Cyberblog Fussball EM

Wenn unser Cyber Security Team an der Fussball-EM wäre

Wenn unser Cyber Security Team an der Fussball-EM wäre

Wie sähe die Arbeit von terreActive wohl aus, wenn sie auf einem Fussballfeld stattfinden würde? Ein Vergleich.

 

Security Engineers im SOC sind die besten Verteidiger

Die Security Engineers bilden gemeinsam mit dem Goalie die Abwehr und stellen sicher, dass kein Angriff erfolgreich ist. Sie sind mit Abwehr- und Schutzmassnahmen für die felsenfeste Verteidigung zuständig und parieren jeden Schuss.  Das Ziel vom SOCist es, den Kasten sauber zu halten. Durch mehrschichtige Abwehrmechanismen werden sie zum Penaltykiller. Taktisch versiert passen sie sich dem Angreifer an, verschieben gekonnt und stellen die Räume zu. Sie sind darauf bedacht kein Schlupfloch offen zu lassen - kein Tunneln oder Beinschuss möglich. Und Flatterbälle werden durch Verhaltensanalysen erkannt.

Die Aussenverteidiger schalten sich auch in die Offensive ein, sie tauschen sich mit Angreifern aus und entwickeln Detection-Use-Cases.

Die Verteidigung im SOC ist immer auf ein sauberes Tackling bedacht, mit aggressiver Abwehr, ohne den legitimen Benutzer zu blocken. Wird’s brenzlig, gibt es auch mal eine Foul-Notbremse. Kommt der Angreifer zu einem Freistoss am Sechzehner, verteidigen alle Spieler der terreActive gemeinsam mit den Engineers mit vereinten Kräften.

Jürgen Anthamatten
Jürgen
Anthamatten
Leiter Beratung und Projekte

Die Abseitsfalle

Ähnlich wie im Fussball beginnen die Hacker mit einer vorbereiteten Angriffstaktik und passen diese laufend dem Verhalten der Abwehr an. Während die Angreifer vergeblich nach einem Loch in der Abwehr suchen, sammeln die Security Engineers Informationen über die Spielweise des gegnerischen Teams und geben diese der eigenen Mannschaft weiter.

Besonders nützlich ist das Aufstellen einer Honey-Pot-Abseitsfalle, einem leeren Tor, das den Gegner zum schnellen Einnetzen verlockt. Was der Angreifer nicht weiss: Das Tor ist gar nicht echt, sondern eine von der Verteidigung aufgestellte Attrappe. Während das SOC für eine scheinbare Abwehr ein paar Nachwuchsspieler zurück lässt, nützen die Stammspieler die Gelegenheit, um dem Gegner in Ruhe dabei zuzuschauen, wie er sein Tor schiesst. So analysieren die Security Engineers den Angreifer und gewinnen Informationen über seine Aufstellung, Spielstärke und -intelligenz, Agilität, Laufstärke und mehr. Ihre gewonnen Informationen teilen sie mit der ganzen Mannschaft.

 

Security Analysten als Mittelfeldspieler: Bindeglied zwischen Abwehr und Angriff

Auf der Arbeit der Security Engineers in der Abwehr können die Security Analysten aufbauen. Jeder Analyst in der Mittelfeldreihe agiert als Libero: Sie sind, wo immer sie gebraucht werden. Laufstark und schnell passen sie sich dem Spielverlauf an und verstärken das Team dort, wo sie gebraucht werden. Die Analysten benötigen Übersicht und hohe (Pass-) Präzision. Sie arbeiten sowohl offensiv (verstehen Angriffsszenarien), als auch defensiv (Erkennung, Eindämmung, Abwehr von Angriffen).  

Jedem Angreifer gehen sie als Mittelfeld-Terrier rigoros nach.  Als Motor, Schaltzentrale und Regisseur nehmen sie eine wichtige Rolle im terreActive-Team wahr. Die offensiven Analysten (Tier-1) stören die Angriffe des Gegners so früh wie möglich und in Teamarbeit mit den defensiven Analysten (Tier-2) versuchen sie jeden Gegner abzuräumen, wenn er in die eigene Hälfte kommt. Sie müssen die Angriffssituation schnell erkennen und den Konter starten (Angriffs-Mitigation).

Pentester stürmen gegen das eigene Tor

Der Sturm von terreActive ist etwas besonderes, denn er wird nur für Testspiele aufgestellt: Auf Wunsch eines Kunden stürmen die (Intrusion) Pentestermit voller Wucht auf sein Tor zu. Dabei bleibt es dem Kunden überlassen, ob er seiner Verteidigung verrät, wann das Spiel angepfiffen wird oder ob er ihr nicht einmal sagt, dass sie gleich spielen wird.

So decken die Pentester Schwächen und Konfigurationsfehler in der Verteidigung auf: Wie schnell reagiert sie, wie klug wehrt sie ab? Kann sie die Strategie des Pentesters entschlüsseln und ihn abfangen oder ist er ihr immer einen Schritt voraus? Schafft es der Pentester, eine Schwachstelle zu finden?

Auch der Pentester kann mal einen Aluminiumtreffer landen, heisst, er hat zwar eine Lücke gefunden, kann sie aber nicht ausnutzen. Oft aber trifft er auf löchrige Abwehr mit vielen Schwachstellen und wenig Schutzmassnahmen. Spektakulär sind die  Fallrückzieher, die ganz kniffligen Attacken. Hat der Pentester einen Kunden erfolgreich gehackt, setzt er zum Torjubel an. Oder plant die nächste Social Engineering Kampagne: Phishing.

Security Consultants sammeln auf der ganzen Welt Informationen

Während Security Analysten den Gegner direkt auf dem Trainingsplatz im Auge behalten, gehen Consultants in die Welt hinaus und sammeln strategische Informationen. Sie behalten die Übersicht darüber, wie sich das Spiel im Grossen weiterentwickelt. Sie unterstützen die zentralen Spieler, vom Analysten bis zum Pentester. Mit Flanken-Informationen über neue Angriffstechniken und Trends beraten sie das Team zu Verteidigungsstrategien und Abwehrmassnahmen und passen die Aufstellung laufend den aktuellsten Entwicklungen an.

Der Auditor als Schiedsrichter: Regeln einhalten

Wie der Schiedsrichter hat der Auditoreine unabhängige Stellung und überprüft beispielsweise beim Compliance Testing, ob alle Vorgaben/Spielregeln eingehalten wurden. Er ermahnt beim ersten Fehlverhalten und verwarnt falls nötig.

Der Service Manager in der Rolle des Kapitäns

Der Service Manager, ist der Sprecher des Teams gegenüber den Kunden, übernimmt Verantwortung, führt und kennt die Strategie. Wenn es die Situation erfordert, greift er korrigierend ein, damit alles rund läuft.

Der Trainer perfektioniert das Spiel

Die Security Teamleiter sind die Trainer, die das Team zu hohen EM-Zielen anspornen und sicherstellen, dass man von der ersten Minute an parat ist. Er leitet strategisch, technisch und konditionell. Perfektioniert das Spiel seiner Mannschaft durch Ausbildung, Know-how und neueste Technik. Er coacht an der Seitenlinie und gibt Tipps (Threat Intelligence Feeds), denn als ehemaliger Spieler bringt er viel Erfahrung mit. Und … er hat immer einen Joker auf der Bank.


terreActive - treffSicher, nicht nur während der EM. Hopp Schwiiz!