terreActive-Team gewinnt Boss-of-the-SOC (BOTS) Award von Splunk
Das Team der terreActive gewann mit Vorsprung vor den SOC-Teams namhafter grosser Schweizer Firmen. Der Award bestätigt das Know-how der Security-Experten, das vor allem den Kunden der terreActive einen Mehrwert bringt und sie bei der Erkennung und Bewältigung von Cyberattacken unterstützt.
Live vor Ort mussten die Teams realistische Szenarien zu Sicherheitsvorfällen in einem fiktiven Unternehmen durchlaufen und verschiedene Probleme lösen, bei denen Wissen, Erfahrung und Schnelligkeit unter Beweis gestellt wurden.
Im Security Operations Center von terreActive kommt die Splunk-Plattform täglich zum Einsatz für die Verarbeitung und Analyse von grossen Datenmengen. Sie ist ein unverzichtbares Werkzeug für das Incident-Response-Team im SOC.
Was ist BOTS?
Splunk führt das BOTS (Boss of the SOC) seit 2016 jährlich an verschiedenen Standorten weltweit durch. 2018 erstmalig auch in Genf und Zürich. Das Security-Learning-Erlebnis soll Wissen realistisch wie auch spielerisch in die Splunk-User-Gemeinschaft bringen und den Austausch unter den Sicherheitsfachleuten fördern.
Bei der halbtägigen BOTS-Veranstaltung treten Teams mit je ca. 4 Personen gegeneinander an, um eine Vielzahl von Fragen zu Sicherheitsvorfällen zu beantworten, die in einer realistischen, aber fiktiven Unternehmensumgebung aufgetreten sind. BOTS wurde entwickelt, um nachzuahmen, wie echte Sicherheitsvorfälle aussehen und welche Art von Fragen Analysten beantworten müssen. Gefragt sind auch Kenntnisse der forensischen Security-Analyse und ein schnelles out-of-the-box-Denken.
Für jede beantwortete Frage gibt es Punkte in Abhängigkeit von Schwierigkeitsgrad und Antwortsgeschwindigkeit. Wie bei einem echten Hackerangriff zählt die Zeit. Die Auswertung erfolgt über einen automatisierten BOTS-Scoring-Server und wird vor Ort an grossen Bildschirmen live präsentiert.
Ein Augenzeugenbericht
Das terrreActive-Team vor Ort am BOTS: Was waren die Herausforderungen?
„Als Team sind wir in die Rolle von Alice geschlüpft, die für Incident Response im Security Operations Center der fiktiven Wayne Corporation zuständig ist. Diese Firma hatte kürzlich mehrere Sicherheitsvorfälle zu beklagen, die jetzt untersucht werden müssen. Dafür stehen Logs via Splunk zur Verfügung, unter anderem Windows Event Logs, Sysmon Logs, Firewall Logs und Network Traffic Dumps.
Angelehnt an klassische „Capture the flag events“, mussten wir mittels der Splunk-Logs kombiniert mit Open Source Intelligence (OSINT) verschiedene Fragen beantworten. Je schwierige die Fragen, desto mehr Punkte brachte sie uns ein. Für die Geschwindigkeit, ein wichtiger Faktor im Incident Response, bekamen wir noch zusätzliche Bonuspunkte.
Schnell wurde klar, dass nebst Grundwissen über Splunk auch fundierte Kenntnisse in Gebieten wie Windows Internals, diversen Netzwerkprotokollen sowie Verständnis für Aufbau und Vorgehen von typischer Malware benötigt werden, um das „Big Picture“ effizient erfassen zu können. Eine Frage war beispielsweise, auf welche infizierte Domäne als erstes zugegriffen wurde, welche Passwörter zuerst geknackt wurden, wie und wo der Encryption Key einer Ransomware versteckt ist oder wie die Angreifer zu identifizieren sind.
Ein wichtiger Soft-Skill, ob an der Challenge oder im täglichen SOC-Alltag, ist dabei die Fähigkeit, schnell bisher unbekannte Techniken und Zusammenhänge verstehen zu können. Aber auch eine gute Kommunikation und ein reibungslos funktionierendes Team-Play sollten nicht unterschätzt werden.“
Jeder kann's lernen: Splunk Schulungskurse
terreActive unterstützt Kunden dabei, ihr eigenes Splunk Know-how zu erweitern. Als Authorized Trainings Partner bietet terreActive Schulungen in deutscher und englischer Sprache an. Die nächste Splunk Fundamentals II Schulung findet vom 19. bis 21. Juni in Aarau statt. Kurse können auch beim Kunden vor Ort durchgeführt werden.