Security Engineers im SOC sind die besten Verteidiger
Die Security Engineers bilden gemeinsam mit dem Goalie die Abwehr und stellen sicher, dass kein Angriff erfolgreich ist. Sie sind mit Abwehr- und Schutzmassnahmen für die felsenfeste Verteidigung zuständig und parieren jeden Schuss. Das Ziel vom SOCist es, den Kasten sauber zu halten. Durch mehrschichtige Abwehrmechanismen werden sie zum Penaltykiller. Taktisch versiert passen sie sich dem Angreifer an, verschieben gekonnt und stellen die Räume zu. Sie sind darauf bedacht kein Schlupfloch offen zu lassen - kein Tunneln oder Beinschuss möglich. Und Flatterbälle werden durch Verhaltensanalysen erkannt.
Die Aussenverteidiger schalten sich auch in die Offensive ein, sie tauschen sich mit Angreifern aus und entwickeln Detection-Use-Cases.
Die Verteidigung im SOC ist immer auf ein sauberes Tackling bedacht, mit aggressiver Abwehr, ohne den legitimen Benutzer zu blocken. Wird’s brenzlig, gibt es auch mal eine Foul-Notbremse. Kommt der Angreifer zu einem Freistoss am Sechzehner, verteidigen alle Spieler der terreActive gemeinsam mit den Engineers mit vereinten Kräften.
Die Abseitsfalle
Ähnlich wie im Fussball beginnen die Hacker mit einer vorbereiteten Angriffstaktik und passen diese laufend dem Verhalten der Abwehr an. Während die Angreifer vergeblich nach einem Loch in der Abwehr suchen, sammeln die Security Engineers Informationen über die Spielweise des gegnerischen Teams und geben diese der eigenen Mannschaft weiter.
Besonders nützlich ist das Aufstellen einer Honey-Pot-Abseitsfalle, einem leeren Tor, das den Gegner zum schnellen Einnetzen verlockt. Was der Angreifer nicht weiss: Das Tor ist gar nicht echt, sondern eine von der Verteidigung aufgestellte Attrappe. Während das SOC für eine scheinbare Abwehr ein paar Nachwuchsspieler zurück lässt, nützen die Stammspieler die Gelegenheit, um dem Gegner in Ruhe dabei zuzuschauen, wie er sein Tor schiesst. So analysieren die Security Engineers den Angreifer und gewinnen Informationen über seine Aufstellung, Spielstärke und -intelligenz, Agilität, Laufstärke und mehr. Ihre gewonnen Informationen teilen sie mit der ganzen Mannschaft.
Security Analysten als Mittelfeldspieler: Bindeglied zwischen Abwehr und Angriff
Auf der Arbeit der Security Engineers in der Abwehr können die Security Analysten aufbauen. Jeder Analyst in der Mittelfeldreihe agiert als Libero: Sie sind, wo immer sie gebraucht werden. Laufstark und schnell passen sie sich dem Spielverlauf an und verstärken das Team dort, wo sie gebraucht werden. Die Analysten benötigen Übersicht und hohe (Pass-) Präzision. Sie arbeiten sowohl offensiv (verstehen Angriffsszenarien), als auch defensiv (Erkennung, Eindämmung, Abwehr von Angriffen).
Jedem Angreifer gehen sie als Mittelfeld-Terrier rigoros nach. Als Motor, Schaltzentrale und Regisseur nehmen sie eine wichtige Rolle im terreActive-Team wahr. Die offensiven Analysten (Tier-1) stören die Angriffe des Gegners so früh wie möglich und in Teamarbeit mit den defensiven Analysten (Tier-2) versuchen sie jeden Gegner abzuräumen, wenn er in die eigene Hälfte kommt. Sie müssen die Angriffssituation schnell erkennen und den Konter starten (Angriffs-Mitigation).
Security Analysten arbeiten auch neben dem Platz. Wenn immer es der Spielplan zulässt, studieren sie mögliche Gegner.
Dazu schleichen sie sich heimlich auf das gegnerische Trainingsgelände im Darknet und finden heraus, wie viel der Gegner weiss. Es kommt auch vor, dass sich Security Analysten als gewiefte Spielerberater ausgeben und gezielt Falschinformationen streuen, um den Gegner in die Irre zu führen.
Erkennen sie durch ihre Analyse und Verteidigungsarbeit neue Lücken, geben sie den stürmenden Pentestern einen Steilpass, der die Verteidigung aushebelt.
Pentester stürmen gegen das eigene Tor
Der Sturm von terreActive ist etwas besonderes, denn er wird nur für Testspiele aufgestellt: Auf Wunsch eines Kunden stürmen die (Intrusion) Pentestermit voller Wucht auf sein Tor zu. Dabei bleibt es dem Kunden überlassen, ob er seiner Verteidigung verrät, wann das Spiel angepfiffen wird oder ob er ihr nicht einmal sagt, dass sie gleich spielen wird.
So decken die Pentester Schwächen und Konfigurationsfehler in der Verteidigung auf: Wie schnell reagiert sie, wie klug wehrt sie ab? Kann sie die Strategie des Pentesters entschlüsseln und ihn abfangen oder ist er ihr immer einen Schritt voraus? Schafft es der Pentester, eine Schwachstelle zu finden?
Auch der Pentester kann mal einen Aluminiumtreffer landen, heisst, er hat zwar eine Lücke gefunden, kann sie aber nicht ausnutzen. Oft aber trifft er auf löchrige Abwehr mit vielen Schwachstellen und wenig Schutzmassnahmen. Spektakulär sind die Fallrückzieher, die ganz kniffligen Attacken. Hat der Pentester einen Kunden erfolgreich gehackt, setzt er zum Torjubel an. Oder plant die nächste Social Engineering Kampagne: Phishing.
Dabei kommt es auch vor, dass er sich etwa ein Trikot des Gegners überstreift und einen gegnerischen Spieler so dazu bringt, ihm den Schlüssel zum Tor zu verraten.
Diese Phishing-Attacken funktionieren oft und können nicht nur die Spieler erwischen, sondern absolut jeden im Team: Von der Sekretärin über den Klubpräsident bis zum Masseur.
Security Consultants sammeln auf der ganzen Welt Informationen
Während Security Analysten den Gegner direkt auf dem Trainingsplatz im Auge behalten, gehen Consultants in die Welt hinaus und sammeln strategische Informationen. Sie behalten die Übersicht darüber, wie sich das Spiel im Grossen weiterentwickelt. Sie unterstützen die zentralen Spieler, vom Analysten bis zum Pentester. Mit Flanken-Informationen über neue Angriffstechniken und Trends beraten sie das Team zu Verteidigungsstrategien und Abwehrmassnahmen und passen die Aufstellung laufend den aktuellsten Entwicklungen an.
Der Auditor als Schiedsrichter: Regeln einhalten
Wie der Schiedsrichter hat der Auditoreine unabhängige Stellung und überprüft beispielsweise beim Compliance Testing, ob alle Vorgaben/Spielregeln eingehalten wurden. Er ermahnt beim ersten Fehlverhalten und verwarnt falls nötig.
Der Service Manager in der Rolle des Kapitäns
Der Service Manager, ist der Sprecher des Teams gegenüber den Kunden, übernimmt Verantwortung, führt und kennt die Strategie. Wenn es die Situation erfordert, greift er korrigierend ein, damit alles rund läuft.
Der Trainer perfektioniert das Spiel
Die Security Teamleiter sind die Trainer, die das Team zu hohen EM-Zielen anspornen und sicherstellen, dass man von der ersten Minute an parat ist. Er leitet strategisch, technisch und konditionell. Perfektioniert das Spiel seiner Mannschaft durch Ausbildung, Know-how und neueste Technik. Er coacht an der Seitenlinie und gibt Tipps (Threat Intelligence Feeds), denn als ehemaliger Spieler bringt er viel Erfahrung mit. Und … er hat immer einen Joker auf der Bank.
terreActive - treffSicher, nicht nur während der EM. Hopp Schwiiz!