Ausgewählter Artikel

Vereiteln Sie Angriffe und geben Sie es weiter: Die Security Incident Response von F5 geht aufs Haus

SIRT-Bild

Die meisten Angreifer haben es nicht auf Sie abgesehen. Zumindest nicht am Anfang. Sie verfolgen im Allgemeinen einen äußerst umfassenden Ansatz und greifen dann Organisationen an, die die spezifische Schwachstelle aufweisen, die sie ausnutzen möchten. Sofern Sie kein besonders wertvolles Ziel sind (denken Sie an den Finanzsektor, den Einzelhandel oder die Regierung), geht es nicht um Sie. Wahrscheinlich verfügen Sie einfach zufällig über die gesuchte Schwäche – was zugegebenermaßen kein großer Trost ist, wenn Sie angegriffen werden.

Aus der Perspektive der Angreifer ist erkennbar, dass sie in der Regel überall nach den gleichen Dingen suchen, sodass ein Wissensaustausch theoretisch äußerst vorteilhaft ist. In der Praxis schlägt dieser Ansatz jedoch meist fehl, da die meisten Organisationen nicht über einen Mechanismus verfügen, um a) Lehren aus früheren Sicherheitsvorfällen in der Branche zu ziehen oder b) ihre Erfahrungen anonym bekannt zu geben, sodass andere dieselben Fehltritte vermeiden können. Dementsprechend dringen Informationen über aktuelle Angriffskampagnen, bei denen neue (oder bekannte) Sicherheitslücken ausgenutzt werden, nicht so weit, wie sie sollten, und wir sehen immer wieder Schlagzeilen über Sicherheitsverletzungen, die auf denselben zugrunde liegenden Sicherheitslücken und Exploits beruhen. Beispielsweise: Wie viele WannaCry-Opfer haben im Jahr 2017 nicht mehr unterstützte bzw. nicht mehr verwendete Software ausgeführt, deren Problematik allgemein dokumentiert war? Die Antwort: eine Menge .

Fairerweise muss man sagen, dass vieles davon im Kontext verständlich ist. Die Bereitstellung von Informationen für die breite Öffentlichkeit ist für einen Sicherheitsexperten nicht unbedingt das Erste, woran er denkt, wenn er angegriffen oder möglicherweise gehackt wird und mit dem Druck einer Notfallreaktion fertig werden muss – und gleichzeitig unter der Lupe einer Rechtsabteilung steht, die ihr Bestes tut, um Informationen über den Vorfall geheim zu halten, bis die Fakten geklärt sind. Angenommen, Sie stehen nicht unter einem überwältigenden Stress und fühlen sich immer noch ausreichend altruistisch. Was könnten Sie hypothetisch überhaupt tun, um der umliegenden Industrie zu helfen? Das Teilen der entdeckten Dateien mit VirusTotal wäre eine Möglichkeit, aber Sie könnten wahrscheinlich nicht viel mehr tun, als die Dateien dort zu belassen und sich dann wieder der dringlicheren Aufgabe zuzuwenden, Ihr Unternehmen (und vielleicht noch dringlicher Ihren Job) zu schützen. Idealerweise hätten Sie gerne ein Team aus qualifizierten Verstärkungskräften, die bereitstehen und Sie bei der Bewältigung der Krise rasch unterstützen können. Engagierte Fachleute können die Informationen analysieren, unmittelbare Anleitungen zur Schadensbegrenzung geben und Ihnen (und Ihren Mit-Internetnutzern) dann dabei helfen, das Netzwerk besser auf die Abwehr künftiger Angriffe vorzubereiten.

Zurück zum Geschäft

Geben Sie F5 ein. Wenn Sie Kunde sind, ist in Ihrem Supportvertrag eine kostenlose (ja, KOSTENLOSE ) Unterstützung bei Notfällen enthalten. Dadurch erhalten Sie nicht nur in den entscheidenden Momenten die benötigte Hilfe, sondern haben auch die Möglichkeit, die Erfahrungen mehrerer Organisationen zu analysieren, zu aggregieren und zu abstrahieren, um so den Nutzen für die Gesamtgruppe zu steigern. Wenn Sie einer unmittelbaren Bedrohung ausgesetzt sind, genügt ein einfacher Anruf beim technischen Support von F5, in dem Sie erklären, dass bei Ihnen ein Sicherheitsvorfall vorliegt. Sie werden dann direkt an das Security Incident Response Team (SIRT) von F5 weitergeleitet. Dieses globale Team besteht aus Sicherheitsingenieuren (die über ein Dutzend Sprachen unterstützen) mit umfassender Erfahrung in der Reaktion auf Vorfälle und ist rund um die Uhr an 365 Tagen im Jahr verfügbar. Und während sie sicherlich auf die relevanteren, umfassenderen Sicherheitsthemen zurückkommen werden, um sich besser auf zukünftige Ereignisse vorzubereiten, besteht das Hauptziel des F5 SIRT darin, Ihnen dabei zu helfen, die Krise zu stoppen und Ihnen Zeit zu geben, eine längerfristige Schadensbegrenzungslösung für Ihr Unternehmen zu entwickeln.

Die Mitarbeiter von F5 SIRT weltweit können zudem auf eine umfangreiche Auswahl an Schadensbegrenzungsoptionen zurückgreifen, die durch F5-Produkte oder -Angebote in Kundenumgebungen möglich werden, wie etwa Advanced WAF (einschließlich Proactive Bot Defense, CAPTCHA und mehr), AFM , IP Intelligence (IPI), GeoIP, verschiedene Brute-Force-Schutzoptionen und mehrere andere Optionen. Sie können zudem das Silverline -Team von F5 einschalten oder bei Bedarf zusätzlichen Cloud-basierten DDoS- oder WAF-Schutz empfehlen. In anwendbaren Fällen sind diese und andere Lösungen über F5 Sales erhältlich.

Das SIRT-Team verfügt insbesondere über Erfahrung mit den programmierbaren iRules von F5, die zur Änderung von Verkehrsflüssen schnell entwickelt und bereitgestellt werden können. Wie schnell? Die Komplexität des Problems wird immer eine Rolle spielen, doch anpassbare iRules können innerhalb von Minuten vorbereitet und vom Kunden innerhalb von Stunden bereitgestellt werden (natürlich unter Einhaltung der entsprechenden Verfahren zur Änderungskontrolle im Notfall).

Sehen wir uns ein kurzes Beispiel an: Ein F5-Kunde war Opfer eines Brute-Force-Angriffs auf RDP-Server, hinter denen ein F5-Gerät stand. Die Server waren zum Internet hin offen und mussten zur Unterstützung des Geschäftsbetriebs zugänglich sein, allerdings nur für einen bestimmten Satz von Netzwerkbereichen. Um den Angriff abzuschwächen, wurde mit F5 SIRT eine iRule entwickelt, die eine Datengruppe als Mittel zum Abgleichen der Client-IP mit einer Reihe „bekannter und vertrauenswürdiger“ externer Netzwerke verwendete und jeglichen Datenverkehr löschte, der nicht von einem dieser Netzwerke stammte. Dadurch wurde der Angriff deutlich abgeschwächt und die Sicherheitslage des Kunden verbessert. Darüber hinaus blieb bei diesem Ansatz die Möglichkeit bestehen, Netzwerke zur vertrauenswürdigen Liste hinzuzufügen oder daraus zu entfernen – wobei der Kunde bestimmte Datengruppen in der GUI konfigurieren konnte –, um ähnliche Angriffe in der Zukunft abzuwehren.

Zurück zur Community

Wenn während der Untersuchung eines Vorfalls relevante Details entdeckt werden, wie etwa ein neuer Exploit, eine neue Kampagne, Malware oder Sicherheitslücke, die bisher noch nicht aufgetaucht ist oder noch nicht besonders gut verstanden ist, kann das F5 SIRT auf ein Netzwerk von Teams im gesamten Unternehmen zugreifen, um zusätzliche Einblicke zu erhalten. Dieser Ansatz bündelt effektiv das Wissen der Bedrohungsforscher, Entwickler von Sicherheitsprodukten und anderer Experten von F5, um die Ergebnisse zu analysieren und künftig verbesserte Abhilfemaßnahmen anzubieten. Wenn sich ein bestimmtes Element für eine Veröffentlichung eignet, die der gesamten Branche zugute kommt, werden keine Details zu bestimmten Kunden oder bestimmten Vorfällen veröffentlicht. Die Details beschränken sich auf die Entdeckung und das Verhalten einer bestimmten Bedrohung – wie wir es bei PyCryptoMiner getan haben – sowie auf allgemeine Hinweise, soweit zutreffend. 

Sie können Ihre Infrastruktur besser schützen und verwalten, da Sie wissen, dass Teams von F5-Experten bereitstehen, um Ihnen zu helfen – und dass im Falle eines Angriffs kein Berg an Bürokratie und Papierkram zwischen Ihnen und der Hilfe steht, die Sie brauchen. Darüber hinaus haben Sie den Vorteil, dass Sie wissen, dass andere Kunden nicht das gleiche Schicksal erleiden müssen und dass auch Ihr Unternehmen durch diesen Ansatz der Weitergabe unschätzbar wertvollen Wissens mit der Zeit sicherer wird.

Also, was ist für F5 drin? Natürlich möchten wir, dass die Unternehmen betriebsbereit sind und ihre Geschäfte erfolgreich und sicher abwickeln; der Erfolg der Kunden ist der Motor des Erfolgs von F5. Darüber hinaus sind wir uns bewusst, dass Sicherheitsvorfälle nicht nur Auswirkungen auf die betroffene Entität haben, sondern oft auch Auswirkungen auf deren Kunden und Partner haben und manchmal weit darüber hinaus reichen. (Zur Veranschaulichung: Benutzer verwenden oft dieselben oder ähnliche Passwörter für mehrere Websites, was die Tragweite eines Sicherheitsvorfalls enorm erhöht. So wurde beispielsweise festgestellt , dass Benutzer von Sony und Yahoo in 59 % der Fälle dieselben Passwörter für beide Konten verwendeten.) Ohne zu sehr in Übertreibungen zu verfallen, kann dieser Welleneffekt jeden beeinflussen, der im Internet Geschäfte macht. (Noch eine Anmerkung: Untersuchungen zeigen, dass es heute im Durchschnitt drei kompromittierte Datensätze pro Online-Benutzer gibt.)

Wir – die Branche – können die zugrunde liegenden Probleme, die Systeme anfällig machen, besser in den Griff bekommen, indem wir Möglichkeiten zum Austausch relevanter Angriffsdetails und wichtiger Erkenntnisse schaffen. Mit dem F5 SIRT beginnt dies damit, dass die Kunden in die Lage versetzt werden, einen vorteilhaften Beitrag zum Gemeinwohl zu leisten und gleichzeitig ihr eigenes Ansehen zu verbessern.


Weitere Informationen und die Möglichkeit, das F5 Security Incident Response Team (SIRT) zu kontaktieren, finden Sie auf der Webseite .