Inspirierende TED Talks für Presales Consultants

Während meiner Zeit als Consultant habe ich ebenso weniger technische Elemente erlernen müssen. Am meisten profitiert habe ich von folgenden Beiträgen anderer Menschen:

1. How to speak so that people listen – Julian Treasure

Immer dann, wenn es darum geht Kollegen, Vorgesetzte oder Kunden NICHT zu langweilen.

2. Why good leaders make you feel safe – Simon Sinek

Nicht unbedingt, um selber Anführer zu sein, aber um anderen ein gutes Gefühl zu geben, mit einem Arbeiten zu wollen. Vertrauen zu anderen Menschen aufbauen, Vertrauen geben und nehmen. Eine Basis guter Zusammenarbeit bilden.

3. Your body language shapes who you are – Amy Cuddy

So wie wir uns präsentieren, so werden wir auch wahrgenommen. Es ist wichtig sich dessen bewusst zu sein, wie unsere Körpersprache im Moment des Redens aussieht.

4. The puzzle of motivation – Dan Pink

Wie funktioniert Motivation? Wie bleiben wir am Ball, auch wenn es uns manchmal schwer fällt?

Viel Spaß beim Anschauen, Lernen und Teilen eurer Erfahrungen.

Artikel teilen:
Stufen des Angriffs

Die 7 Stufen eines IT Angriffes

Ein großer Teil der Angriffe, die heute auf IT Systeme durchgeführt werden, bestehen aus gut durchdachten Schritten. Genau diese Planung erfordert, dass Zielsysteme sich entsprechend verteidigen können. Das findet man leider nur selten vor, somit ist ein Angriff Schritten erfolgreich und bleibt unentdeckt. Glaubt man dem Verizon Data Breach Report, so dauert es bei weit über der Hälfte aller Angriffe, mehrere Monate, bis ein Angriff entdeckt wird.

An dieser Stelle möchte ich mich auf das Buch „Die Kunst des Krieges“ von Sunzi beziehen. Darin beschreibt der Kriegsstratege viele Möglichkeiten, wie Kämpfe und Kriege gewonnen werden. Ein Satz sticht ganz stark hervor, der beschreibt, dass vor jedem Kampf zuerst die Strategie des Feindes vereitelt werden soll. Dadurch steigt die Wahrscheinlichkeit, dass es zu keinen großen kriegerischen Aussetzungen kommt. Somit ist das Ziel, einen Angreifer möglichst daran zu hindern einen Versuch zu starten.

Dieses Konzept passt gut, denn bevor man die Strategie des Feindes vereiteln kann, muss man diese kennen. Es gibt mehrere Modelle, aber ich bevorzuge das 7-schichtige Modell bzw. die Strategie.

  1. Aufklärung

    Kein Angriff ohne eine vernünftige Aufklärung. Welche Ziele sind verwundbar? Wo laufen alte Systeme, die im Netz exponiert sind? Ist die Firewall sogar veraltet? Erfolgen lieber Social Engineering Angriffe? An dieser Stelle hat es der Angreifer leicht. Er muss lediglich einen einzigen Zugang finden. Wir als Verteidiger müssen jedes mögliche Einfallstor schließen bzw. überhaupt erst erfassen. Das ist ein gravierender Nachteil für den Verteidiger.

  2. Scanning

    Ist ein Ziel ausgemacht worden, beginnt die Tiefenaufklärung. Es müssen Schwachstellen am Ziel identifiziert werden. Ein Windows XP Rechner beispielsweise wurde entdeckt, aber ist es verwundbar? Das muss nicht zwangsläufig der Fall sein. Tools wie nmap kommen hier häufig zum Zuge und führen Scans aller möglichen Ports durch, um dahinterliegende Services zu entdecken. Manchmal dauert dieser Schritt sehr lange. Ein Angreifer geht dabei vorsichtig vor, sonst wird er entdeckt.

  3. Zugriff

    Der Zugriff konnte erfolgen. Die Schwachstelle ist gefunden und wurde ausgenutzt. Ein böser Anhang in einer Mail, an eine unbedarfte Person? Ein altes OpenSSL mit entsprechenden Lücken und passenden Exploits kann auch eine administrative Oberfläche für den Angreifer generieren lassen. Damit hat der Angreifer nun administrative Rechte im System. Als nächstes sind die gehashten Passwörter dran. Mittels Rainbow Tables stellt er die Kennwörter wieder her und kann nun unter offizieller Flagge schalten und walten. Das System gehört nun ganz dem Angreifer. Ohne passende Aufklärungsmaßnahmen vom Verteidiger, bleibt nach wie vor alles im Dunkeln.

  4. Datenabgriff

    Was sind die wertvollsten Dinge in einem Netzwerk? Je nach Firma unterschiedlich, aber eines haben alle modernen Firmen von heute gemeinsam, sie haben wertvolle Daten, egal welcher Art. Diese können nun dank administrativer Berechtigungen vollständig kopiert oder zerstört werden. CAD Zeichnungen, Rezepte, Know-How, Programmcode, Intellectual Properties uvm.

  5. Persistente feindliche Besetzung

    Langfristig gedachte Angriffe basieren auch auf einer persistenten feindlichen Besetzung. Das bedeutet, dass Rootkits installiert werden, um Angreifern die Möglichkeit zu geben jeder Zeit wieder auf das System zu zugreifen. Es kann gut sein, dass Systeme neu aufgesetzt werden. Ein Rootkit verhindert, dass kein Zugriff mehr durch die Angreifer erfolgen kann. Das trojanische Pferd ist somit hoffentlich getarnt mit an Bord und wird immer aktiv bleiben. Wenn nun Sicherheitslücken gestopft werden und Updates installiert werden, so hat dies keinerlei Wirkung auf die Malware.

  6. Zerstörerischer Angriff (selten)

    Die meisten Angriffe zielen auf Daten ab. Hin und wieder kommt Malware zum Einsatz, die auch zerstörerische Zwecke hat. Dabei wird beispielsweise die Hardware direkt angegriffen, falls möglich. Stuxnet ist ein klassisches Beispiel. Es sollte kritische Infrastrukturen im Iran sabotieren.

  7. Verschleierung

    Um ein System möglichst lange zu kontrollieren ist es wichtig unentdeckt zu bleiben. Nicht immer wird darauf Fokus gelegt. Ist die Verschleierung aber nötig, so werden bestimmte Mittel getätigt, um einen Virenscanner zu verwirren und forensische Untersuchungen zu erschweren. Es gibt zahlreiche Tools, die Programmcode stark zu ungunsten von Disassemblern verändern, so dass es mühselig wird zu verstehen, was der Programmcode bewirken soll. Es gibt auch Logcleaner, die passende Logs aus den Protokollen streichen und vieles mehr.

Verteidigung

Erst durch die Kenntnis eines Angriffes können wir eine Verteidigungsstrategie entwerfen. Ein Teil der Lösung könnte beispielsweise das Privileged identity management sein. Dazu gehören Systeme, die bestimmten Prozessen administrative Rechte vergeben, ohne dass ein Benutzer lokale Administrationsrechte benötigt. Desweiteren können solche Systeme das Netzwerk nach Konten untersuchen und alle selbst managen, darunter auch ein Audit darüber fahren, wer diese Logins verwendet. Passwörter können auch regelmäßig automatisch verändert werden. Damit könnte gerade ein persitenter Zugriff unterbrochen werden. Zumindest muss ein Angreifer von vorne anfangen und irgendwann merkt dies ein SIEM System relativ schnell und alarmiert. Beispiele als Lösungen:

Beispiele für Arten dieser Angriffe zeigen uns Firmen wie Target und Sony Pictures, bei denen es zu erfolgreichen Einbrüchen kam.

 

Artikel teilen:
Crypto - Ransomware

Wie schütze ich mich vor Verschlüsselungstrojaner?

Was sind Verschlüsselungstrojner?

Diese Trojaner kommen in der Regel über unterschiedliche Social Engineering Techniken auf unsere Rechner. Es ist häufig nur eine E-Mail eines uns bekannten Dienstes wie einer der folgenden:

  • Paypal
  • Deutsche Bank
  • Sparkasse
  • DHL – Paketankündigung

Die E-Mails sind meistens in gutem Deutsch oder Englisch geschrieben, beinhalten das Logo der Firma und sind nahezu nicht von den originalen zu unterschieden. Darin enthalten sind meistens Zip Dateien, in welchen beispielsweise ein PDF versteckt ist. Dieses PDF zielt beim Öffnen auf eine oder mehrere Lücken in Acrobat Adobe Reader. Damit werden ungepatchte Versionsstände zur Gefahr.

Es wird nun über diese Lücke Schadcode nachgeladen. Nach seiner Ausführung mit administrativen Rechten, sucht er systematisch nach lokalen und entfernten Laufwerken und verschlüsselt alle dort befindlichen Dateien. Es wird noch eine Hinweisdatei abgelegt mit der Information wie viel Geld, an welche Stelle geschickt werden soll, damit der Benutzer das Passwort für die Entschlüsselung bekommt.

Damit sind die Daten in Geiselhaft eines uns unbekannten Angreifers und wir haben keine wirkliche Möglichkeit die Verschlüsselung zu umkehren. Zumindest in den meisten Fällen. Es gibt schlampig entwickelte Trojaner, bei denen die Verschlüsselung aufgebrochen werden kann, aber meistens hat dies kein Erfolg.

 Worauf muss ich achten?

Im Fall, der oben beschrieben ist, wird die Software über andere, unbekannte Malware heruntergeladen. Es gibt aber noch zahlreiche andere Wege der Infektion, auf die man achten sollte:

  • Drive-By Downloads: Infizierte Webseiten nutzen Schwachstellen im Browser aus und laden Schadecode auf den Rechner (bspw. JavaScript)
  • Filesharing: Klassische Peer-to-Peer Netzwerke, über die allerhand getauscht wird. Beliebte Software, Filme oder Serien sind eigentlich Malware
  • E-Mail Spam: Die E-Mail von DHL, der Bank oder von einer scheinbar unbezahlten Rechnung eines Inkassobüros.
  • u.v.m.

Gegenmaßnahmen

Um eine besssere Übersicht zu den Gegenmaßnahmen zu bieten werden diese nicht im Fließtext eingebunden sondern direkt in praktisch anwendbaren Listen.

Virenschutz

  • System aktuell halten
  • Geplanter Scans ganzer Laufwerke einrichten und ausnahmslos durchführen
  • Möglichst wenig Ausnahmeregelungen treffen
  • optionale externe Ressourcen mit ein beziehen (bspw. McAfee/Intel Security GTI)

Intrusion Prevention

Hier gibt es speziell keine Anleitungen, die man selbst durchführen könnte, da jedes Intrusion Prevention System anders funktioniert. Generell gilt, dass die Systeme folgendes tun sollten:

  • Verbindungen zu Botnetzen unterbinden
  • Angriffsversuche und Muster intern, wie extern erkennen (bspw. TCP Portscanning)
  • Signaturbasiert nach Eindringlingen suchen
  • Verhinderung vom Nachladen neuer Payloads (Schadcode für weitere Funktionalität)
  • Reputationsdatenbanken befragen

Gateway

  • Effektive Anti-Spam und Anti-Phishing Abwehr konfigurieren
  • Sandboxing bei eingehenden Daten, um Zero Day Angriffe zu verhindern
  • Proxysysteme einrichten, um Schädlinge im Netzwerkverkehr zu identifzieren
  • Generell Firewalls, mit sich selbst aktualisierenden Datenbanken zu bösartigen Seiten

Zusammengefasst

Auch wenn alle nur erdenklichen Schutzmaßnahmen getroffen und sehr viel Geld für Lösungen und Beratung ausgegeben worden sind, so ist dies noch kein Indiz dafür, dass ein vollkommener Schutz garantiert werden kann. Es ist in der Regel ein Indiz dafür, dass viel Geld für Security ausgegeben worden ist, mehr nicht. Und doch liegen die Schränken nun wesentlich höher, aber der Mensch ist nach wie vor gefragt. Die in diesem Beitrag erwähnten Systeme können miteinander gut arbeiten, aber es muss immer noch ein Mensch da sein, der Logdaten regelmäßig liest und eventuelle Angriffe bereits erkennt, bevor die Software dies nur erahnen könnte.

Soll heißen: Software und Hardware sind zwar gut, aber ohne eine aktive menschliche Komponente, können Sicherheitsmaßnahmen, nie so gut greifen, wie sie dies sollten. Alle Produkte sind lediglich eine Unterstützung für den Menschen.

Artikel teilen: