Mein Freund Dave ist Polizist im Staat New York, und wenn ich zum Grillen zu ihm nach Hause gehe, höre ich mir gerne seine Geschichten an, während wir am Lagerfeuer sitzen.
Bei einer bestimmten Grillparty im vergangenen Sommer erzählte er von einer kürzlichen Aufregung.
„Wir haben das Drogenlabor schon ein paar Mal durchsucht, also wussten wir, worauf wir uns einließen. Tommy stürmte die Tür ein und wir gingen hinein, wobei die örtliche Polizei Deckung bot.“
Wow. Ich glaube, ich habe davon in den Nachrichten gehört.
Als er fertig war, fühlte es sich an, als wäre ich an der Reihe, etwas zu sagen. Ich begann damit, einen Witz darüber zu machen, wie ich den ganzen Tag nur mit Computern herumhantiere. Er sah mich mit ernster Miene an und erklärte: „Du willst doch keine Drogenlabors überfallen, Phil. Sei dankbar für das, was du hast.“
Freundliche Worte, aber ich fühlte mich immer noch wie Gomer Pyle, der mit Rambo spricht. Trotzdem bestand er darauf, dass er die meiste Zeit an einem Schreibtisch in einer Kabine verbringt und Berichte tippt.
„Phil“, begann er, „neunundneunzig Prozent der Zeit sitze ich herum und mache langweilige, ermüdende Arbeit und warte darauf, dass etwas Aufregendes passiert. Und wenn es endlich soweit ist, ist es blitzschnell vorbei.“
Das hat bei mir Anklang gefunden. Sehen Sie, ich habe es wirklich geliebt, ein traditioneller Netzwerktechniker zu sein. Vielleicht lag es daran, dass ich für Value-Added-Reseller gearbeitet habe und die neuste und coolste neue Ausrüstung in die Hände bekommen durfte, aber ich denke, es lag eher daran, dass ich die Gelegenheit hatte, als Netzwerk-Held von Projekt zu Projekt zu fliegen. Jeder Tag fühlte sich an wie Aufregung, organisiertes Chaos und Abenteuer.
Netzwerksicherheit ist jedoch ein ganz anderes Ballspiel. Heute arbeite ich für eine interne IT-Abteilung, nicht für ein Beratungsunternehmen, und anstatt als Netzwerkheld von Projekt zu Projekt zu ziehen, verbringe ich meine Tage in der Langeweile und Monotonie von Sicherheitsaufgaben. Das Sammeln und Grübeln über riesige Mengen an Informationen aus Netzwerkscans und Audits ist überhaupt nicht aufregend, aber diese Langeweile ist das Herzstück der Informationssicherheit.
Dave hat es mir erklärt. Bei der Strafverfolgung ist das Sammeln und Kategorisieren von Informationen, die zu einer Verhaftung führen und schließlich vor Gericht zu Beweismitteln werden können, von größter Bedeutung. Nichts darf fehlen, und alles muss perfekt gemacht werden. Der aufregende Teil mag nur wenige Minuten dauern, aber die mühsame Arbeit davor und danach ist genauso wichtig.
Informationssicherheit hat viele Parallelen. Einer der Gründe, warum meine Arbeit so langweilig ist, ist, dass sie einfach so langweilig ist. Das Verwalten von Skripten zum Sammeln von Daten, das Beaufsichtigen einer Handvoll Scan-Plattformen, die eine Menge Lärm erzeugen, und das Ansehen der Audit-Zusammenfassungs-E-Mails, die jeden Morgen mein Postfach überschwemmen, motiviert mich nicht, jeden Tag aufzustehen. Sicherheitsmüdigkeit ist eine reale Sache.
Aber dann passierte es. Als sich unser Gespräch darauf verlagerte, über unsere Kinder zu sprechen, begann mein Telefon hektisch zu summen. Ich fummelte im Dunkeln am Entsperrknopf herum, nur um zu sehen, dass es mein Chef war, der mir eine SMS schrieb, dass die Dateiserver gesperrt waren. Es sah aus wie ein Ransomware-Angriff, und ich wusste, warum er so besorgt war. Auf diesen Servern befand sich eine Menge wertvollen geistigen Eigentums.
Sofort stand ich auf und entschuldigte mich dafür, dass ich in Eile gehen musste. Normalerweise würde ich mich einfach per VPN mit dem Firmennetzwerk verbinden, aber ich hatte meinen Laptop nicht dabei und Daves Satelliten-Internetverbindung war miserabel. Außerdem wollte ich in einer solchen Situation so viele Monitore wie möglich vor mir haben sowie die großen Bildschirme an der Wand, auf denen Sicherheitsüberwachungs-Dashboards in Echtzeit angezeigt werden.
Nachdem wir das Büro erreicht hatten, war der erste Schritt, den Standort vom Rest des globalen Netzwerks zu trennen. Der übergeordnete Plan war einfach: das Risiko für den Rest des Netzwerks mindern und die Blutung stoppen
Nachdem ein kleines Team den Rest des Netzwerks zusammengestellt und auf Ransomware überprüft hatte, beruhigten sich die Dinge. Der CIO hat angerufen und nach einem Update gesucht. Haben wir Daten verloren? Wie ist diese Ransomware eingedrungen? Wie hat es sich verbreitet? Hatten wir gute Backups?
Hier trifft der Gummi auf die Straße in der Informationssicherheit. Wenn alles abgeriegelt und die Blutung gestoppt ist, beginnen die Fragen. Genau wie dieser schnelle Ausbruch intensiver Action, gefolgt von einer Rückkehr zum Alltäglichen, den mein Freund am Lagerfeuer beschrieb, war dies die Zeit für mich, mich einzuleben und in den unzähligen Scandaten nach Hinweisen zu suchen.
Aber denken Sie daran, dass dies keine triviale Aufgabe ist. Es wurden keine automatisierten Skripte gestartet, als anomale Aktivitäten erkannt wurden, und ich hatte mehrere Tools, die ich mir ansehen musste, um mir ein vollständiges Bild zu machen. Logs musste ich mir anschauen. Ich musste durch Dutzende von Grafiken scrollen. Ich musste die Leute spät in der Nacht aufwecken. Ich musste mich bei Dutzenden von Geräten anmelden. Wenn ich nur die Informationen darüber hätte, was genau zum Zeitpunkt des Angriffs passiert ist.
Das ist Langeweile, das ist Ineffizienz, das ist fehleranfällig, und das ist sicherlich nicht die Art und Weise, wie man einen Cyberangriff im 21. Jahrhundert bewältigt. Aber es ist, was ich hatte, und ich musste nachverfolgen, wie diese Malware eingedrungen ist und auf die Dateiserver gelangt ist.
Umgekehrt, NetBrain automatisiert diesen gesamten Prozess. In meinem speziellen Fall Executable Runbooks hätten automatisch gestartet werden können, um Skripte auszuführen, die Informationen in Echtzeit sammeln. Das hätte unserem Team spezifische und relevante Informationen direkt zur Verfügung gestellt, wenn wir sie brauchten.
Dies ist kein geringer Vorteil in einer Sicherheits-Post-Mortem. Ich musste es alleine angehen und Protokolle durchsuchen, die von Geräten generiert wurden, die von mehreren Teams verwaltet wurden. Automatisiert Runbook Ergebnisse hätten allen unseren Teams die gleichen relevanten Informationen zur gleichen Zeit zur Verfügung gestellt.
Und genauso wichtig wie herauszufinden, wie und wann die Bösewichte eingedrungen sind, ist, wie sich die Malware in unserem Netzwerk verbreitet hat. NetBrain Dynamic Mapping bietet die visuelle Fehlerbehebung dass ich manuell herausfinden musste. Anstatt Geräte einzeln zu crawlen, was sowohl mühsam als auch fehleranfällig ist, NetBrain bietet eine API-ausgelöste Methode zum dynamischen Erstellen einer Netzwerkkarte eines Angriffspfades in Echtzeit.
Wir waren nicht gründlich auf einen Angriff vorbereitet, vor allem wegen der Zeit und Energie, die es braucht, um vorbereitet zu sein und angemessen zu reagieren. Eine robuste Software, die den gesamten Prozess automatisiert, hätte es mir ermöglicht, die Sicherheitslage meines Unternehmens drastisch zu verbessern, ohne Teams von Praktikanten zum Lesen von Protokolldateien einstellen zu müssen.
Leider blieb ich in der Steinzeit hängen. Nachdem ich meine Frau angerufen hatte, um ihr mitzuteilen, dass es eine Weile dauern würde, goss ich mir eine frische Tasse Kaffee ein, holte tief Luft und fing an, manuell durch die Protokolle zu graben. . . eine Zeile nach der anderen.