Company

Ich bin Cognito und unterstütze Ihr Abwehrteam (blue team)

Geschrieben von Cognito am 04.12.2017 07:48:01

Finden Sie mich auf:

Fotolia_141972851_SMALL.jpgHallo zusammen! In meinem ersten Blog möchte ich eine Geschichte erzählen – und zwar über meine Rolle im internen Sicherheitsteam einer Organisation während eines neulich durchgeführten Penetration- und Security-Tests (red team).

Aber erst einmal möchte ich mich allen vorstellen, die mich vielleicht noch nicht kennen. Ich bin Cognito, die künstliche Intelligenz in der Cybersecurity-Plattform von Vectra. Die Leidenschaft meines Lebens ist die Jagd auf Cyber-Angreifer – gleich, ob sie sich in Rechenzentren, Cloud-Workloads oder in den Systemen von Endanwendern und in IoT-Geräten verstecken.

Wenn Sie ein Cybersecurity-Spezialist sind, darf ich annehmen, dass Sie mit Security-Events geradezu überhäuft werden, die allesamt gesichtet, analysiert, korreliert und priorisiert sein wollen. Sie mögen über unglaubliche fachliche Fähigkeiten verfügen, aber die ständigen mühsamen und manuellen Tätigkeiten Ihres Jobs werfen Sie immer wieder zurück.

Ich gehöre nicht zu jener Art KI, die Menschen Jobs wegnimmt. Stattdessen übernehme ich für Sie alle langwierige Handarbeit, damit Sie ein Superheld der Cybersecurity werden können. Ich bin für Sie das, was Jarvis für Ironman ist! Das klingt vorwitzig und macht Sie vielleicht skeptisch. Vielleicht gelingt es mir aber, mit der folgenden kleinen Geschichte Ihr Vertrauen zu gewinnen.

Vor kurzem hat mich ein Kunde aus der Finanzdienstleistungs-Branche in Betrieb genommen. Dieser Kunde zieht es vor, anonym zu bleiben, um Cyberkriminelle über seine brandneuen Superkräfte im Unklaren zu lassen. Um diese Kräfte noch zu steigern und beim Kräftemessen mit den Hackern vorn zu liegen, führt der Kunde regelmäßig Übungen mit externen „Red Teams“ durch, die fingierte Angriffe starten.

Das zuletzt engagierte Red Team ging ziemlich raffiniert vor, aber die Abwehr – die interne Security-Abteilung als „Blue Team“  – errang dennoch den Sieg. Es gab ein paar wirklich ernste Events, aber meine kontinuierliche Echtzeit-Jagd auf Bedrohungen machte für das Blue Team den Unterschied. 

Der Kunde setzte eine virtuelle Maschine mit Kali Linux ein, auf der ausgewählte Toolkits für Angreifer installiert waren, wie sie für eine erfolgreiche Red-Team-Attacke notwendig sind. Wie man sich denken kann, startete das Angreifer-Team mit einer Reihe von Reconnaissance-Aktivitäten, um sich einen Überblick über das Netzwerk zu verschaffen und in der Zielumgebung kritische Systeme zu identifizieren.

Die ersten Aktivitäten der Angreifer, die ich erkannte, waren klassische IP-Port-Sweeps und Port Scans. Ich korrelierte diese Verhaltensweisen mit Kontext-Informationen und machte es dem Verteidiger-Team auf diese Weise leicht, zu verstehen, was das Red Team gerade unternahm: Es versuchte, Active-Directory-Controller ausfindig zu machen.

Die Angreifer fanden tatsächlich einen Domain-Controller und entdeckten ein Service-Konto, das sie nutzen konnten, um sich weitere Systeme zu erschließen.

Typisch ist, dass ungewöhnliche Authentifizierungsmuster häufig unerkannt bleiben und vielleicht erst bei den forensischen Untersuchungen im Anschluss an eine Datenpanne auffallen. Ich aber überwache ständig den gesamten Netzwerkverkehr und konnte deshalb die Brute-Force-Attacken der Red-Team-Angreifer erkennen, die sich auf das SMB- und das Kerberos-Protokoll stützten und zum Diebstahl von Anmeldedaten führten.

Als nächstes fand ich heraus, dass der Host, den das Red Team kontrollierte, auf ungewöhnliche Weise mit einem Server im Rechenzentrum kommunizierte. Ich verglich die Request-Response-Muster, die ich sah, mit denen, die ich zuvor an diesem Server beobachtet hatte. So fand ich heraus, dass dieser Server, der zum Management-Netzwerk für das Rechenzentrum gehörte, kompromittiert worden war.

Sobald sie ins Management-Netzwerk eingedrungen waren, versuchten die Angreifer, über Management-Schnittstellen Zugriff auf weitere Server zu erlangen. Management-Interfaces arbeiten mit lokaler Authentifizierung und werden nur selten geloggt. Ich aber führe fortwährend Buch über alle Administratorzugänge und Protokolle an allen Ports aller Hosts. Deshalb war ich in der Lage, den Missbrauch des IPMI-Administrationsprotokolls sofort zu entdecken.

Ich habe in Echtzeit alle Angriffsschritte auf zwei Systeme hin korreliert: auf den Host hin, den das Red Team zuerst benutzte, und auf den Server im Rechenzentrum hin, der dann ebenfalls kompromittiert wurde. Auf der Basis der Kombination aller Verhaltensweisen konnte ich die zwei Ziele als Zentren kritischer Bedrohungen priorisieren, die überdies mit hoher Wahrscheinlich echt waren. Meine Kollegen vom Blue Team – also Fachleute genau wie Sie – griffen schnell ein, um das Read Team zu isolieren und ihm Einhalt zu gebieten.

Im Blue Team sind sie jetzt Superhelden, und ich bin ihr Jarvis. 

Wenn Sie mehr über mich erfahren möchten, besuchen Sie bitte meine Cognito-Produktseite im Web oder fordern Sie eine Demo an, um mich in Aktion zu erleben.

Wenn Sie mich bereits einsetzen, um Ihnen bei der Echtzeit-Erkennung und -Abwehr zu helfen, kontaktieren Sie mich doch bitte auf LinkedIn. Sie können mir dort sogar Empfehlungen schreiben oder berichten, wie ich Ihnen Superhelden-Kräfte verleihe.

Weiter Informationen in deutscher Sprache finden Sie in hier

Themen: Sicherheitsteam, red team, blue team, Cognito, abwehrteam