In den Tagen zwischen dem 24. und 28. April fand es im statt Exzellenzzentrum für kooperative Cyber-Verteidigung der NATO, in Tallinn, die Locked Shields-Übung, die größte und fortschrittlichste Cyber-Verteidigungsübung der Welt.
Ziel der Übung ist es, Cyber-Sicherheitsexperten im Schutz nationaler IT-Systeme auszubilden.
Die teilnehmenden Gruppen hatten die Aufgabe, die Systeme und Dienste einer hypothetischen Nation (sogenannte Teams von Menschen aus aller Welt) zu schützen und aufrechtzuerhalten Blaues Team). Bei der Übung werden die Teams einer Vielzahl von Tests unterzogen, die von der Bewältigung von Cyber-Vorfällen bis hin zu umfassenderen rechtlichen, rechtlichen oder strategischen Überlegungen reichen. Alles muss so realistisch wie möglich sein, daher wird umfassend auf neu entwickelte Verteidigungs- und Angriffstechniken zurückgegriffen und alle verfügbaren neuen Technologien genutzt.
Konkret wurde mit dem diesjährigen Prozess versucht, den Betrieb von Netzwerken und Diensten eines Militärflugplatzes einer fiktiven Nation aufrechtzuerhalten, die komplexen Angriffen auf das elektrische System, UAVs (unbemannte Luftfahrzeuge), Befehls- und Kontrollsysteme, kritische Informationsinfrastrukturen usw. Ich denke, es ist klar, dass die Größe dieser Übung und die Art der Herausforderungen i Blaues Team stellt Herausforderungen dar, die sich über den gesamten Cyberspace erstrecken, unabhängig von der gewählten Definition1.
Mehr als 2500 mögliche verschiedene Angriffsarten können durchgeführt werden, um die Fähigkeiten des zu testen Blaues Team. Tatsächlich gibt es für diese Herausforderung an gegnerische Parteien auch i Rotes Team die eine gegensätzliche Aufgabe haben Blaues Team, das heißt, das Netzwerk und die Dienste anzugreifen und zu zerstören (oder die Daten zu stehlen, zu verändern, unbrauchbar zu machen und so die Befehls- und Kontrollfunktionen des Gegners zu zerstören).
Zusätzlich zu den taktischen Aspekten der Operation, die darauf abzielen, praktische Vorteile vor Ort zu erzielen, kann eine Cyber-Verteidigungs- (oder Cyber-Angriffs-)Operation auch strategische Aspekte haben, indem sie beispielsweise auf die Moral einer ganzen Nation einwirkt oder eine Branche in die Welt der Limousinensoftware einbinden. Die Locked Shields-Übung berücksichtigte erstmals auch die strategischen Aspekte von Operationen im Cyberspace.
Die Übung steht nicht jedem offen, die Teilnahme erfolgt jedoch auf Einladung. An der aktuellen Ausgabe beteiligten sie sich Team aus 25 Nationen mit insgesamt 800 Teilnehmern. Der ständige Übungsort war Tallinn in Estland, aber die Blue Teams konnten über einen sicheren Zugang zum Netzwerk auch aus ihrem eigenen Land teilnehmen.
Die Aktivität erfolgte in zwei Phasen. Am 18. und 19. April hatte zunächst jeder die Möglichkeit, das Übungsnetzwerk zu erkunden. In dieser Phase konnten die Blue Teams die für die Verteidigung benötigten Karten erstellen.
In der zweiten Phase, der aktiven Phase, engagierten sich die Konkurrenten, darunter die Blaues Team Italienisch.
Nach dieser kleinen Einführung, die darauf abzielt, jedem ein Mindestmaß an Wissen über die Aktivität zu vermitteln, wollen wir uns nun anhand der Stimmen einiger Teilnehmer der Aktivität genauer ansehen, was passiert ist Blaues Team Italienisch von Abteilung für Computerwissenschaften der Universität La Sapienza in Rom.
Professor Mancini, wie war die Nationalmannschaft zusammengesetzt? Habt ihr alle als Blue Team gespielt?
Ja. Das Team bestand aus Mitgliedern aus dem Verteidigungs-, Universitäts- und Industriebereich. Wir arbeiteten alle als Blue Team, hatten jedoch spezifische Aufgaben wie Recht, Forensik, schnelle Reaktion, öffentliche Information, Ticketausstellung usw. usw.
Soweit man weiß, muss die Übung sehr anspruchsvoll gewesen sein. Welche Dokumentation wurde zur Verfügung gestellt? Haben Sie die Netzwerkpläne neu erstellt?
Natürlich hatten wir Zugriff auf die gemeinsame Plattform, die wir für das Tutorial nutzten, wo wir eine zusammenfassende Beschreibung der Systeme hatten. Wir hatten erst mit der Einarbeitung am 18. und 19. April einen effektiven Zugang, um einige Konfigurationen aus erster Hand kennenzulernen.
Wir hatten das Netzwerkdiagramm, nicht sehr detailliert und mit nur den Systemen, die uns bekannt gewesen sein mussten. Der vollständige Plan, einschließlich aller nicht gekennzeichneten Rouge-APs oder -Maschinen, war nicht bekannt.
Was waren die Ziele des Blue Teams?
Unser Ziel als Blue Team war es, das Netzwerk zu überwachen und eventuelle Vorfälle aus technischer, rechtlicher und kommunikativer Sicht zu managen.
Wer spielte die Rolle des Roten Teams?
Das Rote Team besteht aus Mitgliedern der in Tallinn ansässigen Nationen sowie Mitgliedern des CCDCOE und Unternehmen. Es handelt sich um eine technische Gruppe, die die gesamte Infrastruktur und ihre Schwachstellen im Voraus kennt und die verschiedenen Teams systematisch angreift, um die Reaktionsfähigkeit und Überwachungsfähigkeit zu bewerten.
Professor Mancini, wie realistisch kann eine solche Übung Ihrer Erfahrung nach angesehen werden? In der realen Welt unterliegt der Cyberspace ständigen Veränderungen seiner Komponenten und jeder Angreifer hat Zeit auf seiner Seite (APT gilt als das größte Risiko), aber bei dieser Übung bleibt keine Zeit, Benutzergewohnheiten zu studieren und Angriffsmethoden zu erforschen. Dies schränkt die Möglichkeiten, einen Teilbereich der Realität anzugreifen, erheblich ein. Was denken Sie? Wie sollte eine Übung organisiert und durchgeführt werden, damit sie möglichst realitätsnah ist?
Bei der so zusammengestellten Übung handelt es sich definitiv um eine Art Training in realen Szenarien, man geht von der Annahme aus, dass die Systeme kompromittiert sind, also definitiv eine Denkweise, die man häufiger anwenden sollte. Die Verwaltung einer komplexen Infrastruktur wie der von Locked Shields ist sicherlich ein Anreiz für Techniker und muss vom System genutzt werden, um mit innovativen Lösungen zu experimentieren oder neue Produkte zu testen, ob proprietär oder Open Source.
Einer der anspruchsvollsten Aspekte der Übung sind sicherlich die Einschränkungen, zum Beispiel ist es nicht möglich, alles bestmöglich zu überwachen, sondern es müssen Entscheidungen getroffen und die Ereignisse entsprechend selektiert werden, um zu verstehen, worum es geht detaillierter oder nicht, und das alles unter Gewährleistung der Benutzererfahrung, die weiterhin problemlos funktionieren muss. Wir waren mit Benutzeraktionen konfrontiert, die Sicherheitsrisiken mit sich brachten, und daher mussten wir diese Aktionen entschärfen, ohne den Benutzerbetrieb zu beeinträchtigen.
Herr Professor, wir danken Ihnen für diese ersten Antworten und hoffen, dass wir mit Ihnen einige Aspekte dieser Übung und ganz allgemein dieses „Cyberspace“, den wir Tag für Tag kennenzulernen beginnen, weiter erforschen können.
Hinweis:
1 Es gibt keine gemeinsame Definition des Cyberspace. Wir könnten die italienische Version übernehmen, die im jüngsten DPCM vom 17. Februar 2017 vorgesehen ist und im GU vom 13. April 2017 veröffentlicht wurde. 2.h definiert Cyberspace als: „die Gesamtheit miteinander verbundener IT-Infrastrukturen, einschließlich Hardware, Software, Daten und Benutzer sowie die logischen Beziehungen, wie auch immer sie hergestellt sind, zwischen ihnen“. Weitere offizielle Definitionen finden Sie unter folgendem Link: https://ccdcoe.org/cyber-definitions.html.
Quellen:
https://ccdcoe.org/locked-shields-2017.html;
https://ccdcoe.org/cyber-definitions.html
http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-eser...
