Locked Shields 2017: die wichtigste Cyberübung der Welt

(Di Alessandro Rugolo, Ciro Metaggiata)
02

In den Tagen zwischen der 24 und der 28 April fand sie am Exzellenzzentrum für kooperative Cyber-Verteidigung der NATO, in Tallin, die Locked Shields-Übung, die größte und fortschrittlichste Cyber-Verteidigungsübung der Welt.

Die Übung zielt darauf ab, Cybersicherheitsexperten zum Schutz nationaler IT-Systeme auszubilden.

Die teilnehmenden Gruppen hatten die Aufgabe, die Systeme und Dienste einer hypothetischen Nation zu schützen und zu warten (diese Teams von Menschen aus der ganzen Welt werden genannt) Blaues Team). Die Übung unterzieht die Teams einer Reihe von Tests, die vom Management von Cyber-Vorfällen bis hin zu umfassenderen rechtlichen, rechtlichen oder strategischen Überlegungen reichen. Alles muss so realistisch wie möglich sein. Daher werden in großem Umfang neue Verteidigungs- und Angriffstechniken eingesetzt und alle verfügbaren neuen Technologien eingesetzt.

Insbesondere haben wir mit dem diesjährigen Test versucht, den Betrieb von Netzen und Diensten eines Militärflughafens einer fiktiven Nation aufrechtzuerhalten, die komplexen Angriffen auf das Elektrizitätssystem, die UAVs (unbemannte Luftfahrzeuge), Befehls- und Steuerungssysteme, kritische IT-Infrastrukturen usw. Ich denke, es ist klar, dass die Größe dieser Übung und die Art der Herausforderungen, denen sie ausgesetzt sind Blaues Team stellt uns vor Herausforderungen, die den gesamten Cyberraum abdecken, unabhängig von der gewählten Definition1.

Über 2500 hinaus können verschiedene Arten von Angriffen durchgeführt werden, um die Fähigkeiten des zu testen Blaues Team. Für diese Herausforderung an Gegenparteien gibt es nämlich auch die Rotes Team die haben gegensätzliche aufgabe mit Blaues Teamoder angreifen und zerstören (oder Daten stehlen, modifizieren, unbrauchbar machen und damit die Fähigkeit zerstören, sich Command and Control zu widersetzen), das Netzwerk und die Dienste.

Zusätzlich zu den taktischen Aspekten der Operation, die darauf abzielen, praktische Vorteile im Feld zu erzielen, kann eine Cyber ​​Defense (oder Cyber ​​Attack!) - Operation strategische Aspekte haben, zum Beispiel indem sie auf die Moral einer ganzen Nation einwirkt oder eine Branche gefährdet Software-Welt. Die Locked Shields-Übung berücksichtigte zum ersten Mal auch die strategischen Aspekte der im Cyber ​​Space durchgeführten Operationen.

Die Übung steht nicht jedem offen, die Teilnahme erfolgt jedoch auf Einladung. In der aktuellen Ausgabe haben sie teilgenommen Team von 25-Nationen für insgesamt 800-Teilnehmer. Der Ort der Übung war Tallin in Estland, aber die Blue Teams konnten auch von ihrem eigenen Land aus teilnehmen, indem sie einen sicheren Zugang zum Netzwerk hatten.

Die Aktivität erfolgte in zwei Schritten. In einem ersten, dem 18 und dem 19 April, wurde jedem die Gelegenheit gegeben, das Übungsnetzwerk zu erkunden. In dieser Phase konnten die Blue Teams die für die Verteidigung benötigten Karten erstellen.

Die zweite Phase, die aktive, umfasste die Anwärter, darunter die Blaues Team Italienisch.

Nach dieser kleinen Einführung, die darauf abzielt, jedem ein Mindestmaß an Wissen über die Aktivität zu vermitteln, wollen wir nun anhand der Stimme einiger Teilnehmer der Konferenz genauer sehen, was passiert ist Blaues Team Italienisch der Institut für Informatik der Sapienza Universität von Rom.

Herr Professor Mancini, wie war die Nationalmannschaft zusammengesetzt? Habt ihr alle wie Blue Team gespielt?

Ja, das Team bestand aus Verteidigungs-, Universitäts- und Industriekomponenten. Wir arbeiteten alle als Blue Team, hatten jedoch spezifische Aufgaben wie Recht, Forensik, schnelle Reaktion, Information der Öffentlichkeit, Ticketing usw. usw.

Soweit Sie sehen, muss die Übung eine große Herausforderung gewesen sein. Welche Art von Dokumentation wurde zur Verfügung gestellt? Haben Sie die Netzwerkschemata rekonstruiert?

Natürlich hatten wir Zugriff auf die gemeinsam genutzte Plattform, auf der wir die Systeme kurz beschrieben haben. Wir hatten nur mit der Einarbeitung des 18-19 Aprile Zugriff auf einige Konfigurationen.

Wir hatten das Netzwerkschema, nicht sehr detailliert und nur mit den Systemen, die uns bekannt sein mussten. Das vollständige Schema mit allen nicht gemeldeten Rouge-APs oder -Maschinen war nicht bekannt.

Was waren die Ziele des Blue Teams?

Unser Ziel als Blue Team war es, das Netzwerk zu überwachen und alle Vorfälle unter technischen, rechtlichen und kommunikativen Gesichtspunkten zu verwalten.

Wer hat die Rote Mannschaft gespielt?

Das Rote Team setzt sich aus Mitgliedern der in Tallinn ansässigen Nationen sowie Mitgliedern des CCDCOE und Unternehmen zusammen. Es handelt sich um eine technische Gruppe, die die gesamte Infrastruktur und die damit verbundenen Schwachstellen im Voraus kennt und die verschiedenen Teams systematisch angreift, um die Reaktions- und Überwachungskapazität zu bewerten.

Professor Mancini, wie kann eine solche Übung Ihrer Erfahrung nach als realistisch angesehen werden? In der realen Welt ist der Cyberspace ständigen Änderungen seiner Komponenten ausgesetzt und mögliche Angreifer haben Zeit für sich (APT wird als das größte Risiko angesehen). Stattdessen bleibt in dieser Übung keine Zeit, die Benutzergewohnheiten zu untersuchen und Wege zu erkunden des Angriffs. Dies schränkt die Möglichkeit, eine Teilmenge des Realen anzugreifen, stark ein. Was denkst du Wie sollte eine Übung organisiert und durchgeführt werden, um so realistisch wie möglich zu sein?

Die so komponierte Übung ist sicherlich eine Art des Trainings in realen Szenarien, beginnend mit der Annahme, dass die Systeme kompromittiert sind, also eine Mentalität, die häufiger angewendet werden sollte. Das Management einer komplexen Infrastruktur wie der von Locked Shields ist sicherlich ein Anreiz für Techniker und muss vom System genutzt werden, um innovative Lösungen oder neue Produkte zu testen, sei es Eigentümer oder Open Source.

Einer der herausforderndsten Aspekte der Übung ist sicherlich die Einschränkung, zum Beispiel, dass Sie nicht alles in vollem Umfang überwachen können, sondern dass Sie Entscheidungen treffen und die Ereignisse nachvollziehen müssen, um zu verstehen, was detaillierter behandelt werden soll oder nicht, und dies bei gleichzeitiger Gewährleistung der Benutzererfahrung, die weiterhin problemlos funktionieren muss. Wir sahen uns Benutzeraktionen gegenüber, die Sicherheitsrisiken mit sich brachten, und mussten diese Aktionen daher abmildern, ohne den Betrieb des Benutzers zu beeinträchtigen.

Herr Professor, wir danken Ihnen für diese ersten Antworten und hoffen, dass Sie in der Lage sind, einige Aspekte dieser Übung und allgemein diesen "Cyberspace", den wir Tag für Tag zu kennen beginnen, genauer zu betrachten.

Hinweis:

1 Es gibt keine gemeinsame Definition von Cyber ​​Space. Wir könnten die italienische Version übernehmen, die in der jüngsten DPCM der 17 vom Februar 2017 vorgesehen ist, die in der GU der 13 vom April 2017 veröffentlicht wurde. Art. 2.h definiert den kybernetischen Raum als: "den Satz miteinander verbundener IT-Infrastrukturen, einschließlich Hardware, Software, Daten und Benutzer sowie logischer Beziehungen zwischen ihnen, wie auch immer". Weitere offizielle Definitionen finden Sie unter dem Link: https://ccdcoe.org/cyber-definitions.html.

Quellen:

https://ccdcoe.org/locked-shields-2017.html;

https://ccdcoe.org/cyber-definitions.html

http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-eser...