Das neue SOC Exprivia: zwischen Technologie und Territorium

02/09/21

In dieser Zeit wird immer häufiger über Cyber-Sicherheit gesprochen, auch wenn nicht immer mit voller Sachkenntnis darüber gesprochen wird.

Diesmal dachten wir darüber nach, mit Domenico Raguseo, in seiner Eigenschaft als Direktor des neuen, darüber zu sprechen Sicherheitsbetriebszentrum (SOC) von Molfetta.

Was ist ein SOC? Warum haben Sie ein SOC eröffnet und warum dann in Apulien?

Ein SOC ist ein Zentrum für die Erbringung von Sicherheitsdiensten. Ein SOC befasst sich mit der Überwachung von Sicherheitsereignissen an sieben Tagen in der Woche und H24, Infrastrukturmanagement, Segmentierung und Mikrosegmentierung, Identitätsmanagement und Governance, privilegierten Identitäten und Zugriffen und so weiter. Moderne SOCs beinhalten auch proaktive Services wie Schulungs- und Sensibilisierungsprogramme, Penetrationstests und Schwachstellenbewertung (VAPT) und unser Center ist zudem mit einem „Computer Security Incident Response Team“ (CSIRT) ausgestattet. Selbst wenn die beste Verteidigung die Prävention ist, macht im Falle eines Angriffs die Bereitstellung von hochspezialisiertem Personal in kurzer Zeit den Unterschied zwischen einer Tragödie und einem geringfügigen Schaden.

Im Allgemeinen konzentrieren sich SOCs auf den IT-Perimeter, in unserem Fall beschäftigen wir uns auch mit IoT und Industriesystemen, SCADA und PLC dies, weil viele unserer Kunden der industriellen Welt angehören und die Zukunft der Cybersicherheit im IoT liegt.

Es überrascht nicht, dass einer der von uns am häufigsten verwendeten Anwendungsfälle die Cybersicherheit von Videoüberwachungssystemen betrifft. Wie uns der Fall Mirai lehrt, sollten wir tatsächlich prüfen, dass IoT-Geräte nicht als Basis für weitere Angriffe oder seitliche Bewegungen dienen.

Unser SOC dient auch als Testbed, d.h. es dient dazu, Kunden die von uns produzierten und eingesetzten Technologien sowie spezielle Anwendungsfälle (z.B. MIRAI) zu testen und zu zeigen.

Exprivia glaubt fest an den Wert des Teilens. Deshalb sammelt, analysiert und stellt Exprivia alle drei Monate Daten zu Angriffen, Vorfällen und Verletzungen der Privatsphäre in einem Bericht über Cyber-Bedrohungen in Italien zur Verfügung.

Wir haben ein besonderes Interesse an Digitalisierung und Innovation. Wie wichtig kann Machine Learning (ML) im Kontext von KI in Bezug auf Cyber ​​Threat Intelligence sein?

Ich werde versuchen, die Antwort zu vereinfachen. Wir alle wissen, dass der Begriff Hacker verwendet wird, um eine Person zu identifizieren, die dank ihrer Fähigkeiten in der Lage ist, die Widerstandsfähigkeit eines digitalen Systems zu verbessern oder seine Schwachstellen durch spezifische Aktivitäten zu beheben. Der Bad Hacker hingegen ist derjenige, der versucht, die Schwachstellen digitaler Systeme zu seinem Vorteil auszunutzen.

Wenn nun die Angreifer die ML verwenden, müssen die Guten auch die ML verwenden. Die Anwendungsmöglichkeiten sind vielfältig. ML wird beispielsweise verwendet, um Angriffsmuster zu erkennen oder einen Unfall zu verhindern. Angriffe können über Monate oder Jahre durchgeführt werden und es ist daher wichtig, dank der schnellen Analyse riesiger Datenmengen einen Indicator of Compromise (IOC) identifizieren zu können.

Ein Einsatzgebiet ist das der Anomaly Detection. Angreifer verwenden oft unterschiedliche Methoden, sodass die Erkennung von IOCs immer komplizierter wird. Dank ML ist es einfacher, „normales“ Verhalten zu erkennen und damit anomale Verhaltensweisen zu verstehen.

Zu verstehen, welcher Datenverkehr normal ist und welcher nicht, ist eine der häufigsten Anwendungen von Machine Learning.

In der Operational Technology (OT) und dem Internet of Things (IoT) wird häufig auf die Anomaly Detection Technologie basierend auf Verhaltensanalyse (UBA - User Behavior Analitics) zurückgegriffen.

Auch in Vulnerability Assessment und Penetration Testing ist es möglich, Künstliche Intelligenz einzusetzen: Es gibt beispielsweise Tools, die den Umgang mit SQL-Injection-Techniken lehren, um Anwendungen anzugreifen, die Daten über relationale Datenbanken mit der Sprache SQL verwalten.

Darüber hinaus gibt es ML-Tools, die je nach Software die am wahrscheinlichsten auszunutzenden Schwachstellen identifizieren können.

Wir dürfen jedoch die Cybersicherheit von Systemen der künstlichen Intelligenz nicht vergessen: In diesem Fall sprechen wir von Adversarial Artificial Intelligence. Tatsächlich können wir nicht sicher sein, dass sich die KI so verhält, wie wir es wollen, wenn KI-Systeme mit falschen Daten betrieben werden.

Können Sie uns die Verwendung von Kameranetzwerken oder anderen Objekten erklären, um bestimmte Arten von Angriffen wie Mirai durchzuführen?

Reden wir kurz über IoT und dann kommen wir zu Mirai. Der Markt nähert sich dem IoT-Problem, indem er an das kompromittierte Gerät denkt. Wenn ich zum Beispiel ein Netzwerk von Kameras habe, denke ich, dass der erbrachte Service kompromittiert werden könnte. In Wahrheit ist dies nur ein Aspekt des Problems.

Im Netz gibt es Geräte aller Art, von Kameras bis Uhren, von Waschmaschinen bis hin zu Kühlschränken inklusive smarter Kleidung. Dies bedeutet, dass eine Vielzahl von Objekten potenziell dazu verwendet werden, nicht-direkte Angriffe auf den von den Objekten selbst erbrachten Dienst durchzuführen. Es gibt auch Tools, die helfen, ohne übermäßige Kosten Informationen zu Objekten im Netzwerk zu finden, was Angreifern erleichtert.

Ein Beispiel sind Videoüberwachungskameras. Der Mirai-Angriff nutzt die kompromittierten Kameras (die zwischenzeitlich weiterhin korrekt funktionieren), zielt aber auf andere Dienste ab, die nicht mit der Funktion der Kameras zusammenhängen. Die auf den Kameras installierten Bots werden verwendet, um andere Dinge zu tun, ohne den tatsächlichen Schaden zu bemerken. Das Problem beim IoT besteht darin, dass es Tausende von Objekten mit sehr geringer Sicherheit gibt, die beispielsweise im Fall von Mirai für einen Distributed Denial Of Service (DDOS)-Angriff auf verschiedene Ziele verwendet werden können.

Sicherlich birgt unser Gesellschaftsmodell Cyber-Gefahren und -Risiken, aber es stimmt auch, dass diese oft als Ausrede verwendet werden.

Ich spreche oft mit Menschen aller Art über Cybersicherheit.

Manchmal passiert es, dass Fehler gemacht werden, manchmal sieht man sich mit jemand Besserem konfrontiert. Manchmal ist der Unterschied zwischen den beiden Situationen sehr gering und daher ist es besser abzuwarten und zu verstehen.

Bei der IoT-Sicherheit müssen hingegen zwei Makrobereiche angesprochen werden.

Die erste ist die Governance des IoT. Oft hängt das Sicherheitsproblem von der schlechten Aufteilung der Verantwortlichkeiten innerhalb der Organisation ab. Die Verantwortung für die Kamerasicherheit zu übernehmen, ist beispielsweise mit Kosten verbunden; daher muss jemand nicht nur die Verantwortung übernehmen, sondern auch die Kosten tragen. Es gibt keine Sicherheit umsonst.

Der zweite Punkt betrifft den Markt. Wenn an das Internet angeschlossene Geräte wie Kühlschränke an den allgemeinen Verbraucher verkauft werden, kann vom Benutzer nicht erwartet werden, dass er etwas von Cyber ​​versteht. Der Hersteller sollte die Sicherheit und Zertifizierung dieser Produkte übernehmen. Dies wird höchstwahrscheinlich die Kosten des Produkts erhöhen, aber ich denke, es geht nicht ohne.

Ein weiteres Thema, das uns sehr am Herzen liegt, bezieht sich auf Forschung und Ausbildung. Welche Beziehungen bestehen zwischen Ihrem SOC und Universitäten, Schulen und Forschungszentren?

Unser SOC wurde in der Exprivia-Zentrale in Molfetta eröffnet, aber unser Personal ist auf der ganzen Welt verteilt. Möglichkeit zur Zusammenarbeit mit Universitäten, sowohl für Forschungsaktivitäten. sowohl bei der Auswahl der Talente, ist eine unserer Prioritäten.

Die Branche hat immer das traurige Problem, dass ihr Return-on-Investment bedroht ist. Wenn man bedenkt, dass Angreifer in Forschung und Entwicklung investieren, müssen wir das auch.

Wir beteiligen uns auch an verschiedenen Projekten mit Universitäten, darunter ECHO, ein Projekt der Europäischen Union, das darauf abzielt, die Cyber-Resilienz der Mitgliedsländer zu erhöhen. All dies hilft uns, die Kluft zwischen Angreifern und Verteidigern zu verringern.

Exprivia hat auch eine Akademie ins Leben gerufen, die es uns ermöglicht, einerseits Mitarbeiter mit neuen Fähigkeiten zu vermitteln, die für den Verbleib auf dem Arbeitsmarkt nützlich sind, und andererseits neue Mitarbeiter auszubilden.

Mit der Einführung von Künstlicher Intelligenz werden die Zeiten für den Angriff und die Identifizierung einer Abwehrstrategie immer kürzer. Wie können Sie sich mit KI verteidigen?

KI wird hauptsächlich verwendet, um einen Angriff zu identifizieren und die besten Reaktionsschritte vorzuschlagen. KI kann helfen, aber heute hängt alles auch von der eingesetzten Technik in den Systemen, von den Menschen und deren Vorbereitung und vielen anderen Elementen ab.

Im Allgemeinen müssen wir jedoch von einem Unfall und nicht von einem Angriff sprechen.

Bei einem Unfall ist bereits nach einer ersten Analyse erkennbar, ob ein Angriff im Gange ist und die KI kann sowohl bei der Analyse als auch bei der Ausarbeitung adäquater Gegenmaßnahmen in kürzester Zeit helfen.

Wir müssen jedoch bedenken, dass es im Allgemeinen nicht immer und für jeden Angriffstyp eine gültige Verteidigungsart gibt. Sie sollten also nicht den Fehler machen, zu glauben, dass KI die Lösung für alle Angriffsarten ist. Glücklicherweise gibt es jedoch Tools, die Künstliche Intelligenz auf unterschiedliche Weise nutzen.

Generell ist Cybersicherheit sehr komplex und hängt von vielen Faktoren ab; Künstliche Intelligenz kann helfen, kann sich aber auch als nutzlos oder gefährlich erweisen. Vieles hängt noch immer von den Fähigkeiten der Menschen ab.

Welche neuen Cybersicherheitslösungen gibt es?

Heute wird viel über Mikrosegmentierung gesprochen, eine sehr nützliche Technologie, dank der zwei Benutzer nur über bestimmte Kanäle, über bestimmte Dienste oder bestimmte Themen sprechen können, nicht über alles.

Der Wechsel in die Cloud ist auch eines der Themen, die noch viel diskutiert, aber oft wenig verstanden werden; die Cloud kann sicherlich dazu beitragen, die Sicherheit zu verbessern, aber wichtig ist, dass sie richtig verwendet wird.

Domenico, Sie haben einen schönen Überblick über SOC und die verwendbaren Technologien gegeben, aber wir haben immer noch eine Neugierde, also lassen Sie uns zum Schluss auf die erste Frage zurückkommen: Warum in Apulien?

Exprivia, ein von seinem jetzigen Präsidenten Domenico Favuzzi gegründetes, börsennotiertes Unternehmen mit rund 2400 Mitarbeitern, hat seinen Sitz in Apulien.

Es erschien uns daher am sinnvollsten, das SOC in dieser Region zu eröffnen, um auch zur Entwicklung des Territoriums beizutragen. Es ist klar, dass wir überall in Italien und im Ausland Dienstleistungen erbringen; Viele Mitarbeiter kommen aus Apulien, aber die Fachleute, die mit uns arbeiten, kommen aus verschiedenen Regionen und arbeiten auch aus der Ferne und nicht mit italienischen und ausländischen Kunden.

Alessandro Rugolo, Maurizio D’Amato, Simone Domini

Um mehr zu erfahren:

- Exprivia - Zukunft. Perfekt. Einfach

- Exprivia Threat Intelligence Report 2Q 2021

- Cybersicherheit: Was ist ein SOC? - Online-Verteidigung

- ECHO-Netzwerk

- Was ist ein SCADA-System? - Grundlagen von SCADA - InstrumentationTools

- Was ist SPS? Speicherprogrammierbare Steuerung - Unitronics (unitronicsplc.com)