zurück zur Übersicht

Boss of the SOC

Sind Sie der Boss of the SOC?

Who is the Boss of the SOC?

Boss of the SOC (auch BOTS genannt) ist ein von Splunk organisierter IT-Security-Wettbewerb. Ziel ist es, den Nutzen der Splunk-Lösungen anhand von realitätsnahen Problemen darzustellen. Im Vergleich zu anderen IT-Security-Wettbewerben handelt es sich beim BOTS um eine BLUE Team Challenge. Dabei versetzen sich die Teams in die Lage eines IT-Forensikers, um IT- Vorfälle analysieren, Probleme identifizieren und Lösungen erarbeiten zu können. Inhaltlich reicht das Aufgabenspektrum von einfachen Fragen, wie z.B. Identifizierung der IP-Adresse einer Webseite, bis hin zu komplexen Analysen und Decodieren einer, durch einen Virus verschlüsselten, Datei. In diesem Zusammenhang stehen fünf Aspekte im Vordergrund: Malware, Application-Security, Web Security, Social Engineering und Data Leakage.

Entsprechend der Schwierigkeitsstufe wird eine bestimmte Anzahl an Punkten vergeben, die mit Hilfe eines Scoringsystems verwaltet wird. Sobald man zu einer Lösung gekommen ist, kann man sie in eine Maske eintragen. Bei einer falschen Antwort droht Punktabzug, dafür darf man aber auch einen erneuten Lösungsversuch starten. Im Idealfall bekommt man letztlich die Siegerpunkte. Da Splunk Schnelligkeit zu einem seiner Alleinstellungsmerkmale zählt und großen Wert darauf legt, werden schnelle Antworten und besonders effiziente Suchstrings mit zusätzlichen Punkten belohnt. Nach ungefähr 3,5 Stunden ist das Spiel vorbei und die Mannschaft mit den meisten Punkten gewinnt.

Gemeinsam sind wir stark

Am  frühen Nachmittag des 12.07.2018 durfte ich in dem angenehmen Ambiente des Platzl Hotels im Zentrum von München die Organisatoren und die anderen Mitglieder kennenlernen. Nach der Ankunft und Begrüßung bekam ich ein Namensschild und wurde mit Goodies überhäuft. Außerdem erhielt ich ein sehr nützliches Splunk Cheat Sheet, zusammen mit einer Login-Anweisung. Derartig splunkgerecht ausgerüstet, wurde ich zu meiner Mannschaft begleitet. 6 von 7 Mannschaften bestanden aus 4-5 Kollegen einer Firma, die als eine feste Gruppe angemeldet wurden. Da ich als einziger Mitarbeiter von SecureLink anwesend war, wurde mir angeboten, entweder als Einzelkämpfer zu spielen, oder mich einer „Mischmasch“-Mannschaft anzuschließen. Da mir das gemeinsame Hacken mehr Spaß macht, entschied ich mich zusammen mit einem Entwickler, einem CTO und einer Sales Managerin gegen die bösen Cyber-Kriminellen anzutreten.

Let´s get ready to rumble

Nach einer kurzen Einführungsrede wurden uns kurz die Regeln vorgestellt und die Server freigeschaltet. Jeder Teilnehmer konnte mit seinen Login Daten auf zwei Server zugreifen: ein gemeinsamer Server, auf dem sich die Fragen und das Scoring System befanden, und ein individueller Server pro Team für die Analyse. Dabei standen uns 10 verschiedene Logquellen und zwei Apps, welche die Informationen aus diesen Logquellen extrahierten, zur Verfügung. Zudem konnten wir einige zusätzliche Hinweise von den Dashboards ablesen. Falls wir trotz dieser Hilfestellungen keinen Lösungsansatz finden konnten, war es möglich, für ein Paar Punkte die Hilfe der Organisatoren in Anspruch zu nehmen.

Insgesamt gab es ca. 50 Fragen, die wir innerhalb von 3 Stunden beantworten sollten. Die einfachsten Fragen waren dabei mit 100 Punkten bewertet. Bei komplexeren Fragen, bei denen z.B. eine Kettenkorrelation notwendig war, konnte man sogar bis zu 2000 Punkte abgreifen. Wem das konzentrierte Treiben arg an die Substanz ging, der konnte mit Hilfe von Getränken, sowie Snacks und Gebäck neue Kräfte sammeln. In Begleitung von Europes „Final Countdown“ trugen wir die letzten Antworten ein. Kurz darauf sperrten die Organisatoren den Zugriff auf den Scoring Server und beendeten somit den Wettbewerb.

Splunk-Cracks kommen auf ihre Kosten während Neulinge sich vermehrt in einem Meer der Fragezeichen wiederfinden

Obwohl auf der Website des Boss of the SOC steht, dass jeder Splunk-Interessent mitmachen darf, ist der technische Anspruch doch sehr hoch. Fundierte Splunk- und IT-Forensik-Kenntnisse sind notwendig. Die Organisatoren zeigen zwar stets viel Einsatz, damit die Teilnehmer nicht gleich verzweifelt aufgeben. Gerade jedoch diejenigen, die sich im Vorfeld niemals bzw. sehr wenig mit Splunk beschäftigt haben, mussten dabei deutlich mehr Unterstützung in Anspruch nehmen.

Um alle Fragen beantworten zu können, muss man schon sehr gut mit der Syntax von Splunk vertraut sein. Zusätzlich muss man in der Lage sein, die Evaluierungs-, Transformations- und Korrelationskommandos der Daten durchführen zu können. Ein sehr sicherer Umgang mit der Searching- App ist Voraussetzung und seit diesem Jahr ist die Erfahrung mit Splunk-Enterprise-Security zusätzlich von großem Vorteil. Zusammenfassend würde ich allen Interessenten an diesem Wettbewerb empfehlen, sich mit der Power-User-Zertifizierung auseinanderzusetzen und den ES Kurs zu machen.

Brot und Spiele zieht auch noch heute

Leider holten sich letztlich andere den Titel des Boss of the SOC. Nichts desto trotz hat es sich für mich wirklich gelohnt dabei zu sein. Die Location und  die Organisation waren auf einem erwarteten, hohen Niveau. Das Spiel selbst war nicht nur interessant und spaßig, sondern auch sehr lernintensiv. Ich habe mit dem Organisationsteam im Anschluss gesprochen. Wir werden in Kontakt bleiben um zu prüfen, ob die Idee eines derartigen Wettbewerbs auch bei uns intern im A.C.D.C. umsetzbar ist.


Splunk Cheat Sheet: https://www.cubespotter.de/cubespotter/wp-content/uploads/2018/07/Splunk-Quick-Reference.pdf

Mehr Informationen über Boss of the SOC: https://www.splunk.com/blog/2017/09/06/what-you-need-to-know-about-boss-of-the-soc.html

Bild: © GettyImages-157603193-PeskyMonkey

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer