"banner top"

Incident Response - Jagd auf ungebetene Gäste

Download

Die Quantität und Raffinesse von Angriffen aus dem Internet auf IT-Infrastrukturen nimmt stetig zu. Betreiber von sicherheitskritischen IT-Infrastrukturen müssen immer schneller auf sicherheitsrelevante Zwischenfälle reagieren. Das neue CAS Security Incide

Nicht nur in der Cloud können Aussenstehende unerlaubt Zugriff auf Ihre vertraulichen Firmendaten erhalten. Sogar im eigenen Rechenzentrum sind Ihre Daten nicht mehr so sicher, wie Sie es gerne möchten, auch wenn Sie durch eine aktuelle Security-Infrastruktur vermeintlich gut geschützt sind. Die Angriffe aus dem Internet nehmen stets zu und werden immer raffinierter. Die Ziele der Angreifer reichen von Betrug, über «Hacktivismus », bis hin zur Industriespionage. Die Schweiz steht hier als hoch entwickelte Industrienation mit einer starken Abhängigkeit von IT-Infrastrukturen im Fokus der Angreifer. Die bittere Erkenntnis ist, dass es einem dedizierten Angreifer heutzutage beinahe immer gelingt, seinem Opfer Schaden zuzufügen. Die durchschnittliche Zeit, bis ein Angriff bemerkt wird, beträgt etwa ein Jahr. Darum reicht es heute nicht mehr, auf rein präventive Sicherheitsmassnahmen wie Firewalls oder Virenschutz-Software zu setzen. Vielmehr bedarf es eines Paradigmenwechsels, welcher der Erkennung und Behandlung von Angriffen eine höhere Bedeutung zumisst. Je früher ein Angriff erkannt wird, desto geringer ist der Schaden für die Firma.

Neues Paradigma bedingt neue Fähigkeiten
Im Zentrum dieses Paradigmenwechsels steht die Fähigkeit einer Organisation, sogenannte «Security Incidents » frühzeitig zu erkennen und effizient sowie zielgerichtet zu bewältigen. Hierzu werden spezialisierte «Computer Security Incident Response Teams» (CSIRT) etabliert, welche in der Lage sind, sicherheitskritische Zwischenfälle zuverlässig zu erkennen, zu analysieren und mit geeigneten Massnahmen schnellstmöglich wieder einen sicheren Betriebszustand herzustellen. Die Grösse und Ausprägung hängt stark von den Gegebenheiten der jeweiligen Organisation ab, ist aber sowohl für KMUs als auch grosse Unternehmen unerlässlich. Bei einer kleinen Organisation wird diese Aufgabe oft von einem interessierten Netzwerk- oder Systemadministrator zusätzlich zu anderen Aufgaben wahrgenommen. Grössere Unternehmen bauen eigene, spezialisierte Teams auf. Die Effektivität und Effizienz dieser Teams basiert einerseits auf deren Erfahrung und anderseits auf spezifischem technischem und organisatorischem «Know-how».

Hackeralarm: Einem Angreifer ist es offenbar gelungen, ins IT-System einzudringen.</br>Foto: Fotolia

CAS – Security Incident Management
Um diesen Paradigmenwechsel zu unterstützen, hat die Software Schule Schweiz, eine Abteilung des Departementes Technik und Informatik der BFH, im vergangenen Herbst den neuen CAS SIM («Certificate of Advanced Studies in Security Incident Management») ins Leben gerufen. Der CAS SIM hat zum Ziel, den Studierenden die für das Incident Management notwendigen Fertigkeiten zu vermitteln und somit das Sicherheitsdispositiv des Arbeitgebers der aktuellen Gefährdungslage anzupassen und den notwendigen Paradigmenwechsel zu vollziehen. Hierzu vermittelt das CAS SIM die technischen und organisatorischen Fertigkeiten, welche an Hand ausgedehnter und realitätsnaher Übungen und Fallstudien gefestigt werden.

Der CAS SIM richtet sich an Personen, die eine operative Security-Tätigkeit ausführen. Dies sind in der Regel Mitarbeitende eines CSIRT (Computer Security Incident Response Teams) oder eines CERT (Computer Emergency Response Teams). In kleineren Unternehmen sind es oft auch die System- und Netzwerkverantwortliche, welche nebst den betrieblichen Aufgaben zusätzlich diese Sicherheitsfunktionen als Security-Engineers wahrnehmen.
Um die Praxisnähe und Qualität des CAS SIM sicherzustellen, konnten Experten aus der Wirtschaft, vom Bund und der BFH als Dozenten gewonnen werden. Hier sei insbesondere die Mithilfe von MELANI/GovCERT (Melde- und Analysestelle Informationssicherung des Bundes) erwähnt, deren Experten den CAS SIM in der Durchführung und Planung tatkräftig unterstützen.
Der Studiengang setzt sich aus sechs verschiedenen Kursen zusammen, welche die vielfältigen Erfordernisse an einen Inicdent Responder abdecken. Die Tabelle gibt eine Übersicht über die in den verschiedenen Kursen behandelten Themen:

Bedrohung und Operational Security
  • Diskussion der aktuellen Bedrohungslage durch Experten von MELANI
  • Schutz der eigenen Identität, Umgang mit "Social Networks"
  • Schutz der eigenen Arbeitsmittel und Infrastruktur mittels Anonymisierung und geeigneter Verhaltensmassnahmen
  • Übersicht Malware und verwandte Angriffstechniken
Prävention
  • Vulnerability und Patch Management und die notwendigen Prozesse
  • Malware und Spam Protection
  • Penetration Testing
  • Betriebssytemsicherheit
  • Härtung von Linux und Windows Systemen
Detektion
  • Logfile Analyse
  • Network Intrusion Detection Systems (NIDS)
  • Host Intrusion Detection Systems
  • Kochbuchrezepte für die Angriffserkennung
Analyse
  • Disk Forensik
  • Memory Forensik
  • Dynamische Malwareanalyse
  • Malware Reverse Engineering
Reaktion
  • Technische Reaktion
  • Organisatorische Reaktion
  • IT Risikomanagement

Abgeschlossen wird der CAS mit einer Projektarbeit. In der Projektarbeit bearbeiten die Teilnehmer ein Projekt (evtl. Teilprojekt) oder eine Fragestellung aus ihrer Firma. Mit dem gewählten Thema vertiefen die Studierenden die im Studium erlernten Methoden und lernen sie in der Praxis anzuwenden. Die Arbeiten werden von einem auf die jeweilige Fragestellung spezialisierten Dozenten des CAS betreut.
Mit der Vielfältigkeit und Faszination des Themas einher geht dessen Komplexität. Diese Komplexität fordert von den Kursteilnehmern eine hohe Selbstmotivation sowie die Fähigkeit sich rasch mit neuen Technologien vertraut zu machen. Der CAS SIM ist legt somit den Grundstein zum Einstieg in ein hoch interessantes und relevantes Gebiet und für die weitere berufliche Entwicklung von zukünftigen Cybersecurity-Spezialisten. Die nächste Durchführung des CAS SIM beginnt im Herbst 2014.