Security Operations von Innen

Inhaltsverzeichnis

Wer einen Kommandostand a la NORAD oder virtuelle Hackerverfolgungsjagden wie im Film "Sneakers" erwartet, dürfte beim Betreten von Symantecs europäischem Security Operations Center (SOC) enttäuscht sein. Die Atmosphäre im SOC ist besonnen, von Hektik oder gar Alarmstimmung keine Spur. Eine Handvoll adretter Mitarbeiter – alle leger und modern gekleidet, von Motiv-T-Shirts tragenden Freaks und anderen Hacker-Klischees denkbar weit entfernt – sitzt vor jeweils zwei oder drei TFT-Displays und schaut gelegentlich auf acht an der Wand hängende Flachbildschirme, die Informationen über die aktuelle, weltweite Cyber-Gefahrenlage zeigen. Zwischendurch finden die SOC-Mitarbeiter sogar Zeit für einen entspannten Plausch untereinander. Worüber sie reden, ist nicht zu erfahren: Beobachter sehen das Treiben nur durch eine Glasscheibe vom nebenan gelegenen Konferenzraum. Übrigens: Die Arbeitsstationen der SOC-Spezialisten laufen alle noch unter Windows XP.

Die entspannte Atmosphäre im kleinen Team mag so gar nicht zur Aufgabe des Centers passen. Immerhin beschützt das SOC an 365 Tagen rund um die Uhr die Netzwerke von Großkunden und Behörden, darunter 92 der Top-500-Unternehmen der Welt. Konkrete Kundennamen verrät Symantec auch auf Nachfrage allerdings keine. Nur, dass sich unter den Schutzbedürftigen zu einem Drittel Banken und Versicherungen befinden. Bekannt ist immerhin, dass zu den Kunden der Managed Security Services (MSS) etwa der Logistikdienstleister DHL oder eBay gehören. Im Rahmen von MSS gibt es verschiedene Dienstleistungen wie Penetration-Testing und Security Monitoring Services – letztere wird vom SOC betreut. Wenn man berücksichtigt, dass Firmen wie Atos, BT, IBM, RSA und Verisign ähnliche Dienste anbieten, wird klar, dass offenbar in der Firmenwelt großer Bedarf nach externen Sicherheitsdienstleistungen besteht.

Auf einem separaten Bildschirm läuft der Fernsehsender BBC World News. Wie Martin Dipper unterstreicht, dient das aber keineswegs der Zerstreuung der Mitarbeiter. Dipper ist der Leiter des SOC in London und erklärt in nüchternen Worten alle Funktionen des Centers und des Fernsehers: Im SOC will man sich frühzeitig über Ereignisse informieren, die die IT-Sicherheit beeinflussen. Dazu gehören auch Ereignisse wie der Tod von Prominenten. Nach dem Ableben von Michael Jackson beispielsweise, rollten sehr schnell Spam- und Schädlings-Wellen mit passendem Betreff und Inhalt. Aber auch Politiker-Gipfeltreffen führen regelmäßig zu Cyber-Attacken, die laut Symantec sogar Energieversorger am Veranstaltungsort in Alarmbereitschaft versetzen.

Die Alarmanlage

Alarmanlage

Neben dem europäischen SOC gibt es noch drei weitere, die in den USA, in Indien und in Australien beheimatet sind. Jedes davon ist laut Dipper 19 Stunden am Stück online, so dass ständig zwei Center gleichzeitig verfügbar sind. Alle Center sind identisch aufgebaut und greifen auf die gleichen Kundendaten und Logfiles zu. Insgesamt beschäftigt Symantec in den vier SOCs rund 200 Mitarbeiter, die vor ihrer Einstellung alle eine gründliche Prüfung ihres beruflichen und privaten Werdegangs über sich ergehen lassen mussten. Berufseinsteiger kommen für Dipper nicht in Frage, zu vielfältig sind die Anforderungen und zu heikel die Aufgaben.

Um trotz sorgfältiger Mitarbeiterauswahl dennoch den möglichen Missbrauch von Informationen zu begrenzen, herrscht eine strenge Reglementierung: Nur ein oder zwei Entwickler – genau will sich der sonst so präzise SOC-Leiter Dipper nicht festlegen – des Systems können bei Bedarf Zugriff auf alle Analyse-Funktionen des Systems erlangen. Ansonsten sehen die Mitarbeiter nur die für ihren jeweiligen Arbeitsbereich notwendigen Daten wie Firewall-Logs, Meldungen der Einbruchserkennungssysteme und Kundenkontaktdaten.

Die Technik des SOCs soll in den von den Kundensystemen generierten Logdateien verdächtige Netzwerkaktivitäten aufspüren. Mehr als zwei Milliarden Log-Einträge fallen pro Tag an, alle drei Minuten schicken die in den Kundennetzwerken installierten Sensoren wie Firewalls, IDS- und IPS-Komponenten und andere Netzwerkgeräte ihre Logdateien an Symantec. Dabei spielt es keine Rolle, von welchem Hard- oder Softwarehersteller das Produkt stammt, das das Logfile erzeugt hat. Bei Symantec landen alle Informationen zunächst in einer Datenbank, bevor sie vom eigentlichen Herzstück des SOCs analysiert werden: Caltarian. So nennt Symantec das System, das zuerst alle Daten in unterschiedlichen Logformaten in eine einheitliche Form bringt und anschließend nach auffälligen Netzwerkaktivitäten sucht. Die gesammelten Daten fließen später auch in anonymisierter Form in Symantecs halbjährlich veröffentlichten Security Threat Report ein.

Bei der Erkennung spielen nicht nur Muster bekannter Cyber- und Malwareattacken eine Rolle, sondern auch das bisherige Verhalten der einzelnen Kundensysteme. Caltarian erkennt beispielsweise, wenn ein einzelner Mailserver eines Kunden im Vergleich zu den vergangenen Monaten plötzlich über Gebühr Datenverkehr erzeugt.

Anhand einer solchen Anomalie entdeckte das vollautomatisch arbeitende System kürzlich, dass einer der vom SOC überwachten Mailserver mit einem Spam-Trojaner infiziert worden war: Der SMTP-Datenverkehr schwoll innerhalb eines Tages um mehr als das Zehnfache an und Caltarian schlug Alarm, da ein für genau diesen Server vorher festgesetzter Schwellwert überschritten wurde. Bei solch einem Alarm muss Symantec sehr schnell handeln: Der Sicherheitskonzern garantiert seinen Kunden, dass sie spätestens zehn Minuten nach der Warnung im SOC über kritische Sicherheitsprobleme informiert werden. In solchen Alarmsituationen müssen sich die Mitarbeiter auf ihre Erfahrung und Ausbildung verlassen können. Andernfalls ist es unmöglich, binnen so kurzer Zeit treffsicher zu entscheiden, ob es sich um ein echtes Sicherheitsproblem oder einen Fehlalarm handelt. Nach dem Absetzen des Alarms hat SOC seinen Job erledigt; für das Aufspüren und Beheben der Ursache sind laut Dipper dann wieder die IT-Experten auf Kundenseite zuständig.

Das SOC greife schon deshalb bei der Problembehebung nicht direkt ein, da es keine Kenntnisse über die Aufgaben eines Systems habe. So wüssten etwa nur die IT-Experten des Kunden vor Ort, ob ein betroffener Server oder eine infizierte Arbeitsstation zur Säuberung beispielsweise neu gestartet werden kann. Zudem will man natürlich einer Haftung aus dem Weg zu gehen, falls bei der Problembehebung mal etwas schief geht.

Analyse

Analyse

Alle von Caltarian gefundenen Auffälligkeiten werden vom System selbst in vier Kategorien eingeteilt, wobei Meldungen der Stufen 3 (Critical) und 4 (Emergency) binnen zehn Minuten an den Kunden gemeldet werden müssen. Mit "Critical" werden potenziell gefährliche Ereignisse beschrieben, bei "Emergency" kommt es bereits zu einem Abfluss von Daten. Pro Tag destilliert Caltarian aus bis zu zwei Milliarden Logeinträgen rund 200 Ereignisse der Kategorien 3 und 4 heraus.

Ein weiteres Beispiel für eine Auffälligkeit, die das SOC sofort dem betroffenen Kunden meldet, ist der Kontaktversuch einer Arbeitsstation per IRC (Internet Relay Chat) ins Internet. Caltarian identifizierte den Datenverkehr als typisch für ein bestimmtes Botnetz und schlug Alarm. Die vorangegangene Infektion des Clients mit der Malware wurde von den lokalen Antivirensystemen ebenso wenig bemerkt wie ein weiterer Befall des Mailservers in einem anderen Netzwerk. Erst der darauf folgende Datenverkehr von dort fiel bei der automatisierten Logfile-Analyse auf.

Dipper erklärt, dass das SOC immer nur so gut sein kann wie Qualität und Menge der von den Kunden gestellten Logdateien. Seiner Erfahrung nach lassen sich anhand von Logs von IPS-/IDS-Komponenten nur rund ein Drittel aller Attacken erkennen. Kombiniert man diese Einträge mit den korrespondierenden Firewall-Logs, erhöht sich die Erkennungsrate auf knapp über 80 Prozent. Erst durch das Zusammenführen dieser Daten mit denen der auf PCs und Servern installierten Überwachungssysteme wie Virenscanner, lassen sich laut Dipper nahezu alle Attacken erkennen.

Der SOC-Boss gibt aber zu, dass selbst seine Systeme chancenlos sind, wenn der Kunde Opfer einer gezielten Attacke wird. Nicht genug, dass die dabei verwendete Spionagesoftware keiner Antivirensoftware ins Netz geht. Der von ihr erzeugte Datenverkehr passt zudem höchstwahrscheinlich zu keinem der über 74.000 Muster, die im Lauf der Jahre in Caltarian geflossen sind und auf deren Basis das System kategorisiert. Aber auch Botnetz-Betreiber versuchen immer häufiger, die Kommunikation ihrer Bots mit dem Steuerserver zu verschleiern und der Aufmerksamkeit der Wächter zu entgehen.

Die vergleichsweise unspektakuläre Erscheinung seines SOCs erläutert Dipper übrigens damit, dass das SOC erst vor zwei Jahren in ein herkömmliches Bürogebäude umgezogen ist. Zuvor saßen die Experten in einem ausgemusterten Armeebunker tief unter der Erde. Das war zwar dem James-Bond-Image zuträglich, nicht aber der Mitarbeiter-Motivation, die ihre Job ohne Tageslicht erledigen mussten. (dab)