SOC und CSIRT erklärt

Wie funktioniert ein Security Operations Center (SOC)?

Ein Security Operations Center ist die moderne Abwehrzentrale für Cyberangriffe. Doch wie arbeitet ein solches SOC, und wie spielt es mit der «IT-Feuerwehr» CSIRT zusammen? Ein (fiktiver) Sicherheitsvorfall zeigt es auf.

Text: Andreas Heer, Bilder: iStock
14. April 2022

Konzentrierte Stille. Nur das Klappern der Tastaturen ist zu hören. Die IT-Security-Spezialisten sitzen vor ihren Bildschirmen und analysieren übers Netz Server und die Notebooks, auf denen sich trotz aller Sicherheitsmassnahmen eine Malware eingeschlichen hat. Hektik ist keine zu spüren, auch wenn es sich um einen raffinierten Angriff handelt, der den Einsatz des Computer Security Incident Response Teams (CSIRT) erfordert. Aufgrund der Kritikalität hatten die Security-Analysten des SOC den Vorfall kurz zuvor eskaliert.

Analyse von Mensch und Maschine

Denn es musste schnell gehen. Die SOAR-Plattform (Security Orchestration, Automation and Response) hatte ungewöhnliche Zugriffe von Benutzern auf interne Server und auf Internetadressen gemeldet. Der diensthabende Security Analyst hatte daraufhin den Alert über die SOAR-Plattform zu einem Incident eskaliert und für eine vertiefte Analyse an seine Kollegin aus dem Incident Response Layer weitergeleitet.

«Unsere zentrale SOAR-Plattform hilft uns, Alerts aus verschiedenen Detektionssystemen mittels automatisierter Analyse-Workflows mit weiteren Informationen anzureichern, falsche Alarme auszufiltern und so ernsthafte Vorfälle schnell zu erkennen», sagt dazu Florian Leibenzeder, technischer Leiter im SOC von Swisscom. In diesem Fall hatte die erste Analyse einen «True Positive» ergeben, also einen echten Sicherheitsvorfall. Das hatte eine Eskalation zur Folge.

Was nun die erfahrene Security-Analystin bei der vertieften Analyse sah, gefiel ihr gar nicht. Denn gleich drei Notebooks zeigten dasselbe verdächtige Verhalten. Einer der Benutzer hatte sich bei der Cyberdefense-Hotline gemeldet, weil ihm ein Dokument, das er erhalten hatte, beim Öffnen seltsam vorkam.

Die telefonische Rückfrage ergab, dass dieser Benutzer von einem angeblichen potenziellen Lieferanten über eine Filesharing-Plattform eine «Offerte» erhalten hatte. Diesem Schritt war bereits ein Mailaustausch vorhergegangen, so dass die Person zunächst keinen Verdacht schöpfte und das Dokument öffnete. Und damit eine raffinierte, neuartige Malware ausführte. Weil für den Angriff zudem eine bekannte Filesharing-Plattform missbraucht wurde, konnten die Cyberkriminellen die Erkennungsmechanismen der EDR-Lösung (Endpoint Detection & Response) umgehen. Ein solch raffinierter und sehr gezielter Angriff fordert die Security-Spezialisten in der Abwehr.

Vom SOC zum CSIRT

Nun ist menschliche Expertise gefragt, diejenige der erfahrenen Incident Responder des CSIRT, die gerade im Operations Squad im Dienst sind. Trotzdem herrscht Ruhe. Konzentriert sitzen die Experten vor ihren Bildschirmen. Mittlerweile ist es gelungen, die Malware zu isolieren und den Angriff einzudämmen – das «Containment» wie diese Phase der Incident Response genannt wird. Geprägt hat das Standardvorgehen das auf Cybersecurity-Weiterbildungen spezialisierte SANS Institute(öffnet ein neues Fenster). Der «Incident Response Cycle» teilt die Abwehr auf sechs Schritte auf, von der Vorbereitung bis zu «Lessons Learned», bei dem die Erfahrungen und Erkenntnisse aus der Behandlung des Security Incidents ausgewertet und Verbesserungsmassnahmen abgeleitet werden. «Diese Standardisierung hilft, in solchen Fällen den Überblick zu bewahren und nicht in Hektik zu verfallen», sagt Stephan Rickauer, der bei Swisscom den CSIRT-Service für Geschäftskunden leitet.

Zur Eindämmung hatte das CSIRT die drei betroffenen Benutzerkonten gesperrt und die Notebooks vom Netz getrennt, um der Malware die Ausbreitung im Firmennetz zu erschweren. Doch damit allein können die Fachleute noch nicht sicherstellen, dass sich der Angreifer nicht mehr im Netz befindet. Sie priorisieren nach kurzer Beratung als nächsten Schritt die Suche nach allfälligen weiteren Spuren des Angriffs, den Indicators of Compromise (IoC). Die Fachleute wollen sichergehen, dass sich die Cyberkriminellen nicht noch auf einem anderen System verbergen oder sonstigen Schaden angerichtet haben. Jetzt ist ihr Expertenwissen gefragt.

Die Security-Routiniers führen die Arbeit des SOAR-Systems fort und untersuchen die Infrastruktur manuell auf weitere Einbruchspuren. Das breite Fachwissen und die langjährige Erfahrung helfen bei der strukturierten Untersuchung. Einer der Experten durchsucht die zahlreichen Logdateien nach verdächtigen Logins und Aktivitäten der Malware, während ein anderer den Netzwerkverkehr nach möglichen Zugriffen auf einen Command&Control-Server untersucht. Diese Aktivitäten helfen den Experten, allfällige gut versteckte Malware-Dateien, Netzwerk-Anomalien und Registry-Einträge zu finden.

Von der Eindämmung zur Nachbearbeitung

Kurz darauf geben die Security-Experten Entwarnung. Es sind keine weiteren Alerts auf der SOAR-Plattform aufgetaucht, und die Zugriffsversuche auf die Server waren erfolglos. Der Incident wird heruntergestuft, und die involvierten Personen planen die Auswertung ihres Einsatzes im Rahmen des «Lessons Learned»-Schritts.

«Nur durch eine fortschreitende Automatisierung und die Vereinheitlichung von Tools können wir mit der steigenden Komplexität unserer Infrastrukturen und den Angriffen darauf Schritt halten.»

Florian Leibenzeder, technischer Leiter Swisscom SOC

Wie planen die Fachleute im CSIRT eine Arbeit, die von externen Ereignissen bestimmt wird, sich an keine Tageszeiten hält und somit eigentlich unplanbar ist? «Die Kritikalität eines Ereignisses entscheidet oft über die Priorisierung, das ist das wichtigste Kriterium», erklärt Stephan Rickauer.

Deshalb verschieben die Security-Analysten die Aufgabe auf später, die Geräte forensisch zu untersuchen. Diese Untersuchung hilft, das Vorgehen der Angreifer besser zu verstehen, also die Techniken, Taktiken und Vorgehensweisen (TTP) zu erkennen. Dieser Schritt hat jedoch eine tiefe Dringlichkeit, weil von den Notebooks keine Gefahr mehr ausgeht.

Von der Analyse zur Automatisierung

Die forensische Analyse wird in die Auswertung des Sicherheitsvorfalls einfliessen. Die Security-Fachleute werden nicht nur besprechen, was gut gelaufen ist und wo Verbesserungspotential besteht. Aufgrund der Analyse des Vorfalls werden sie einen neuen «Detection Use Case» entwickeln. Hierbei handelt es sich um eine schematische Abbildung des Angriffsmusters – beispielsweise, welche Logeinträge auf welchen Systemen auf eine derartige Attacke hinweisen.

«Unser Ziel bei der Entwicklung von Use Cases ist, die erste Analyse, die Triage und allenfalls die Reaktion zu automatisieren. Dabei helfen uns die mächtigen EDR-Funktionen auf den Arbeitsplatzgeräten und Servern und die SOAR-Workflows für die Automatisierung von Analyse und Response. Nur durch eine fortschreitende Automatisierung und die Vereinheitlichung von Tools können wir mit der steigenden Komplexität unserer Infrastrukturen und den Angriffen darauf Schritt halten », sagt Florian Leibenzeder. Für eine moderne Cyberdefense sind SOC und CSIRT mit Tools zur Automatisierung unverzichtbar.

Damit kann das SOC bei einem nächsten Angriff dieser Art automatisiert reagieren. Das CSIRT kommt dann wahrscheinlich gar nicht zum Einsatz, weil der Angriff schon bei der Incident Response in einer früheren Stufe gestoppt wird. «Der Reiz an der Arbeit im CSIRT liegt in den vielfältigen Aufgaben. Wir erledigen nicht gerne zwei Mal dasselbe», sagt Stephan Rickauer lachend.

Der hier geschilderte Angriff ist fiktiv und soll beispielhaft die Arbeitsweise von SOC und CSIRT aufzeigen.

Infopaket

CSIRT, die IT-Feuerwehr

Wie schützt ein Computer Security Incident Response Team die IT bei Angriffen?

Interview

«Automatisierung hilft, hat aber Grenzen»

Lorenz Inglin leitet das Cyberdefense-Team von Swisscom, dass sich um die Sicherheit der Swisscom Infrastruktur kümmert. Er hat die heutige Struktur mit einem Drei-Tier-Modell aufgebaut.

Lorenz Inglin, was gab den Ausschlag für diese Struktur des Cyberdefense-Teams?

Diese Struktur ist seit langem Standard in der Branche. Wir haben unsere Arbeitsweise laufend weiterentwickelt. Bei uns arbeiten alle drei Ebenen im operativen Betrieb eng zusammen. Dabei coachen die Tier-3-Mitarbeitenden aus dem CSIRT die Security-Analysten aus Tier 1 und Tier 2. Im Gegenzug unterstützen die Kollegen aus dem SOC die Mitarbeitenden im CSIRT. So wachsen die Aktivitäten immer enger zusammen. In den zwei Jahren, in denen wir jetzt so arbeiten, hat sich das bewährt.

Lorenz Inglin, Leiter des Cyberdefense-Teams von Swisscom. Lorenz Inglin, Leiter des Cyberdefense-Teams von Swisscom.

Security-Fachleute sind bekanntlich rar. Wie weit hilft Ihnen die Automatisierung über den Fachkräftemangel hinweg?

Es fehlen nicht nur die Fachleute, die Arbeit nimmt gleichzeitig auch noch zu. Umso wichtiger ist deshalb eine Automatisierung. Eine moderne EDR-Lösung hilft uns einerseits bei der Erkennung. Andererseits nutzen wir eine SOAR-Plattform, um Analyse und Response zu automatisieren. Generell investieren wir viel in die Prävention. Wenn wir die Angriffsfläche verringern, müssen wir weniger monitoren und verhindern mögliche Angriffe, anstatt nur darauf zu reagieren. Das kommt dann auch unseren Kunden zugute, indem wir beispielsweise neue Phishing-Webseiten zeitnah erkennen und im Netz von Swisscom sperren. Das erleichtert wiederum die Analyse und Reaktion im SOC.

Trotzdem sind Sie für gewisse Fälle auf menschliches Eingreifen angewiesen?

Ja, bei tiefergreifenden Analysen ist der Mensch gefragt. Die Automatisierung hilft uns sehr beim Korrelieren von Alerts und wiederkehrenden Aufgaben. Aber nicht alle Fälle sind vorhersehbar oder sind schlicht zu komplex für eine maschinelle Analyse, oder die Software kann den Kontext nicht einordnen: Wenn ein Mitarbeitender per Mail IBAN-Nummern verschickt, sind das jetzt vertrauliche Bankdaten und ein unerwünschter Datenabfluss oder bloss Einzahlungsscheine für einen Verein, in dem sich die Person engagiert?

Mehr zum Thema