EMC Critical Incident Response Center: Wo Kreative für Netzwerksicherheit sorgen

2011 musste RSA erleben, dass selbst Security-Unternehmen nicht vor Hackern sicher sind. Nach dem spektakulären Einbruch stellte der Mutterkonzern EMC das interne IT-Sicherheitsteam völlig neu auf. Mit dabei: Künstler und Musikwissenschaftler. Das bislang erfolgreiche Konzept könnte als Vorbild dienen.

Dieser Beitrag ist mehr als 9 Jahre alt.
Bild: EMC

Musiker verfolgen Einbrecher

Von Uli Ries

Das Critical Incident Response Center (CIRC) gab es bei EMC schon vor dem Jahr des Einbruchs bei der Tochter RSA Security. Nachdem man im Jahr 2011 aber schmerzlich erfahren musste, dass der Lieferant von Sicherheitslösungen selbst kriminellen Hackern zum Opfer gefallen war, machten sich die Mannen unter Leitung von CIRC-Chef James Lugabihl an ein neues Konzept.

Das CIRC kümmert sich um Sicherheitsvorfälle, geht verdächtigem Verhalten im Netzwerk auf den Grund, nimmt Schwachstellen in Software unter die Lupe und Malware auseinander und betreibt das Threat Management für EMC. „Im Jahr 2009 arbeiteten wir wie die meisten anderen auch“, erzählt Lugabihl. „Wir teilten unsere Mitarbeiter in ein dreistufiges Konzept ein und befassten uns mit dem Überwachen von Logfiles, Analysen, Forensik und Schadensbehebung“, so Lugabihl. Das sollte sich nun ändern.

Auffälliges erkennen ist eine Kunst

Die neue Struktur sieht nicht mehr länger den Dreistufenaufbau vor, sondern hoch spezialisierte Teams, die jeweils eng definierte Aufgaben erfüllen und ständig mit ihren Kollegen im Austausch sind.

Grob lassen sich die Fachbereiche innerhalb des CIRC so aufteilen: Ein Team sammelt Daten im Netzwerk und versucht auffälliges Verhalten auszumachen. Andere Kollegen befassen sich ausschließlich mit Malware sowie Spam– und Phishing-Nachrichten sowie damit, wie man diese aufspüren und bekämpfen kann. Darüber hinaus analysieren diese Mitarbeiter auch den Webtraffic von EMC und kümmern sich um die forensische Analyse infizierter Endpunkte. Eigene Spezialisten nehmen Paketmitschnitte unter die Lupe und analysieren Infektionswege im Detail. Durch diese Arbeitsteilung haben die einzelnen Mitarbeiter jeweils klar zu bewältigende Aufgaben vor sich.

CIRC Evolution.png
Der Speicher­lieferant hat sein Team zur Be­kämpfung von IT-Sicher­heits­angriffen in den letzten Jahren neu struk­turiert. Heute nehmen sich spe­ziali­sierte Teams eng defi­nierter Fach­bereiche an. (Bild: EMC)

Bei der Auswahl seiner Leute geht Lugabihl mitunter originelle Wege. So sind z.B. in der Abteilung, die sich um das erstmalige Aufspüren von Anomalien im Netzwerk kümmert, ein ehemaliger Kunststudent und ein Musikwissenschaftler zugange. Ihrem Boss zufolge bringen Mitarbeiter, die nicht den klassischen Weg des Informatik- oder sonstigen Technikstudiums gegangen sind, nämlich entscheidende Vorteile mit: Sie denken anders und sind aufgrund ihrer Talente in der Lage, Merkwürdigkeiten im schier unendlichen Wust aus Daten zu entdecken. Fachleute verlören sich da öfter in den Details.

MittelstandsWiki 15.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2014. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Verbindung halten, nachverfolgen

EMC bildet die Quereinsteiger konsequent aus und fort, sodass sie auffällige Datenpakete auch im Detail analysieren und den Kollegen, die sich um das Eindämmen des Problems kümmern müssen, eine entsprechend fundierte Mitteilung zukommen lassen können.

Ohne Technik geht es dabei natürlich nicht. Denn anders lassen sich die 55 Mio. pro Stunde gesammelten Log-Eintrage, die von 2000 Sicherheitskomponenten im kompletten Netzwerk erzeugt werden, gar nicht sichten. EMC verlässt sich hier zum großen Teil auf Produkte aus dem eigenen Haus. Insgesamt schütze man über 60.000 IT-Komponenten in 350 Niederlassungen, die sich über 85 Länder der Erde erstrecken, so Lugabihl.

Aber Technik alleine ist natürlich nicht ausreichend. Auch die Abläufe müssen stimmen. Dem CIRC-Leiter zufolge sind quasi alle großen (IT-)Organisationen im Jahr 2014 schlecht auf Angriffe vorbereitet. Seiner Erfahrung nach bricht Chaos aus, sobald eine erfolgreiche Attacke entdeckt wird. Wer dann z.B. in einer Kurzschlussreaktion sämtliche Netzwerkverbindungen trenne, verliere die Spur zum Angreifer. Diese sei aber notwendig, um mehr über Motive und den Schweregrad der Attacken herauszufinden. Besser sei es, den Tätern mit Tools zur Netzwerküberwachung auf Schritt und Tritt auf die Finger zu schauen und so letztendlich vielleicht sogar an den Aufenthaltsort oder die Identitäten zu kommen. Denn ohne digitale Spuren können auch Strafverfolger auf der Suche nach den Hintermännern nur hilflos mit den Schultern zucken.

Mit chirurgischer Präzision

Oft scheitern Unternehmen aber schon daran, die Attacke überhaupt rechtzeitig zu erkennen. RSA selbst fand erst nach dem erfolgten Angriff und dem Absaugen von Daten durch die Kriminellen heraus, dass da etwas faul ist im eigenen Netz. Letztendlich war es die Software des kurz zuvor übernommenen Unternehmens NetWitness, das den entscheidenden Hinweis gab.

Lugabihls Team hat im dritten Quartal 2013 z.B. rund 180 infizierte Endgeräte im Netzwerk entdeckt. Wie hoch die Dunkelziffer ist, wisse er natürlich auch nicht. Aber der CIRC-Leiter geht davon aus, dass man alle erfolgreichen Angriffe auch zeitnah feststellen könne.

Ein weiterer wichtiger Punkt sind die Kosten, die mit dem Beheben der Infektionen verbunden sind. EMC gab im ersten Halbjahr 2013 rund 450.000 Euro aus, um verseuchte Maschinen zu säubern. Diese Kosten seien gegenüber der Vergangenheit massiv gesunken, so der CIRC-Leiter. Der Grund: Man arbeite weitgehend ohne das zeitraubende Neuaufsetzen (Re-Imaging) der Rechner, sondern entferne die Malware lieber mit dem Skalpell. Das heißt: Fachleute löschen verdächtige Registry-Einträge, Dateien und Ordner vom ansonsten intakten System.

Jede Sekunde zählt

Auf beeindruckend niedrige vier Stunden konnte das EMC-CIRC die Zeitspanne zwischen der Infektion einer Maschine und deren Säuberung eindampfen. Dies gilt zumindest dann, wenn den Spezialisten der Angriff, also die verwendete Malware oder der Exploit-Code, bereits bekannt waren.

Es geht also darum, die möglichst viele Attacken zu kennen. Dazu nutzt das CIRC-Team u.a. die im eigenen Haus gesammelte Threat Intelligence, die RSA auch seinen Kunden als Produkt per Datenstrom anbietet. Hinzu kommen noch Daten aus externen Quellen, wie sie z.B. iDefense für Softwareschwachstellen liefert. Angereichert werden die externen Quellen dann durch die Daten, die aus den internen Logfiles und den im Intranet gesammelten Datenpaketen stammen. Auch Meldungen aus dem installierten DLP-System (Data Leakage Prevention) werden mit einbezogen. Die Datenmenge, die sich daraus ergibt, fällt zweifelsohne unter Big Data. Ohne Big Data kommt auch das CIRC von EMC nicht aus – alles andere wäre angesichts des Kerngeschäfts von EMC (Speicher) auch erstaunlich.

Big Data im Zusammenspiel

Die Big-Data-Analysen des CIRC suchen im gewaltigen Strom der Log-Ereignisse nicht nur nach gängigen Auffälligkeiten wie verschlüsseltem Datenverkehr, der direkt an eine IP-Adresse im Internet geht oder Netzwerkscans, die von Maschinen im Intranet ausgehen. Die Systeme halten auch Ausschau nach Auffälligkeiten wie einem geänderten Anmeldeverhalten eines Anwenders oder dessen Zugriff auf bislang nie verwendete Daten und Anwendungen. Auch das ungewöhnlich schnelle Absetzen von Kommandos oder rasche Abfolgen von Netzwerkzugriffen lassen eher auf Malware als auf überirdisch motivierte Mitarbeiter schließen. Alarmlämpchen erglühen auch, wenn sich Anwender zu ungewohnten Uhrzeiten oder von bislang unbekannten Orten einloggen.

CIRC inside.jpg
Das komplette CIRC-Team bei EMC umfasst nur 24 Mitarbeiter. Sie schützen über 60.000 End­geräte welt­weit vor In­fek­tionen. (Bild: EMC)

All dies reicht zwar noch nicht, um einen Angriff fest­zustellen. Aber korreliert man die Daten, kommt man einer Attacke schneller auf die Spur, als wenn man jedes Ereignis separat betrachten würde. Diese Aufgabe erfüllt in Teilen Software. Alarm schlagen aber die Spezialisten des CIRC.

Fazit: 24 Mann für 60.000 Endgeräte

Im Vergleich zum Aufwand, den EMC bei Hard- und Software treibt, nimmt sich das komplette CIRC-Team bescheiden aus: Lediglich 24 Mitarbeiter gehören zur Mannschaft von James Lugabihl. „Meine Mitarbeiter kosten lediglich einen Bruchteil dessen, was wir für Sicherheitsinfrastruktur ausgeben“, sagt der CIRC-Leiter. Die hohe Schlagkraft sei ein Ergebnis des neu strukturierten CIRC – das es ohne den fatalen Hack im Jahr 2011 so nicht geben würde.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links