Was braucht es, um ein Cybersecurity-Forscher zu sein?

Cyber Security News

Hinter den Strategien und Lösungen, die zur Bekämpfung der heutigen Cyber-Bedrohungen benötigt werden, stehen engagierte Cyber-Sicherheitsforscher. Sie verbringen ihr Leben damit, Code zu sezieren und Vorfallsberichte zu analysieren, um herauszufinden, wie man die Bösewichte aufhalten kann.

Aber was treibt diese Spezialisten an? Um die Beweggründe zu verstehen, warum diese Cybersecurity-Profis tun, was sie tun, haben wir uns entschlossen, mit Cybersecurity-Analysten aus aller Welt zu sprechen.

Um Ansichten aus Europa, Asien und Amerika zu erhalten, haben wir kürzlich mit einem Team von Forschern aus dem globalen Netzwerk der Cyber Protection Operations Centers (CPOCs) von Acronis gesprochen: Candid Wüest, VP of Cyber Protection Research, der in der Schweiz ansässig ist; Alexander Ivanyuk, Senior Director, Product, and Technology Positioning, der in Singapur ansässig ist; und zwei Cybersecurity Analysten, Topher Tebow und Blake Collins, die beide in den USA ansässig sind.

Das Gespräch ergab einige interessante Einblicke in ihre Sicht der Welt, wie sie an die Analyse von Cyber-Bedrohungen herangehen und welche Risiken als die größten Herausforderungen für den Bereich Cybersecurity heute herausragen.

Was treibt Sie als Sicherheitsanalyst an, diese Art von Arbeit zu machen?

Während die individuellen Motivationen, warum diese Cybersecurity-Forscher tun, was sie tun, von Person zu Person variieren (wie in jeder Branche), standen zwei Eigenschaften im Vordergrund: die Liebe zur Problemlösung und der Wunsch, die Guten zu sein.

Wüest erklärte: “Ich bin ein neugieriger Mensch, der Rätsel und Herausforderungen mag. Daher ist es für mich faszinierend, Cyberattacken zu verfolgen und Wege zu finden, ihren Ablauf effizient zu stören.”

Collins schloss sich dieser Meinung an und sagte: “Malware ist für mich faszinierend, da sie ein kleines Rätsel sein kann. Wie ist sie dorthin gekommen, was macht sie, und wer ist dafür verantwortlich? Es ist so befriedigend, sich in verschleierten Code zu vertiefen, ihn zu verstehen und rückgängig zu machen. Und wenn man eine Bedrohung beseitigt, hat man das Gefühl, die Welt zu verbessern.”

Dieser Antrieb, die digitale Welt sicherer zu machen, wurde auch von anderen geteilt. Tebow erklärte: “In gewisser Weise fühlt sich das Schreiben von Erkennungsregeln oder das Melden eines neuen C2-Servers wie Selbstjustiz an. Ich bin vielleicht nicht immer Batman, aber es fühlt sich trotzdem unglaublich an, Alfred zu sein – und die Bemühungen zu unterstützen, Kriminelle zur Strecke zu bringen.”

Wüest ist sich bewusst, dass es eine tatsächliche Auswirkung hat, das Internet zu einem sichereren Ort für alle zu machen. “Es ist beunruhigend zu sehen, dass einige Cyberattacken Leben in der realen Welt zerstört haben. Deshalb möchte ich meinen Beitrag leisten, um die Situation zu verbessern.”

Ihre Bemühungen, Probleme zu lösen und Angriffe zu verhindern, sind definitiv notwendig. Obwohl 75 % der Unternehmen angeben, alle empfohlenen Sicherheitsmaßnahmen getroffen zu haben, kam es im vergangenen Jahr bei mehr als der Hälfte zu unerwarteten Ausfallzeiten aufgrund von Datenverlusten.

Was ist die größte Überraschung, die Sie in Ihrer Karriere als Sicherheitsanalyst erlebt haben?

Selbst nach insgesamt 55 Jahren in der Cybersicherheit finden diese Forscher immer noch Überraschungen bei ihrer täglichen Arbeit.

Aus technischer Sicht, sagt Collins, “überrascht mich die schiere Menge an Malware, die es gibt. Wenn man die Nachrichten zur Cybersicherheit verfolgt, hat man eine allgemeine Vorstellung davon, dass Malware überall ist und Probleme verursacht. Aber hinter den Kulissen beginnt man zu schätzen, wie erstaunlich hoch die Anzahl der Malware-Varianten ist.”

Genauso entmutigend sei, so Wüest weiter, wie lange es dauert, schlechte Gewohnheiten zu ändern. “Als Branche kämpfen wir immer noch viel mit alten Problemkonzepten wie SQL-Injections, schwachen Standardpasswörtern oder unverschlüsselten sensiblen Daten. Es gibt Lösungen für diese Probleme, aber sie werden nicht so breit angewendet, wie sie sollten. Selbst wenn es einen großen Datenschutzskandal gibt, gibt es einen anfänglichen Aufschrei, aber die Leute fallen schnell wieder in ihre alten Gewohnheiten zurück.”

Diese Gewohnheiten können leider zu etwas Schlimmerem führen – Apathie. “Die größte Überraschung ist die Selbstgefälligkeit der Cybersicherheitsexperten”, sagt Tebow. “Es ist für mich erstaunlich, wie oft ich eine ‘das ist nun mal so’-Einstellung antreffe. Ich würde gerne sehen, dass sich mehr Fachleute für die Herausforderung begeistern, Cyberkriminelle zur Strecke zu bringen und sogar die kleinen Erfolge auf dem Weg dorthin zu feiern.”

Welche Trends oder Techniken haben Sie bei der Identifizierung oder Bekämpfung neuer Cyberbedrohungen als besonders effektiv empfunden?

Angesichts der Flut neuer Bedrohungen, die ständig zunimmt, da die Angreifer Automatisierung und KI/ML-Optimierungen einsetzen, ist Wüest ein Verfechter bedrohungsagnostischer Schutzlösungen.

“Anstatt zu versuchen, die 4 Millionen neuen Malware-Samples zu identifizieren, die jede Woche auftauchen, sollten Sie sich darauf konzentrieren, Ihre Daten vor unerwünschten Manipulationen oder Verschlüsselung zu schützen, unabhängig davon, wie die Malware aussieht. Eine intelligente Verhaltensüberwachung, die über den Kontext der Prozesse hinausgeht, kann eine effektive Waffe gegen moderne Cyberbedrohungen sein.”

Als Leiter der Cyberschutz-Forschung fügt er hinzu, dass User Entity Behavior Analytics (UEBA) in Kombination mit Zero Trust, Secure Access Service Edge (SASE) und Multi-Faktor-Authentifizierung (MFA) vielversprechend ist, vor allem angesichts der heutigen Work-from-anywhere-with-anything-Realität – aber er warnt, dass es keinen Königsweg gibt.

“Ein integrierter Ansatz über Silos hinweg mit effizienter Automatisierung und Transparenz ist der Schlüssel, aber auch die Bedeutung der Grundlagen – wie starke Authentifizierung und Patch-Management -, die immer noch zu viele Unternehmen übersehen.”

Ivanyuk stimmte dem zu und sagte: “Der Einsatz von Verhaltensheuristiken und geeigneten KI/ML-Modellen ist entscheidend, um Angriffe zu erkennen, aber einfache Dinge wie MFA und rollenbasiertes Management, unterstützt durch ständige Schwachstellenbewertungen und Patch-Management, sind überraschend effektiv, um Angriffe zu verhindern.”

Um diese Art von automatisierten Lösungen zu ermöglichen, sagt Collins, dass ihm die Fähigkeit, häufig bösartiges Verhalten oder Code auf eine einfache Regel oder Signatur herunterzubrechen, gute Dienste geleistet hat.

“Diese Art von Erkennungen erlaubt es, ein weites Netz auszuwerfen, das neue, unentdeckte Malware zur Analyse einbringen kann.”

Tebow merkte an, dass auch die Trendanalyse eine effektive Technik ist. Als er Kryptojacking-Malware untersuchte, entschied er sich, allgemeine Kryptowährungstrends zu untersuchen. “Ich fand heraus, dass Spitzen und Einbrüche bei Cryptojacking dem Anstieg und Fall des Cryptocurrency-Wertes folgten. Das gab uns einen Vorsprung von 24-48 Stunden, um uns gegen die nächste Angriffswelle zu verteidigen und zu wissen, auf welche Kryptowährung wir achten müssen.”

Gab es irgendwelche Vorfälle, bei denen die Raffinesse des Angriffs Sie überrascht hat – oder sogar beeindruckt hat?

Während Ivanyuk auf Klassiker wie den Stuxnet-Angriff und den jüngsten SolarWinds-Hack als gute Beispiele verweist, merkt Collins an, dass es nicht immer die Raffinesse eines Angriffs ist, die beeindruckt.

“Ich bin immer wieder beeindruckt von den Exploits, die böswillige Akteure finden können”, sagt er. “Vor ein paar Jahren gab es einen Fehler in PHP7, der RCE ermöglichte, der überraschend einfach zu nutzen war, indem ein Parameter mit einer Nutzlast in einer Webadresse übergeben wurde. Manchmal ist ein Exploit umso beeindruckender, je einfacher er ist.”

Wüest, der Teil des Teams war, das eine der ersten tiefen Stuxnet-Analysen durchführte, sagte, dass einige Ransomware-Angreifer einen interessanten Ansatz verfolgten, indem sie eine ungeschützte Backup-Cloud-Konsole verwendeten.

“Sie stahlen sensible Daten, indem sie ein neues Backup an einem Cloud-Standort unter ihrer Kontrolle erstellten. Dann nutzten sie die Backup-Software, um die Malware auf kritischen Workloads innerhalb des Unternehmens wiederherzustellen. Es war ein beeindruckender Einsatz von “living-off-the-land”-Techniken, bei dem die eigene vertrauenswürdige Infrastruktur des Opfers gegen sie verwendet wurde.”

Können Sie eine Rangfolge der Sicherheitsbedrohungen aufstellen, über die Sie sich am meisten Sorgen machen, und erklären, warum?

Alle vier Cybersecurity-Forscher waren sich einig, dass Ransomware nach wie vor die größte Sicherheitsbedrohung darstellt – vor allem angesichts der Umstellung von einfacher Datenverschlüsselung auf Datenexfiltration.

“Gezielte Ransomware steht ganz oben auf meiner Liste, weil das doppelte Erpressungsschema, bei dem Daten gestohlen und Workloads verschlüsselt werden, für die Angreifer sehr profitabel sein kann”, so Wüest. “Mit Lösegeldforderungen von bis zu 50 Millionen Dollar gibt es für Cyberkriminelle keinen Grund, aufzuhören. Die angewandten Techniken sind längst mit APT-Methoden wie dem Leben auf dem Land oder dem Ausnutzen von exponierten Diensten wie der Exchange ProxyLogon-Schwachstelle verschmolzen, was eine zuverlässige Erkennung erschwert.”

In den vergangenen 15 Monaten fanden die CPOC-Analysten von Acronis Beweise dafür, dass die Daten von mehr als 1.600 Unternehmen auf der ganzen Welt nach einer Ransomware-Attacke geleakt wurden, weshalb sie das Jahr 2021 als “The Year of Extortion” bezeichnet haben.

“Es ist ein Punkt erreicht, an dem ich zögere, sie überhaupt noch Ransomware-Banden zu nennen”, fügte Tebow hinzu. “Ich habe begonnen, sie als Erpresserbanden zu bezeichnen. Die Exfiltration von Daten und die Drohung, alles Sensible freizugeben, ist zu einer primären Erpressungsmethode geworden, zu der sie nach einem anfänglichen Zeitrahmen steigende Lösegeldforderungen und die Androhung zusätzlicher Angriffe, wie z. B. eines DDoS, hinzufügen, wenn das Lösegeld nicht bezahlt wird.”

“Mit Ransomware können sie Geld in nicht zurückverfolgbaren Kryptowährungen erhalten, während das Stehlen von Geld über Online-Banking die Wahrscheinlichkeit erhöht, dass sie später erwischt werden”, erklärt Ivanyuk. “Das Problem ist, dass Ransomware weiterhin gut funktioniert, vor allem weil Privatpersonen und Unternehmen weiterhin nicht über Ransomware informiert sind.”

Tatsächlich ergab eine aktuelle Acronis-Umfrage unter IT-Anwendern und IT-Profis auf der ganzen Welt, dass 25 % der Anwender nicht wissen, was Ransomware ist.

Neben Ransomware erwarten die vier Forscher eine Zunahme von Supply-Chain-Angriffen wie dem SolarWinds-Verlust. “Es gibt viele Variationen dieser Angriffe, von der Kompromittierung eines Softwareanbieters bis hin zur Injektion von Code in ein Open-Source-Code-Repository”, so Wüest

“Aufgrund der Natur der Vertrauenskette kann es fast unmöglich sein, eine solche Manipulation zu erkennen, bis es zu spät ist, da sie bei Bedarf von einer vertrauenswürdigen Quelle heruntergeladen und durch das offizielle digitale Zertifikat verifiziert wird. Solche Angriffe sind nicht trivial zu erstellen, werden aber in Zukunft weiter zunehmen, da sie auch bei gut geschützten Zielen erfolgreich sind.”

Tebow fügte hinzu, dass es noch ein weiteres Risiko gibt, das jeder, der sich mit Cybersicherheit beschäftigt, im Auge behalten sollte – egal, ob er ein Forscher ist oder an der Front steht.

“Ich sehe den Wunsch von Analysten und Organisationen, ‘es auf eigene Faust zu machen’, als eine enorme Bedrohung”, warnte er. “Wenn wir die altmodische, siloartige Methode der Bekämpfung von Cyberkriminalität beibehalten, haben wir keine Hoffnung, Cyberkriminelle zu besiegen. Nur wenn wir zusammenarbeiten, haben wir eine Chance, große Schlachten gegen Cyberkriminelle zu gewinnen.”

Über die Acronis Cyber Protection Operations Centers: Acronis unterhält ein globales Netzwerk von Cyber Protection Operations Centern mit Standorten in Singapur, Arizona und der Schweiz, die es den CPOC-Analysten ermöglichen, einen “Follow-the-Sun”-Ansatz für einen 24-Stunden-Betrieb zu nutzen. Die Analysten erkennen, analysieren und bereiten Reaktionen auf neue Risiken für Daten vor, von den neuesten Cyberangriffen bis hin zu Naturkatastrophen. Die gewonnenen Erkenntnisse werden genutzt, um Bedrohungswarnungen zum Schutz der Kundenumgebungen herauszugeben und die Entwicklung der Cyberschutzlösungen des Unternehmens zu unterstützen.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com