Marktkommentar #13: Security-Events, CISA Red Teaming, Hack-Backs

Marktkommentar /

Hallo zusammen,

wie immer bricht kurz nach der Sommerpause völlig unvorhersehbar der Jahresendspurt über uns herein. Neben buchhalterischen Höhepunkten und dringend abzuschließenden Projekten gibt es auch noch jede Menge Security-Konferenzen.

Wir durften u.a. letzte Woche (als Aussteller) nach Köln auf das mysecurity Event. Insgesamt eine gelungene Veranstaltung, fand ich. Wer schonmal da war, weiß allerdings: Als nichtzahlender CISO bzw. potenzieller Kunde wird man morgens mit einem Stundenplan überrascht, auf dem zig Gespräche mit Anbietern stehen.

Die Aussteller bezahlen nach Anzahl der stattgefundenen Gespräche. Deshalb gibt es auch pro Aussteller eine „Hostess“ (Studentin bzw. in Einzelfällen Studenten), welche die CISOs charmant zu den Anbietern lotsen soll. Die CISOs, dickköpfig wie sie sind, halten sich aber ungern an die aufgezwungenen Stundenpläne und büxen häufig aus, um z.B. Vorträge anzuhören oder sich mit ihren Standesvertretern auszutauschen. Die Studis sind somit regelmäßig auf der Suche nach dem flüchtigen CISO und müssen das Zielobjekt dann mittels Photo oder Namenskärtchen identifizieren. Das Prozedere auf dem Strategiegipfel Cybersecurity in Berlin ist nahezu identisch.

Für dieses Problem haben die Veranstalter einer anderen bekannten Security-Konferenz schon längst die nächste Stufe gezündet: CISOs haben – laut Aussage von Teilnehmern – im Namenskärtchen einen ortbaren Chip, damit sie sich nicht mehr vor den Hostessen verstecken können. Kannte ich sonst bisher nur von Hundehalsbändern 😉. Wie mir eine Managerin von Cyber-Risken verriet, hat sie das Umhängebändchen vor der Heimfahrt schleunigst entsorgt, um nicht noch Zuhause von einer Hostess beglückt zu werden. Ich bin echt gespannt, mit welchen technischen Innovationen wir künftig in unserer Branche noch rechnen dürfen.

Die CISA hat die Ergebnisse eines weiteren Red Teamings veröffentlicht, wieder bei einem Betreiber von kritischer Infrastruktur, Lesedauer ~30-45 Min. Da stecken einige Punkte drin, die man mit der eigenen Security-Organisation durchspielen kann – besonders, falls man noch kein SIEM oder NDR im Einsatz hat, das war hier nämlich der Fall. Einige meiner Aha-Momente:

  • Im ersten Ansatz wurden (nach entsprechender Recherche) Spearphishing-Mails an 13 Nutzer verschickt. Einer der Nutzer hat auch geklickt, aber die Ausführung wurde durch AV/EDR blockiert.
  • Darüber hinaus waren die EDR Lösungen (es waren 2 verschiedene im Einsatz) aber weitestgehend ineffektiv. Zum einen gab es genug Hosts ohne EDR Agent, und zum anderen konnte das CISA Red Team aufgrund vorheriger Tests die Verwendung von Techniken und Payloads vermeiden, die die EDR-Systeme erkannt hätten => Unterstreicht die Notwendigkeit kundenindividueller Anpassungen und Regelsätze.
  • Initial Access ist dann gelungen, weil eine Web Shell aus einem vorherigen Pen Test nicht entfernt wurde, und dazu eine Anwendung auf dem Server noch eine ausnutzbare XXE-Schwachstelle hatte (die Schwachstelle war bekannt, aber aus irgendeinem Grund nicht behoben worden). Als Krönung gab es eine WAF vor dem Server, die aber nur im Monitoring-Modus genutzt wurde und keinen Netzverkehr blockiert hat. Also ein echter Spezialfall.
  • Als nächstes wurde ein Konto mit sudo-Rechten gefunden. Damit konnte (über ein paar Zwischenschritte) ein File Share Server ausgelesen werden, auf dem SSH Keys und Klartext-Passwörter gespeichert waren
  • Linux- und Windows Server waren nicht hinreichend segmentiert
  • Mehr als 40 Rechner im AD hatten „Unconstrained Delegation“ erlaubt => Damit werden Kerberos TGT Tickets lokal gespeichert
  • Es gab auch keine Identity Protection Lösung oder Log-Monitoring für das lokale AD, d.h., Techniken wie DCSync, Admin Account Lockouts oder die direkte Verbindung des Domain Controllers zu einem externen Host wurden nicht erkannt
  • Die Firewalls der DMZ waren ohne IDS/IPS.

 

Sowohl Palo Alto, als auch Sophos haben kürzlich Erfolge von längeren „Hack-back“-Kampagnen veröffentlicht. Bei Sophos wurde dazu ohne Wissen der Kunden bei Verdachtsfällen der Kompromittierung ein Root Kit auf den Firewalls installiert. Das ist natürlich auch nicht unbedingt, was man sich als Kunde wünscht, wie Jürgen Schmidt (Leiter von heise Security) richtigerweise hervorhebt.

Interessanter Aspekt dabei: Tests der Angreifer, ein Cloudbasiertes Security-System zu umgehen, können aufgrund der ständigen Verbindung und Überwachung der zentralen Engine zumindest mit einer gewissen Chance erkannt und das System dann noch vor dem Angriff angepasst werden. Bei reinen on prem Installationen bekommt der Hersteller ja nichts davon mit. Sollte langfristig bedeuten (all other things being equal), dass cloudbasierte EDR / andere Security Lösungen eine präzisere Angriffserkennung bieten können, weil die „Qualitätssicherung“ der Angreifer nur eingeschränkt erfolgen kann – oder?

Ein paar Schlagzeilen aus der M&A-Abteilung:

  • Die Konsolidierung im EDR Sektor schreitet voran: Cybereason wird von Trustwave übernommen, nachdem sich bei Cybereason seit einiger Zeit Schwierigkeiten abzeichnen und die Bewertung in der letzten Fundingrunde um 90% gefallen ist. Trustwave als MDR/MSOC Anbieter hat sich bisher durch eine hohe Bandbreite verfügbarer Tech-Plattformen ausgezeichnet (SentinelOne, Crowdstrike, Microsoft, VMWare CarbonBlack, Palo Alto). Würde keinen Sinn machen, das aufzugeben. Auch hier geht es wahrscheinlich eher um den Kundenzugang und das technische Personal.
  • Crowdstrike hat Adaptive Shield zugekauft, einen Anbieter für SaaS Security (Posture Management für 150 SaaS Apps, Threat Detection auf Basis Nutzerverhalten wie ungewöhnliche Suchen, Geolokationen, Logins)
  • Bitsight kauft den Dark/Deep Web CTI-Anbieter Cybersixgill
  • Silverfort (MFA) verstärkt sich mit Rezonate (Identy Threat Detection+Response)
  • CompTIA geht an Thoma Bravo
  • Wiz kauft DAZZ (Schwachstellenaggregation und -management mit Fokus Cloud, ähnlich Vulcan, Brinqa, Strobes…) für die Kleinigkeit von 450 Mio. USD
  • Voleatech aus Reutlingen  (OT Firewalls) gehört in Zukunft zu Hirschmann bzw. deren Muttergesellschaft Belden

Bisher hatte ich bei den Notizen aus Anbietergesprächen Managed Service Provider sträflich vernachlässigt, obwohl Managed SIEM/SOC, MDR und andere gemanagten Services unsere Top 1 Kategorie bei Angebotsvergleichen und Ausschreibungen sind.

Ich versuche künftig mal, MSSPs einzubauen, auch unter Rückgriff auf das KnowHow meiner werten KollegInnen.

MRCS Materna Radar Cyber Security (Managed SOC):

  • Materna kennen bestimmt viele, österreichisches IT Systemhaus, ca. 4000 MA
  • Es gibt drei SOC-Modelle, die immer auf Elastic aufbauen. Nach meinem Verständnis: Nur Monitoring und Alerting, Monitoring + Response, und letzteres dann optional noch mit gemanagtem AV/EDR (auch Elastic, oder MS Defender) statt nur via gemanagtem SIEM
  • 7/24, alle Analysten sprechen deutsch
  • Das SIEM kann in der private Cloud, OnPrem, bei AWS oder Hybrid betrieben werden
  • NDR kann über Suricata abgebildet werden
  • Add on Möglichkeiten sind u.a.: Incident Response, Managed Risk Schwachstellenscanning + Patchmanagement, SAP Security, Pen Testing und natürlich weitere Beratungsleistungen

Zero Networks:

  • Hochautomatisierte Mikrosegmentierung (ähnlich der Lösungen von Illumio oder Akamai, aber hat mich an einigen Stellen auch an das Threatlocker Network Control Modul erinnert)
  • 100 MA, Headquarter US / Entwicklung Israel
  • 150 Unternehmenskunden, vor allem Mittelstand, z.B. Mediaprint, PEZ (die mit den Bonbon-Spendern), aber auch ein paar Banken
  • Segmentierung jedes einzelnen Hosts (nicht auf Applikationsebene) ohne Agenteninstallation, sondern mit einem Server on prem (1 pro Standort) oder in private Cloud, der zu einer zentralen SaaS-Engine Verbindung hat. Es wird aber kein Netzverkehr des Kunden in die Cloud geladen, sondern nur Regelwerke gespeichert
  • Funktioniert über Service Account, der die Host Firewall-Regeln jeweils auf den lokalen Endpoints konfiguriert (und nur diese Rechte hat)
  • Baselining-Periode von ~1 Monat, um Regelwerke der zugelassenen Zugriffe zu lernen (ohne KI, einfache Logik: Wenn gesehen, dann OK)
  • Bei allen bisher nicht zugelassenen Zugriffen wird ein 2. Faktor angefragt, damit ist dann der Zugriff für eine bestimmte Zeit möglich
  • Automatische Konfiguration von ACL auf Cisco-Switchen möglich, die anderen Hersteller wie Arista oder HP etc. stehen auf der Roadmap
  • Segmentierung von Container Workloads sollen auch bald dazukommen
  • Integration mit einigen gängigen IAM-Tools wie Okta, CyberArk, Duo möglich
  • Lizenzierung nach Anzahl Clients+Server (ohne Mobilgeräte), als Budget soll bei ~2000 Endgeräten wohl um die 80-85 TEUR/a eingeplant werden

Pradeo:

  • Mobile Protection aus Frankreich (ähnlich Zimperium, Lookout, Checkpoint und den EDR-Playern mit MTD-Lösungen, aber einziger Anbieter aus EU)
  • Angriffsvektoren Betriebssysteme und Apps
  • Ca. 60-70 MA
  • Kunden auch im Verteidigungssektor und Behörden, natürlich viel in Frankreich, u.a. die dortige Post. Wird auch von Orange Cyberdefense im SOC genutzt
  • Einfaches Lizenzmodell, nur abhängig von Anzahl Mobilgeräte. Budgetindikation bewegte sich auf dem Niveau gängiger EDR-Lösungen, zwischen 15 und 20 EUR/Gerät und Jahr je nach Abnahmemenge
  • Natürlich optimal integrierbar in die gängigen MDM wie Intune, MobileIron/Ivanti, Knox

Hadrian Security:

  • (Semi-)Automatisierte Pen Test / CTEM /ASM Lösung für Internetverbundene (=externe) Assets inkl. Public + Private Cloud. Ähnlich IONIX, SentinelOne oder das Pentera-Modul für externe Tests.
  • Aus den Niederlanden – dass es sowas überhaupt gibt! Um die 100 MA, ca. 250 Kunden (insgesamt ~3 Mio. Assets), darunter z.B. DHL, ABN Amro, Siemens Energy, Holtzbrinck und die katholische Kirche. Cool, dass hier mal ein europäisches Unternehmen so erfolgreich ist.
  • Besonderheit: Mit sicheren Exploits (Code transparent angezeigt, kein Schadcode, Logging aller Einzelschritte), auch um z.B. Schwachstellen in WAF oder CNAAP auszunutzen. Damit typischerweise Reduzierung der gefundenen Schwachstellen um min. 90% => Deutlich effizientere Priorisierung
  • Allerdings: Keine authenticated Scans möglich, und es wird immer nur die erste Schwachstelle ausgenutzt (d.h., keine Verkettung von Angriffstechniken möglich)
  • Leider gibt es keine SLAs dazu, aber man kann als Kunde wohl damit rechnen, dass innerhalb von 2 Tagen nach Bekanntwerden einer neuen Schwachstelle über Advisories auch der entsprechende Exploit in der Plattform zum Test bereitsteht
  • Threat Hunting über Queries ähnlich Kusto möglich
  • Als Kunde muss man nur noch die IP-Range festlegen
  • Festlegung eines bestimmten Servers oder -Users mit dem Ziel, diesen zu kompromittieren („Crown Jewel“)
  • Schöne Netzwerk-Visualisierung mit Darstellung der Verbindungen und gefundener Anwendungen auf den Servern und „ähnlicher“ Domainnamen (Brand Protection).
  • Hilfreich sicher auch die automatische Berichterstellung über Status und Fortschritt. Das zusammen mit der Multi-Tenant Fähigkeit prädestiniert das Tool natürlich für Managed Service Anbieter
  • Kurz nach der Vorstellung von Hadrian habe ich das Open Source Tool Halberd kennengelernt, mit dem man bisher Entra ID, M365, Azure und AWS Umgebungen testen kann => Natürlich noch eingeschränkter Funktionsumfang (bisher ca. 80 Techniken implementiert), aber für die Profis einen Blick wert
  • Pricing abhängig von Anzahl Assets mit Internet-erreichbarer IP-Adresse (Domains, Subdomains, Zertifikate…), Startpunkt liegt bei ~250 EUR/Asset und Jahr

Same procedure as always: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email.

 

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Unverbindlich anfragen

Unverbindlich anfragen

Associations and industry collaboration

Nach oben scrollen