Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

National Computer Security Day

National Computer Security Day

National Computer Security Day

Wie jedes Jahr am 30. November feiern wir heute den National Computer Security Day. Diesen Anlass möchten wir nutzen und auf die interessante Geschichte des National Computer Security Days eingehen.

Am 2. November 1988 entdeckten Forscher der Cornell University einen unbekannten Virus, der in ihren Computersystemen lauerte. Innerhalb von vier Stunden nach seiner Entdeckung drang der „Morris-Wurm“-Virus in mehrere andere Universitätssysteme sowie in das ARPANET ein, eine frühe Version des heutigen Internets.

Sechs Tage später empfahlen zwei Computerexperten der US Defense Advanced Research Projects Agency (DARPA), ein „National Computer Infection Action Team“ (NCAT) zusammenzustellen, das rund um die Uhr an 365 Tagen im Jahr auf diese Art von Angriffen reagieren sollte. Am 14. November gründete das Software Engineering Institute (SEI) ein mit der Carnegie Mellon University verbundenes Forschungszentrum: Das Computer Emergency Response Team (CERT).

1988 ging der National Computer Security Day aus einem Teilbereich der Association for Computing Machinery’s (ACM) Special Interest Group on Security, Audit, and Control aus Washington, D.C. hervor, um das Bewusstsein für Cyberkriminalität und Viren zu schärfen. Laut einem „Networld“-Artikel aus dem Jahr 2004 wurde der 30. November für den CSD gewählt, damit die Aufmerksamkeit für die Computersicherheit während der Weihnachtszeit hoch bleibt.

Die Message des National Computer Security Days ist eindeutig: Jede Person sollte proaktiv handeln, um sich und das Umfeld vor Gefahren im Cyber-Raum zu schützen.  So hat dieser Aktionstag bis heute nicht an Aktualität verloren.

Quelle:

https://nationaltoday.com/national-computer-security-day/

Immer auf der Hut: Warum Security Analysten im Blue Team einen aufregenden Job haben

Immer auf der Hut: Warum Security Analysten im Blue Team einen aufregenden Job haben

Immer auf der Hut: Warum Security Analysten im Blue Team einen aufregenden Job haben

Für eine heutige erfolgreiche Unternehmensdigitalisierung ist eine vollumfängliche IT-Sicherheitsstrategie, die unter anderem das Ausfallrisiko minimiert, Schutzmaßnahmen vor Hackern beinhaltet und ein konzeptionelles Notfallmanagement vorsieht, unabdingbar. Tim Loosen ist Teil des Blue Teams bei der Certified Security Operations Center GmbH (CSOC) in Bornheim und wir durften ihm ein paar Fragen zu seinem Job und Alltag stellen.

Wie bist du zur CSOC gekommen und seit wann bist du hier schon tätig?

Damals in der Schule hatte ich als Wahlpflichtfach Cyber Security belegt und merkte schon nach den ersten Einblicken, dass dies mein Thema ist. Für mich war es immer sehr wichtig, einen abwechslungsreichen Beruf auszuüben, in dem ich viele verschiedene Aspekte erleben kann und nicht durchgehend einseitige Arbeiten mache, wie z.B. „nur“ zu programmieren. Es sollte einfach nicht so schnell langweilig werden und eine gewisse Abwechslung gegeben sein.

Ich bin nun seit anderthalb Jahren bei der CSOC beschäftigt und habe vorher an dem Heinrich-Hertz-Europakolleg der Bundesstadt Bonn bei der Technisch-Mathematische Studiengesellschaft mbH eine Ausbildung als Fachinformatiker in der Systemintegration absolviert.

Wie sieht dein typischer Arbeitstag im CSOC aus?

Bei uns gibt es keinen typischen Tag, der immer gleich abläuft. Einer der größten Aufgabenbereiche beinhalten die Schichten. Das heißt, wir haben verschiedene Schichten in der Leitstelle, die diverse Aufgaben mit sich bringen. Es ist ganz unterschiedlich, wie oft man in der Woche Schichten hat. Das kann von mindestens einmal die Woche, bis zu fünfmal die Woche sein. Themenschwerpunkt bei dieser Aufgabe ist es, die Alarme, die reinkommen, zu bewerten und diese auf Kritikalität zu prüfen. Ansonsten beschäftigen wir uns viel mit den Daten der Bestandskunden, die auf Vollständigkeit, Richtigkeit und Funktionalität geprüft werden müssen. Dies erfolgt mit den Routine-Datenanalysen. Ein weiterer Arbeitsbereich ist das Onboarding von neuen Kunden, im Rahmen dessen wir mit den Kunden gemeinsam die neuen Regeln anschauen. Jeder Kunde hat eine andere Infrastruktur und hat eine andere Netzwerkumgebung, deswegen ist auch dies nie gleich. Darüber hinaus betreuen wir verschiedene interne Projekte und sind für diese zuständig, wie Wissensdatenbank, Ticket-System und noch vieles mehr. Man sieht also, es ist sehr abwechslungsreich und selten die gleiche Arbeit.

Was ist das Aufregendste, was du je in deinem Job erlebt hast?

Es ist immer aus Sicht von Analysten ein Spannungshighlight, wenn die Wahrscheinlichkeit besteht, dass eine Kundeninfrastruktur angegriffen wurde. Hier untersucht unser Team dann alles ganz genau und sucht nach virtuellen Fußabdrücken (Footprints), um dadurch im Idealfall die Ursache des Problems herauszufinden und nachzuvollziehen, was genau passiert ist, um dann den Kunden optimal zu unterstützen. Es passiert nicht sehr häufig, dass ein klarer Angriff beobachtet und tiefgreifend analysiert werden muss, daher ist dies ein sehr spannendes Ereignis und für mich bisher das Aufregendste.

Welche Gedanken und Gefühle hattest du während des ersten Incidents?

Es war mein erster Angriff, daher Angst, Spannung, Aufregung und Hunger, weil die Mittagspause später stattfinden musste. Generell konnte ich aber von diesem Vorfall mitnehmen, dass wir in der Leitstelle immer auf der Hut sein müssen. Besonders wenn Alarme analysiert werden, muss man sich bewusst sein, welche Entscheidung hier getroffen wird und welche immensen Auswirkungen diese mit sich bringen kann. Es existiert wenig Spielraum für Fehler, da schon die kleinsten Fehler verheerende Auswirkungen haben können, somit gibt es keinen Platz für Unsicherheiten.

Wie würdest du euer SOC als Unternehmen und euer Team beschreiben?

Die Firmenstruktur ist eher klein, was aber auch mehr Flexibilität in der Arbeitsweise ermöglicht, was man in großen Unternehmen so nicht kennt, da es hier lange Freigabeprozesse benötigt. Bei uns herrscht eine flache Hierarchieebene, es ist alles sehr nah und daher haben wir kurze Kommunikationswege, was die Arbeit erleichtert. Zudem ist bei uns eine lockere und freundschaftliche Atmosphäre vorzufinden. Besonders hervorheben würde ich hier auch meine Kolleginnen und Kollegen, ohne sie wäre vieles nicht möglich. Man muss verstehen, dass ein Team unverzichtbar ist, da eine einzelne Person nicht alles wissen kann. Wir haben eine Wissensdatenbank aufgebaut, um die verschiedenen Kenntnisse der Team-MitgliederInnen zu bündeln und wir stehen in reger Kommunikation miteinander. Wir lernen viel voneinander und unterhalten uns über diverse Themen, falls Fragen bestehen. Mir war besonders wichtig, dass es auch Weiterbildungsmöglichkeiten gibt und auch Teamevents, die Spaß machen.

Was meinst du, welche Skills muss man mitbringen, um Analyst in einem Blue Team zu werden und was würdest du einer Person empfehlen, die bei euch anfangen möchte?

Man sollte bereits ein umfangreiches IT-Grundwissen mitbringen und ein Auge für das Wesentliche haben. Des Weiteren ist es unerlässlich, eine gewisse Affinität für das Thema Cyber Security mitzubringen. Hier handelt es sich um einen leidenschaftlichen Beruf, der sich stetig weiterentwickelt und so nicht nur ein berufliches, sondern auch ein privates Thema für jemanden darstellen sollte. Zudem sollte man belastbar sein und auch ein starkes Durchhaltevermögen haben.

Jeder Person, die sich für diesen Beruf interessiert, würde ich mitgeben, dass es eine Notwendigkeit ist für das Thema zu brennen, denn nur so kann man Spaß an der Sache finden und auch präzise arbeiten. Ich würde den Job als unglaublich abwechslungsreich und als zukunftssicher beschreiben, denn der Bereich Cyber Security gewinnt mehr und mehr weltweit an Bedeutung. Deswegen würde ich diesen Beruf jedem empfehlen, der den Spaß und die Begabung mitbringt.

Und zum Abschluss: Cyber Security ist wichtig, weil …

wir ohne, Hackern schutzlos ausgeliefert und gefährdet wären.

Vielen Dank für das Interview Tim!

„Mittendrin statt nur dabei“ – CSOC-Inside wieder ein voller Erfolg

„Mittendrin statt nur dabei“ – CSOC-Inside wieder ein voller Erfolg

„Mittendrin statt nur dabei“ – CSOC-Inside wieder ein voller Erfolg

Am 03.11.2022 fand erneut unser alljährliches Kundenforum „CSOC-Inside“ in Bornheim statt. Rund 20 Teilnehmer hatten wieder einmal die Möglichkeit sich untereinander auszutauschen, ihre Überwachungsdaten live in unserer Leitstelle einzusehen und unser SOC aktiv mit uns weiterzuentwickeln.

Einführend gaben unsere Geschäftsführer Joerg Lammerich und Stefan Möller einen Rückblick auf das vergangene Geschäftsjahr und die aktuelle Risikolage. Viele neue Kunden, 18.000 neue Eventdatenquellen, die Umstellung auf eine 24/7 Überwachung und neue Standorte in Berlin und Hannover: Das vergangene Jahr hatte viel zu bieten.

Doch neben dem Rückblick auf die letzten Monate stand vor allem auch die Weiterentwicklung unseres SOC im Fokus. Im Rahmen einer sehr konstruktiven und aktiven Atmosphäre stellten wir den Teilnehmern in diesem Kontext unser neues User Interface vor. Die neuen Features wurden sehr intensiv reflektiert und auf Herz und Nieren geprüft.

Die Anforderungen unserer Kunden mit unserem SOC abzubilden, steht für uns stets im Zentrum unserer Arbeit. Daher sind wir sehr dankbar für den wertvollen Input aller Teilnehmer. Dies hilft uns sehr dabei, unser SOC und die angrenzenden Services im Sinne unserer Kunden noch besser zu gestalten. Somit war das diesjährige „CSOC-Inside“ wieder einmal ein voller Erfolg und wir freuen uns schon aufs nächste Jahr!

FIN-Flood-Angriff setzt Firewall außer Kraft

FIN-Flood-Angriff setzt Firewall außer Kraft

FIN-Flood-Angriff setzt Firewall außer Kraft

Ein FIN-Flood-Angriff (DDoS-Angriff) ist eine Angriffstechnik, die Netzwerke mit Paketen eines bestimmten Typs, d. h. mit gefälschten Quelladressen, gefälschten Ports und aktiviertem FIN-Flag
überschwemmt, um Systeme zu überlasten. Die Folge ist die Überflutung mit einer hohen Anzahl an FIN-Paketen ohne vorangegangenem TCP-Handshake.

In unserer SOAR (Security Orchestration Automation and Responses) erschien kürzlich das Security Event ‚Multiple firewall warning messages.‘. Wir untersuchten das Event umgehend im SIEM (Security Information Event Management) und fanden in den Firewall Logs die Log Event Messages ‚Administrator login denied due to bad credentials‘, ‚Access rule added‘ und ‚Machine Removed From FIN Flood Blacklist‘. Anschließend erschien in der SOAR mehrfach das Event ‚Possible FIN Flood‘. Wir informierten den betroffenen Kunden umgehend über unser Ticket-System und riefen ihn an, sodass Sofortmaßnahmen ergriffen werden konnten. Es stellte sich heraus, dass die betroffene Firewall eine veraltete Version aufwies und somit eine fatale Schwachstelle enthielt. Ein Angreifer hatte sie ausgenutzt, um die Firewall außer Gefecht zu setzen. Eine tiefgehende Netzwerkanalyse bestätigte jedoch glücklicherweise, dass keine weiteren Systeme kompromittiert waren.

Wie können Sie Flood-Angriffe präventiv umgehen?

Der Flood-Vektor verfolgt Pakete pro Zieladresse. Pakete an ein bestimmtes Ziel, die die definierten Single Endpoint Flood-Kriterien erfüllen und die Ratenbegrenzung überschreiten, werden verworfen. Das System kann solche Angriffe mit einem konfigurierbaren Erkennungsschwellenwert erkennen und Pakete von einer Quelle begrenzen, wenn der Erkennungsschwellenwert erreicht ist.
Floods können jedoch mit einer viel höheren Rate auftreten. Halten Sie Ihre Hard- und Software stets aktuell bzw. rollen Sie zeitnah Updates aus.

Welche Firewall-Hersteller sind am sichersten?

Eine Firewall vermittelt ein Gefühl von Sicherheit, diese ist jedoch nur gewährleistet, wenn Sie sie auf den neusten Stand halten. Dies kann Ihnen kein Hersteller zu 100% garantieren. Es ist daher von immens hoher Bedeutung, Sicherheitslücken bei Bekanntwerden so schnell wie möglich zu schließen. Der beschriebene Vorfall zeigt noch einmal die Wichtigkeit der Anbindung an ein SOC, weil es Technik und Man-Power verbindet. Mithilfe eines SOC’s werden Ihr Netzwerk und Ihre IT-Systeme in Echtzeit überwacht und Sie werden über Unregelmäßigkeiten, verdächtige Auffälligkeiten und Threats umgehend informiert.

Wir feiern den Weltnormentag!

Wir feiern den Weltnormentag!

Wir feiern den Weltnormentag!

Jährlich am 14. Oktober wird der Weltnormentag von den Mitgliedern der IEC, ISO und ITU gefeiert, um die gemeinsamen Bemühungen von Tausenden von Experten weltweit zu honorieren. Sie investieren ihre Zeit, um die freiwilligen Vereinbarungen zu entwickeln, die dann als internationale Normen veröffentlicht werden und unsere verwendeten Produkte sicher und effizient zu gestalten.

Standards haben sich inzwischen als eine Schlüsselrolle für den technologischen Fortschritt entwickelt. Ohne sie wäre die Geschwindigkeit des Wandels, den wir erleben, nicht möglich. Innovatoren verlassen sich auf internationale Standards, wie die von IEC, ISO und ITU , um Kompatibilität und Interoperabilität zu gewährleisten, damit neue Technologien nahtlos übernommen werden können. Sie sind auch eine Treibkraft, um Wissen und Innovation weltweit zu verbreiten.

Auch wir als CSOC arbeiten an unserer ISO/IEC 27001 Zertifizierung um unsere Prozesse hinsichtlich der Informationssicherheit stetig zu verbessern.