen Mitgliedsstaaten in Landesrecht übernommen werden muss. Den Stand der Umsetzung der NIS-Richtlinie findet man für jedes Mitgliedsland auf der Website der Europäischen Kommission. Dort ist erwähnt, welche nationale Strategie für die Sicherheit von Netz- und Informationssystemen gilt und welche Behörde dafür zuständig ist. Jedes Land ist auf seine Weise aktiv geworden, entweder mit Mindeststandards als Teil der nationalen Gesetze oder in Form von Anforderungen an die Gesetzgebung (wie die branchenspezifischen Sicherheitsstandards gemäß § 8a BSIG). Derzeit wird die Richtlinie für Netz- und Informationssysteme (NIS) überarbeitet. Ziel ist es, die Lieferketten und Beziehungen zu Lieferanten sicherer zu machen. Außerdem soll es eine Liste der auf EU-Ebene mindestens erforderlichen Sicherheitsmaßnahmen geben.
F: Wie viele Erkennungen bietet Splunk Security Essentials?
A: Die Bibliothek enthält aktuell mehr als 1.000 Einträge, allerdings nicht nur Erkennungen, sondern auch das ES Content Update (ESCU) des Splunk Research-Teams sowie Automatisierungs-Playbooks. Sie sollen SOC-Teams, die noch ganz am Anfang stehen, als Inspiration dienen, die praktische Anwendung erleichtern und helfen, Prioritäten zu setzen. Erfahrenere SOC-Teams praktizieren hingegen das sogenannte Detection Engineering. Das heißt, sie bauen unternehmensintern die Fähigkeit zur Erkennung von Cyberangriffen auf, anstatt sich ausschließlich auf externe Security-Anbieter zu verlassen. Dazu testen sie Angriffsvektoren und -taktiken in ihrer eigenen Umgebung und implementieren passende Abwehrstrategien. Diese können aus einfachen Regeln bestehen, aber auch aus detaillierten Statistiken oder ausgereiften Machine-Learning-Methoden, die je nach Know-how und Effektivität eingesetzt werden.
F: Gibt es noch weitere Beispiele dazu, wie sich die Risk-Scores in Splunk ES nutzen lassen?
A: Auf splunk docs gibt es viele detaillierte technische Beschreibungen. Der Editor für Risikofaktoren (Risk Factor Editor) gefällt mir persönlich besonders gut, da sich damit organisatorische Kontextdaten hinzuziehen lassen. Entwicklern und allen anderen, die am technischen Unterbau des Risikoanalyse-Frameworks interessiert sind, empfehle ich die Entwicklerdokumentation. Und wen Konzepte oder die eigentliche Anwendung mehr interessieren: Es gibt zahlreiche .conf-Sessions, bei denen die Implementierung und Konzeption genau erläutert wird. Zum Beispiel die von Charles Schwab und Chevron. Auf Deutsch fand die Session des Gesundheitskonzerns Fresenius statt. Darin ging es um den auf dem Risikoanalyse-Framework basierenden Sicherheitsindikator von Fresenius, der – ähnlich eines Börsenindex – den IT-Sicherheitsstatus des kompletten Unternehmens bewertet und auf einem beeindruckenden Dashboard inklusive „Risiko-Pulsmesser“ (Fresenius Risk Pulse) zusammenfasst.
Viele Grüße
Matthias
