Seite 3: Analyse

Inhaltsverzeichnis

Analyse

Alle von Caltarian gefundenen Auffälligkeiten werden vom System selbst in vier Kategorien eingeteilt, wobei Meldungen der Stufen 3 (Critical) und 4 (Emergency) binnen zehn Minuten an den Kunden gemeldet werden müssen. Mit "Critical" werden potenziell gefährliche Ereignisse beschrieben, bei "Emergency" kommt es bereits zu einem Abfluss von Daten. Pro Tag destilliert Caltarian aus bis zu zwei Milliarden Logeinträgen rund 200 Ereignisse der Kategorien 3 und 4 heraus.

Ein weiteres Beispiel für eine Auffälligkeit, die das SOC sofort dem betroffenen Kunden meldet, ist der Kontaktversuch einer Arbeitsstation per IRC (Internet Relay Chat) ins Internet. Caltarian identifizierte den Datenverkehr als typisch für ein bestimmtes Botnetz und schlug Alarm. Die vorangegangene Infektion des Clients mit der Malware wurde von den lokalen Antivirensystemen ebenso wenig bemerkt wie ein weiterer Befall des Mailservers in einem anderen Netzwerk. Erst der darauf folgende Datenverkehr von dort fiel bei der automatisierten Logfile-Analyse auf.

Dipper erklärt, dass das SOC immer nur so gut sein kann wie Qualität und Menge der von den Kunden gestellten Logdateien. Seiner Erfahrung nach lassen sich anhand von Logs von IPS-/IDS-Komponenten nur rund ein Drittel aller Attacken erkennen. Kombiniert man diese Einträge mit den korrespondierenden Firewall-Logs, erhöht sich die Erkennungsrate auf knapp über 80 Prozent. Erst durch das Zusammenführen dieser Daten mit denen der auf PCs und Servern installierten Überwachungssysteme wie Virenscanner, lassen sich laut Dipper nahezu alle Attacken erkennen.

Der SOC-Boss gibt aber zu, dass selbst seine Systeme chancenlos sind, wenn der Kunde Opfer einer gezielten Attacke wird. Nicht genug, dass die dabei verwendete Spionagesoftware keiner Antivirensoftware ins Netz geht. Der von ihr erzeugte Datenverkehr passt zudem höchstwahrscheinlich zu keinem der über 74.000 Muster, die im Lauf der Jahre in Caltarian geflossen sind und auf deren Basis das System kategorisiert. Aber auch Botnetz-Betreiber versuchen immer häufiger, die Kommunikation ihrer Bots mit dem Steuerserver zu verschleiern und der Aufmerksamkeit der Wächter zu entgehen.

Die vergleichsweise unspektakuläre Erscheinung seines SOCs erläutert Dipper übrigens damit, dass das SOC erst vor zwei Jahren in ein herkömmliches Bürogebäude umgezogen ist. Zuvor saßen die Experten in einem ausgemusterten Armeebunker tief unter der Erde. Das war zwar dem James-Bond-Image zuträglich, nicht aber der Mitarbeiter-Motivation, die ihre Job ohne Tageslicht erledigen mussten. (dab)