In dieser Zeit wird immer häufiger über Cybersicherheit gesprochen, auch wenn darüber nicht immer in voller Sachkenntnis gesprochen wird.
Diesmal dachten wir, wir würden mit Domenico Raguseo in seiner Eigenschaft als Direktor des Neuen darüber sprechen Sicherheitsbetriebszentrum (SOC) von Molfetta.
Was ist ein SOC? Warum haben Sie ein SOC eröffnet und warum dann in Apulien?
Ein SOC ist ein Zentrum für die Erbringung von Sicherheitsdiensten. In einem SOC befassen wir uns mit der Überwachung von Sicherheitsereignissen sieben Tage die Woche und rund um die Uhr, Infrastrukturmanagement, Segmentierung und Mikrosegmentierung, Identitätsmanagement und Governance, privilegierte Identitäten und Zugriffe und so weiter. Moderne SOCs umfassen auch proaktive Dienste wie Schulungs- und Sensibilisierungsprogramme, Penetrationstests und Schwachstellenbewertung (VAPT) und unser Zentrum verfügt außerdem über ein „Computer Security Incident Response Team“ (CSIRT). Auch wenn Prävention die beste Verteidigung ist, macht die schnelle Bereitstellung hochspezialisierten Personals im Falle eines Angriffs den Unterschied zwischen einer Tragödie und einem geringfügigen Schaden aus.
Im Allgemeinen konzentrieren sich die SOCs auf den IT-Perimeter. In unserem Fall beschäftigen wir uns stattdessen auch mit IoT und industriellen Systemen, SCADA und PLC. Dies liegt daran, dass viele unserer Kunden der industriellen Welt angehören und die Zukunft der Cybersicherheit im IoT liegt.
Es ist kein Zufall, dass einer der von uns am häufigsten genutzten Anwendungsfälle mit der Cybersicherheit von Videoüberwachungssystemen zusammenhängt. Tatsächlich sollten wir, wie uns der Fall Mirai zeigt, sicherstellen, dass IoT-Geräte nicht als Basis für weitere Angriffe oder laterale Bewegungen genutzt werden.
Unser SOC dient auch als Testbed, d. h. es dient dazu, die von uns produzierten und eingesetzten Technologien sowie bestimmte Anwendungsfälle (z. B. MIRAI) zu testen und Kunden zu zeigen.
Exprivia glaubt fest an den Wert des Teilens und sammelt, analysiert und stellt anschließend Daten zu Angriffen, Vorfällen und Datenschutzverletzungen öffentlich zur Verfügung und erstellt alle drei Monate einen Bericht über IT-Bedrohungen in Italien.
Unser besonderes Interesse gilt der Digitalisierung und Innovation. Wie wichtig kann maschinelles Lernen (ML) in der KI im Hinblick auf Cyber-Bedrohungsinformationen sein?
Ich werde versuchen, die Antwort zu vereinfachen. Wir alle wissen, dass mit dem Begriff Hacker eine Person bezeichnet wird, die aufgrund ihrer Fähigkeiten in der Lage ist, durch gezielte Aktivitäten die Widerstandsfähigkeit eines digitalen Systems zu verbessern oder dessen Schwachstellen zu beheben. Der schlechte Hacker hingegen ist derjenige, der versucht, die Schwachstellen digitaler Systeme zu seinem Vorteil auszunutzen.
Wenn nun die Angreifer ML nutzen, müssen auch die Guten ML nutzen. Die Einsatzmöglichkeiten sind vielfältig. Beispielsweise wird ML eingesetzt, um Angriffsmuster zu erkennen oder einen Vorfall zu verhindern. Angriffe können über Monate oder Jahre hinweg durchgeführt werden. Daher ist es wichtig, durch die schnelle Analyse großer Datenmengen einen Indicator of Compromise (IOC) identifizieren zu können.
Ein Anwendungsgebiet ist die Anomalieerkennung. Da Angreifer häufig unterschiedliche Methoden anwenden, wird die Erkennung von IOCs immer komplizierter. Dank ML ist es einfacher, „normales“ Verhalten zu erkennen und somit anomales Verhalten zu erkennen.
Zu verstehen, welcher Datenverkehr normal ist und welcher nicht, ist eine der häufigsten Anwendungen des maschinellen Lernens.
In der Betriebstechnik (OT) und im Internet der Dinge (IoT) greift man häufig auf Anomalieerkennungstechnologien zurück, die auf Verhaltensanalysen (UBA – User Behavior Analitics) basieren.
Künstliche Intelligenz kann auch bei der Schwachstellenbewertung und dem Penetrationstest eingesetzt werden: Es gibt beispielsweise Tools, die Ihnen den Einsatz von SQL-Injection-Techniken beibringen, mit denen Sie Anwendungen angreifen, die Daten über relationale Datenbanken mithilfe der SQL-Sprache verwalten.
Darüber hinaus gibt es ML-Tools, die je nach Software die Schwachstellen identifizieren können, die am wahrscheinlichsten ausgenutzt werden.
Wir dürfen jedoch die Cybersicherheit von Systemen der künstlichen Intelligenz nicht vergessen: In diesem Fall sprechen wir von Adversarial Artificial Intelligence. Wenn KI-Systeme tatsächlich mit falschen Daten gespeist werden, können wir nicht sicher sein, dass sich die KI so verhält, wie wir es wollen.
Können Sie uns den Einsatz von Kameranetzwerken oder anderen Objekten zur Durchführung bestimmter Angriffsarten wie Mirai erklären?
Lassen Sie uns einen Moment über IoT sprechen und dann kommen wir zu Mirai. Der Markt nähert sich dem Thema IoT und denkt dabei an das kompromittierte Gerät. Wenn ich beispielsweise über ein Netzwerk von Kameras verfüge, denke ich, dass der erbrachte Dienst beeinträchtigt sein könnte. In Wahrheit ist dies nur ein Aspekt des Problems.
Im Netz gibt es Geräte aller Art, von Videokameras bis zu Uhren, von Waschmaschinen bis zu Kühlschränken inklusive smarter Kleidung. Das bedeutet, dass viele Objekte potenziell für Angriffe genutzt werden, die nicht auf die von den Objekten selbst erbrachte Leistung abzielen. Es gibt auch Tools, die dabei helfen, ohne übermäßige Kosten Informationen über Objekte im Netzwerk zu finden, was Angreifern hilft.
Ein Beispiel sind Videoüberwachungskameras. Der Mirai-Angriff nutzt die kompromittierten Kameras (die inzwischen weiterhin ordnungsgemäß funktionieren), zielt jedoch auf andere Dienste ab, die nichts mit der Funktion der Kameras zu tun haben. Die auf den Kameras installierten Bots werden für etwas anderes verwendet, ohne den tatsächlichen Schaden zu bemerken. Das Problem beim IoT besteht darin, dass es Tausende von Objekten mit sehr geringer Sicherheit gibt, mit denen, beispielsweise im Fall von Mirai, ein Distributed Denial Of Service (DDOS)-Angriff gegen verschiedene Ziele durchgeführt werden kann.
Es stimmt sicherlich, dass mit unserem Gesellschaftsmodell Cybergefahren und -risiken verbunden sind, aber es stimmt auch, dass diese oft als Vorwand genutzt werden.
Ich spreche oft mit Menschen aller Art über Cybersicherheit.
Manchmal passiert es, dass Fehler gemacht werden, manchmal steht man vor jemandem, der besser ist. Manchmal ist der Unterschied zwischen den beiden Situationen sehr gering und daher ist es besser, abzuwarten und zu verstehen.
Wenn es um IoT-Sicherheit geht, müssen jedoch zwei Makrobereiche angegangen werden.
Die erste ist IoT-Governance. Oftmals ist das Sicherheitsproblem auf die schlechte Aufteilung der Verantwortlichkeiten innerhalb der Organisation zurückzuführen. Die Verantwortung für die Kamerasicherheit beispielsweise zu übernehmen, ist mit Kosten verbunden; Daher muss jemand nicht nur die Verantwortung übernehmen, sondern auch die Kosten tragen. Es gibt keine Sicherheit ohne Kosten.
Der zweite Punkt betrifft den Markt. Wenn Sie mit dem Internet verbundene Geräte wie Kühlschränke an den allgemeinen Verbraucher verkaufen, können Sie nicht erwarten, dass der Benutzer etwas über Cyber-Angriffe versteht. Das produzierende Unternehmen sollte für die Sicherheit und Zertifizierung dieser Produkte verantwortlich sein. Dies wird höchstwahrscheinlich die Kosten des Produkts erhöhen, aber ich denke, wir können nicht mehr darauf verzichten.
Ein weiteres Thema, das uns am Herzen liegt, betrifft Forschung und Ausbildung. Welche Beziehungen bestehen zwischen Ihrem SOC und Universitäten, Schulen und Forschungszentren?
Unser SOC wurde in der Exprivia-Zentrale in Molfetta eröffnet, unsere Mitarbeiter sind jedoch über die ganze Welt verteilt. Möglichkeit zur Zusammenarbeit mit Universitäten, sowohl im Rahmen von Forschungsaktivitäten. Sowohl bei der Auswahl der Talente ist eine unserer Prioritäten.
Die Branche steht immer vor dem bedauerlichen Problem, dass die Kapitalrendite gefährdet ist. Angesichts der Tatsache, dass Angreifer in Forschung und Entwicklung investieren, müssen wir das auch tun.
Wir beteiligen uns auch mit Universitäten an verschiedenen Projekten, darunter ECHO, einem Projekt der Europäischen Union, das darauf abzielt, die Cyber-Resilienzkapazität der Mitgliedsländer zu erhöhen. All dies hilft uns, die Kluft zwischen Angreifern und Verteidigern zu verringern.
Exprivia hat außerdem eine Akademie ins Leben gerufen, die es uns einerseits ermöglicht, Personal mit neuen Fähigkeiten zu versetzen, die für den Verbleib auf dem Arbeitsmarkt nützlich sind, und andererseits neues Personal auszubilden.
Mit der Einführung Künstlicher Intelligenz werden die Zeiten für den Angriff und die Identifizierung einer Verteidigungsstrategie immer kürzer. Wie kann KI zur Selbstverteidigung eingesetzt werden?
KI wird hauptsächlich verwendet, um einen Angriff zu erkennen und die besten Gegenmaßnahmen vorzuschlagen. KI kann helfen, aber heute hängt alles auch von der in den Systemen verwendeten Technologie, von den Menschen und ihrer Vorbereitung und von vielen anderen Elementen ab.
Im Allgemeinen muss jedoch von einem Unfall und nicht von einem Anschlag gesprochen werden.
Bei einem Vorfall lässt sich bereits nach einer ersten Analyse erkennen, ob ein Angriff im Gange ist und KI kann sowohl bei der Analyse als auch bei der Entwicklung adäquater Gegenmaßnahmen in kürzester Zeit helfen.
Wir müssen jedoch bedenken, dass es im Allgemeinen keine Art von Verteidigung gibt, die immer für jede Art von Angriff gilt. Daher dürfen wir nicht den Fehler machen zu glauben, dass KI die Lösung für alle Arten von Angriffen ist. Glücklicherweise gibt es jedoch Tools, die Künstliche Intelligenz auf unterschiedliche Weise nutzen.
Generell ist Cybersicherheit sehr komplex und hängt von vielen Faktoren ab; Künstliche Intelligenz kann helfen, sich aber auch als nutzlos oder gefährlich erweisen. Es hängt immer noch viel vom Können der Menschen ab.
Was sind die neuen Cybersicherheitslösungen?
Heutzutage wird viel von Mikrosegmentierung gesprochen, einer sehr nützlichen Technologie, dank der zwei Benutzer nur über bestimmte Kanäle, über bestimmte Dienste oder über bestimmte Themen sprechen können, nicht über alles.
Auch der Wechsel in die Cloud gehört zu den Themen, die immer noch viel diskutiert, aber oft kaum verstanden werden; Die Cloud kann sicherlich zur Verbesserung der Sicherheit beitragen, wichtig ist jedoch, dass sie richtig eingesetzt wird.
Domenico, Sie haben einen schönen Überblick über das SOC und die Technologien gegeben, die verwendet werden können, aber wir haben noch eine Kuriosität, also kehren wir zum Abschluss noch einmal zur ersten Frage zurück: Warum in Apulien?
Exprivia, ein von seinem jetzigen Präsidenten Domenico Favuzzi gegründetes, börsennotiertes Unternehmen mit rund 2400 Mitarbeitern, hat seinen Hauptsitz in Apulien.
Daher schien es uns das Vernünftigste, das SOC in dieser Region zu eröffnen, um auch zur Entwicklung des Territoriums beizutragen. Es ist klar, dass wir unsere Dienstleistungen überall in Italien und im Ausland anbieten; Viele unserer Mitarbeiter kommen aus Apulien, aber die Fachleute, die mit uns zusammenarbeiten, kommen aus verschiedenen Regionen und arbeiten auch aus der Ferne und nicht mit italienischen und ausländischen Kunden.
Alessandro Rugolo, Maurizio D'Amato, Simone Domini
Um mehr zu erfahren:
- Exprivia - Zukunft. Perfekt. Einfach
– Exprivia Threat Intelligence Report 2Q 2021
- Cybersicherheit: Was ist ein SOC? - Online-Verteidigung
- ECHONetzwerk
- Was ist ein SCADA-System? - Grundlagen von SCADA - InstrumentationTools
- Was ist SPS? Speicherprogrammierbare Steuerung – Unitronics (unitronicsplc.com)
