zurück zur Übersicht

#RSAC2018 – Einblicke von der RSA Konferenz

Ich hatte letzte Woche das Glück, die diesjährige RSA Konferenz in San Francisco besuchen zu können. Auch diesmal nahmen wieder mehrere 10.000 Besucher an der wohl weltweit bekanntesten Cybersecurity-Konferenz teil. Neben den Sehenswürdigkeiten und dem Spirit des Silicon Valley, die diese Traumstadt in Kalifornien so anziehend machen, ist es vor allem der Austausch mit bestehenden oder potentiellen Geschäftspartnern und die Suche nach aktuellen Trends und Entwicklungen im Bereich Cybersecurity, die die meisten Besucher auf diese Konferenz treiben. Wo sonst hat man mal die Gelegenheit Bruce Schneier am Food Truck zu treffen oder mit erfolgreichen Firmengründern zu plaudern, während man bei einen Cocktail die Aussicht über San Francisco genießt. Diese Gelegenheiten gibt es eher selten. Neben der Hersteller Expo ist die Konferenz mit ihren zahlreichen Sessions und Talks das eigentliche Highlight. Doch die Auswahl fällt schwer. Der Kommentar meines Kollegen Eward trifft die Sache auf den Punkt: „You can attend to sessions everyday fom 7:00 AM to 10:00 PM and even then you feel like missing the most.“ Time to focus! Für mich lag dieser im Bereich Analytics, Intelligence & Response. Zwei der Sessions waren für mich besonders wertvoll.

Insights from NSA’s Cybersecurity Threat Operations Center

David Hogue, Technical Director des NCTOC (NSA Cybersecurity Threat Operations Center), gab einen eindrucksvollen Überblick über die bei der Verteidigung der verschiedenen Regierungs- und Behördennetzwerke in den letzten 24 Monaten gewonnen Erfahrungen und Erkenntnisse. Natürlich mag der Schutzbedarf für dieses Klientel ein anderer sein, als in weiten Teilen der Privatwirtschaft. Überraschenderweise lassen sich die gewonnen Erkenntnisse jedoch eins zu eins übertragen. Eigentlich würde man erwarten, dass sich das NCTOC täglich mit Incidents herumschlagen muss, bei denen sich findige Angreifer mit Hilfe von 0-day Exploits Zugriff zu Netzwerken verschafft haben. Das Gegenteil ist jedoch der Fall. Laut David Hogue gab es keine Intrusion in den letzten 24 Monaten, bei der ein 0-day Exploit eine Rolle gespielt hat. Auch in diesem Umfeld scheinen Angreifern andere Schwachstellen zu genügen, obwohl diese durch einfache Maßnahmen wie Mehrfaktorauthentisierung (MFA), Application Whitelisting und gut designte Berechtigungsmodelle (RBAC) zu verhindern wären. Apropos Schwachstellen: Im Mittel dauert es 24 Stunden von der Veröffentlichung einer Schwachstelle bis Angreifer die vom NCTOC überwachte Infrastruktur auf diese Schwachstelle scannen und versuchen diese auszunutzen. Grund genug also, die eigenen Prozesse zum Schwachstellenmanagement unter die Lupe zu nehmen und Optimierungspotential zu heben. Es ist zu erwarten, dass diese Zeitspanne zukünftig eher kürzer wird, denn auch in diesem Bereich gilt „Today is probably the slowest day of the rest of your life“.

Incident Response in the Cloud

David Shackleford, Senior Instructor am SANS Institute, widmete sich in seinem unterhaltsamen Vortrag einem Thema, das den meisten IR-Verantwortlichen große Sorgen bereiten dürfte: Wie erkenne ich Sicherheitsvorfälle in Cloud-Infrastrukturen und wie sehen entsprechende Response-Maßnahmen aus? Überraschend waren für mich die präsentierten Ergebnisse des SANS 2017 Cloud Security Survey. Unterteilt in verschiedene Kategorien, wurden die Teilnehmer des Surveys nach Bedenken und tatsächlichen Vorfällen befragt. Grundsätzlich überwogen die Bedenken stehts die tatsächlichen Vorfälle. Ursache für die meisten Incidents waren mal eben schnell ausgerollte Applikationskomponenten (z.B. Container), die nicht gehärtet waren oder Konfigurationsfehler enthielten. Quintessenz des Vortrages: Wer den Incident Response in seiner On-Premise-Infrastruktur nicht im Griff hat, wird auch in der Cloud damit scheitern. Umgekehrt ist ein hoher Reifegrad und umfassende Erfahrung in konventionellen Infrastrukturen kein Garant dafür, dass man für den Fall der Fälle ausreichend gewappnet ist, wenn Cloud-Applikationen betroffen sind. Egal ob SaaS, PaaS oder IaaS, alle stellen spezielle Anforderungen an den IR-Prozess und müssen entsprechend betrachtet werden. 

Um einen erfolgreichen IR-Prozesse auf Cloud-Infrastrukturen auszudehnen wurde folgendes Vorgehensmodell empfohlen: 

  • Next 30 Days:
    • Betrachtung der bestehenden DFIR-Tools und -Prozesse
    • Was kann einfach auf die Cloud übertragen werden?
    • Welche Ereignisdaten können gesammelt  und ausgewertet werden?
  • Next 60 Days:
    • Aufbau von Testtools in der eigenen Cloudumgebung und Prüfung gegen Testszenarios
    • Schulung des DFIR Teams bezüglich des Vorgehens in der Cloudumgebung 
  • Next 90 Days:
    • Update und Deployment der notwendigen Tools in der Produktionsumgebung und Anpassung der relevanten Prozesse 

Die Präsentation enthielt zudem zahlreiche Empfehlungen und Hinweise, welche Ereignisquellen typischerweise für die Incident-Analyse in der Cloud zur Verfügung stehen und welche Tools dabei hilfreich sein können. Von meiner Seite gibt’s dafür eine absolute Leseempfehlung!

Zeit & Verschiebung

Wem Rational Decision-Maker, Instant Gratification Monkey & Panic Monster alte Vertraute bei der Bewältigung der täglichen Aufgaben sind, dem sei noch der Vortrag von Tim Urban ans Herz gelegt. In „Why Procrastinators Procrastinate: The Never-Ending Battle in Our Heads“  erläutert er das Zusammenspiel der drei illustren Gesellen, die wohl jeden mehr oder weniger stark bei der Priorisierung von Tasks beeinflussen. Ich habe mich jedenfalls köstlich amüsiert.

Großartiges Marketing & App-Pannen

Die RSA Konferenz und besonders die Expo sind natürlich auch ein Schmelztiegel verschiedenster Marketingstrategien. Neben dem allgegenwärtigen Buzzword Bingo zwischen AI und Blockchain, wird mir vor allem der Stand von fakesecurity.com in Erinnerung bleiben. Dort wurden im Stil der Scharlatane aus dem wilden Westen Fläschchen mit Elixieren zu allerlei Cybersecurity-Probleme feilgeboten und damit der Rest der Aussteller gehörig auf den Arm genommen. Mein Favorit, das „Extract of Artificial Intelligence“. Na denn mal Prost, wenn’s hilft….

Das auch Konferenzveranstalter mit 13 Jahren Erfahrung noch Pannen unterlaufen hat leider die App zur RSAC2018 gezeigt. Zum einen ließ die UX, zu Deutsch das Nutzererlebnis oft zu wünschen übrig. Mal war die Übersichtlichkeit bei den Veranstaltungsfavoriten nicht gegeben, mal konnte kein Platz reserviert werden und der Benutzer erfuhr keinen Grund dafür, weil keine Fehlermeldung angezeigt wurde.

Zu guter Letzt entdeckte ein Sicherheitsforscher dann noch, dass das Backend der App Anfragen durch einen fest einkodierten Key authentisiert und damit Vor- und Nachnamen aller Konferenzteilnehmer auslesbar sind. Das geht doch besser! Allerdings wurden zumindest die Zugriffe auf das Backend entsprechend protokolliert, so dass diese geprüft werden konnten und nach Aussage des Veranstalters hat lediglich der betreffende Sicherheitsforscher die Daten von 114 Teilnehmern zu Testzwecken ausgelesen. Zumindest hat, so scheint es, die Vorbereitung zur Incident Response hier wohl offensichtlich funktioniert.

Alles in allem hatte ich eine tolle Zeit in San Francisco mit vielen guten Gesprächen und zahlreichen neuen Eindrücken. Hope to see you again at #RSAC, at some time!

 


Bild: ©2018 Dell Inc. or its subsidiaries.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer