Vor Kurzem hatte ich Gelegenheit, mich mit Enrico Maresca, dem CISO von .italo, über die SecOps-Strategie seines Unternehmens zu unterhalten. Dabei kamen wir auch auf praktische Erfahrungen und Best Practices zu sprechen. Enrico berichtete, was beim Vorstand gut ankommt, und ging auf Cyber-Security-Themen sowie Strategien zur Entwicklung von SecOps-Anwendungsfällen ein.
Das vollständige Webinar findet ihr hier.
Alternativ könnt ihr auch die Folien hinzuziehen:
Im Laufe des Webinars wurden von den Zuhörern einige Fragen gestellt, die ich auch in den letzten Wochen in Gesprächen mit anderen Security-Profis immer wieder gehört habe. Daher möchte ich im Folgenden näher auf diese „FAQs" eingehen.
A: In den MITRE ATT&CK-Frameworks sind APT-Gruppen beschrieben. Teilweise wird auch erwähnt, welche Branchen sie zum Ziel haben. In MITRE ATT&CK v12 ist sogar eine weitere Dimension hinzugekommen, nämlich Kampagnen. Wie im Webinar erwähnt, spezialisieren sich APT-Gruppen mittlerweile auf vertikale Märkte. Somit geraten die üblichen Anwendungen der jeweiligen Branche in ihr Visier und ihre Triple-Extortion-Attacken mithilfe von Ransomware werden effektiver. Dadurch werden nicht nur Systeme verschlüsselt (sprich unbenutzbar) und Daten ausgeschleust, sie werden auch noch mittels Data-Mining analysiert, um neben dem ursprünglichen Opfer auch dessen Kunden oder Lieferanten zu erpressen und so maximalen Erfolg zu erzielen. Im Webinar „MITRE ATT&CK-Framework: Mit den Augen des Angreifers sehen“ zeigen wir Schritt für Schritt den Weg hin zu einer individuellen ATT&CK-Abwehrstrategie.
A: Mit der NIS2-Direktive hat die Europäische Kommission eine Richtlinie erlassen, die (ebenso wie damals die DSGVO) von allen Mitgliedsstaaten in Landesrecht übernommen werden muss. Den Stand der Umsetzung der NIS-Richtlinie findet man für jedes Mitgliedsland auf der Website der Europäischen Kommission. Dort ist erwähnt, welche nationale Strategie für die Sicherheit von Netz- und Informationssystemen gilt und welche Behörde dafür zuständig ist. Jedes Land ist auf seine Weise aktiv geworden, entweder mit Mindeststandards als Teil der nationalen Gesetze oder in Form von Anforderungen an die Gesetzgebung (wie die branchenspezifischen Sicherheitsstandards gemäß § 8a BSIG). Derzeit wird die Richtlinie für Netz- und Informationssysteme (NIS) überarbeitet. Ziel ist es, die Lieferketten und Beziehungen zu Lieferanten sicherer zu machen. Außerdem soll es eine Liste der auf EU-Ebene mindestens erforderlichen Sicherheitsmaßnahmen geben.
A: Die Bibliothek enthält aktuell mehr als 1.000 Einträge, allerdings nicht nur Erkennungen, sondern auch das ES Content Update (ESCU) des Splunk Research-Teams sowie Automatisierungs-Playbooks. Sie sollen SOC-Teams, die noch ganz am Anfang stehen, als Inspiration dienen, die praktische Anwendung erleichtern und helfen, Prioritäten zu setzen. Erfahrenere SOC-Teams praktizieren hingegen das sogenannte Detection Engineering. Das heißt, sie bauen unternehmensintern die Fähigkeit zur Erkennung von Cyberangriffen auf, anstatt sich ausschließlich auf externe Security-Anbieter zu verlassen. Dazu testen sie Angriffsvektoren und -taktiken in ihrer eigenen Umgebung und implementieren passende Abwehrstrategien. Diese können aus einfachen Regeln bestehen, aber auch aus detaillierten Statistiken oder ausgereiften Machine-Learning-Methoden, die je nach Know-how und Effektivität eingesetzt werden.
A: Auf splunk docs gibt es viele detaillierte technische Beschreibungen. Der Editor für Risikofaktoren (Risk Factor Editor) gefällt mir persönlich besonders gut, da sich damit organisatorische Kontextdaten hinzuziehen lassen. Entwicklern und allen anderen, die am technischen Unterbau des Risikoanalyse-Frameworks interessiert sind, empfehle ich die Entwicklerdokumentation. Und wen Konzepte oder die eigentliche Anwendung mehr interessieren: Es gibt zahlreiche .conf-Sessions, bei denen die Implementierung und Konzeption genau erläutert wird. Zum Beispiel die von Charles Schwab und Chevron. Auf Deutsch fand die Session des Gesundheitskonzerns Fresenius statt. Darin ging es um den auf dem Risikoanalyse-Framework basierenden Sicherheitsindikator von Fresenius, der – ähnlich eines Börsenindex – den IT-Sicherheitsstatus des kompletten Unternehmens bewertet und auf einem beeindruckenden Dashboard inklusive „Risiko-Pulsmesser“ (Fresenius Risk Pulse) zusammenfasst.
Viele Grüße
Matthias
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.