Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

Spotlight auf Trustwave SpiderLabs, Teil 1: Proaktive Threat Intelligence

Dieser zweiteilige Beitrag bietet einen Einblick in das SpiderLabs-Team von Trustwave. Dessen Aufgabe besteht unter anderem darin, neue Bedrohungen zu erkennen und zu analysieren sowie Kunden zu helfen, Sicherheitsverletzungen zu erkennen, zu bekämpfen und ihre Systeme nach solchen Verletzungen wiederherzustellen. Darüber hinaus wird der gesamte Cybersicherheitsbereich durch die eigene Forschung und Aufklärung unterstützt. Um die Aktivitäten und Arbeitsweisen von Trustwave SpiderLabs besser zu verstehen, haben wir mit Mark Whitehead, Global Vice President, SpiderLabs Consulting sowie Ziv Mador, VP Security Research, und Brian Hussey, VP Cyber Threat Detection and Response, gesprochen.

Trustwave SpiderLabs beschäftigt weltweit Sicherheitsforscher, Ethical-Hacker, forensische Sicherheitsanalytiker und Incident-Response-Teams. Diese suchen nach neuen Bedrohungen, Angriffsmethoden, staatlichen und anderen kriminellen Hackern, um zu ermitteln, welchen Risiken Unternehmen aktuell täglich ausgesetzt sind. „Trustwave SpiderLabs startete 2005 mit einer Belegschaft von nur fünf Mitarbeitern und ist seitdem organisch gewachsen“, erinnert sich Ziv Mador. „Heute beschäftigen wir mehr als 200 Experten mit der umfangreichsten Hands-On-Erfahrung im Bereich Cybersicherheit.“

Trustwave SpiderLabs unterstützt seine Kunden durch Managed Threat Detection and Response-Services sowie proaktive Test- und Response-Initiativen. So unterstützt das Team Unternehmen dabei, Kompromittierungen zu verhindern, zu erkennen und Systeme nach einem Sicherheitsvorfall wiederherzustellen, während es gleichzeitig auch die Security-Intelligence-Community im Allgemeinen unterstützt. Trustwave SpiderLabs unterhält eine riesige Threat-Intelligence-Datenbank, die sich konstant weiterentwickelt, da das Team wöchentlich dutzende Millionen Datenpunkte erfasst.

Threat Intelligence – die Forschungsarbeit

Das Team von Trustwave SpiderLabs sammelt täglich Millionen Sicherheitsereignisse wie etwa Kundenzwischenfälle, Ereignisse aus Antivirus-Lösungen oder aus Intrusion Detection- und Prevention-Systemen, von Netzwerk-Endpoints, Datenbankscannern, Domain-Controllern, Honeypots und verschiedenen anderen Sicherheitsprodukten. Diese Ereignisse werden an das globale Netzwerk des Trustwave Security Operation Center (SOC) übermittelt und dort verarbeitet, analysiert, identifiziert, überwacht und weiter bearbeitet.

Das effektive Monitoring von Ereignissen aus so vielen Regionen und Umgebungen wird durch die enorme Menge an Threat Intelligence, über die Trustwave SpiderLabs verfügt, ermöglicht. Die Daten reichen von Malware-Samples über E-Mail-Bedrohungen bis hin zu Phishing-Angriffen, Business-Email-Compromise-Angriffen (BEC), Schadcodes, Netzwerkbedrohungen und webbasierten Bedrohungen. Doch das Team hält nicht nur nach Bedrohungen Ausschau – es kann außerdem Sicherheitsprobleme innerhalb eines Unternehmens entdecken; z.B. Lücken in Patches, veraltete oder anfällige Software, Zugriffe auf Datenbanken und Abfragen, die nicht den festgelegten Vorschriften entsprechen, sowie andere Anzeichen von Sicherheitsschwachstellen.

Die Ethical-Hacker von Trustwave SpiderLabs führen darüber hinaus eigene aktive Forschungen durch und prüfen neue Angriffsmethoden in verschiedenen Umgebungen sowie Software-Anwendungen. So wollen sie Hackern zuvorkommen, Hersteller benachrichtigen und Patches erstellen, bevor die Schwachstelle von kriminellen Angreifern ausgenutzt werden kann.

Darüber hinaus überwacht ein spezialisiertes Team das Dark Web sowie Foren von Hackern und anderen Cyberkriminellen. Auf diese Weise können sie erfahren, welche Art von Hacker-Tools entwickelt und welche Exploits geteilt werden, wie kriminelle Hacker und Hackergruppen ihre Dienste anbieten sowie Malware verwenden und welche Unternehmen ihr Ziel sind.

All diese Mittel ermöglichen es dem Team, neue Bedrohungen, Verhaltensweisen und Trends zu erkennen, die es mit seinen Kunden und der Cybersecurity-Intelligence-Community im Allgemeinen teilen kann. Darüber hinaus nutzen die Forscher von Trustwave SpiderLabs diese Erkenntnisse, um Erkennungsregeln für die verschiedenen Produktlinien, wie die Managed Security Services, das Secure E-Mail Gateway, Trustwave DbProtect und verschiedene Scanner zu entwickeln und zu aktualisieren.

Aktive Verteidigung – Penetrationstests, Purple-Teams und Tabletop Exercises

Trustwave SpiderLabs verfügt zudem weltweit über ein umfangreiches Team fachkundiger Penetrationstester, auch als Ethical-Hacker bekannt, die simulierte Phishing- und Hackerangriffe auf die Umgebung eines Kunden durchführen. Dies hilft sicherzustellen, dass die Abwehrmaßnahmen, Prozesse und Protokolle der Kunden auf dem neuesten Stand sind, und darüber hinaus alles gemeldet wird, was nicht der Compliance entspricht. Trustwave SpiderLabs weiß, wie Unternehmen, die Anwendungen, Mobilgeräte und Cloud-Ressourcen nutzen oder „Bring your own Devices“ (BYOD)-Richtlinien eingeführt haben, am besten getestet werden können. Dabei wird aus der Sicht eines Angreifers agiert, der die Absicht hat, Zugriff auf die sensibelsten Daten des Unternehmens zu erhalten. Die Penetrationstests des Teams gehen jedoch über Remote-Angriffe hinaus.

Das Team führt erweiterte Tests durch, die Advanced Persistent Threats (APT) und Angriffe simulieren und kontinuierlich nach Schwachstellen in digitalen Fußabdrücken suchen. Die Tester reisen darüber hinaus sogar zum Hauptsitz eines Unternehmens, um zu sehen, ob sie das WLAN-Netz vor Ort ausspionieren und auf diesem Weg oder durch Social-Engineering-Angriffe einen Weg hinein finden können. Bei diesen Simulationen arbeiten sie in Purple-Team-Übungen mit den Security-Teams der Unternehmen Hand in Hand, um Schwachstellen zu identifizieren, bevor Cyberkriminelle dies tun. All diese Initiativen von Trustwave SpiderLabs dienen dazu, die digitale Resilienz gegen Cyberangriffe zu verbessern.

Um Kunden zu helfen, sich auf potenzielle Sicherheitsvorfälle vorzubereiten, kann das Team außerdem sogenannte Tabletop Exercises durchführen. Basierend auf Fachkenntnissen aus der digitalen Forensik und digitalen Untersuchungen simulieren diese Übungen das Verhalten eines Unternehmens bei einem Sicherheitsvorfall.

Mark Whitehead nennt einige der darin gestellten Fragen:

  • Wer ist im Fall eines Sicherheitsvorfalls abrufbereit?
  • Was sind die Kommunikationszweige?
  • Wie wird der Sicherheitsvorfall eingedämmt? Kann die Schwachstelle behoben, gepatcht oder isoliert werden?
  • Wie schnell können das Unternehmen und seine Sicherheitsabteilung aktiv werden?

Dieser praktische Ansatz hilft Unternehmen, die Phasen eines hypothetischen Sicherheitsvorfalls zu durchlaufen sowie alle potentiellen und bisher unentdeckten Lücken in seinen Notfallmaßnahmen aufzuzeigen.

So nutzt Trustwave SpiderLabs Threat Intelligence

Trustwave SpiderLabs veröffentlicht einige seiner Forschungen und realen Tests in dem SpiderLabs-Blog. Dort sprechen die Experten über neue Angriffsmethoden, aktive Angriffe, die sie „in the wild“ beobachtet haben und sogar über im Dark Web gefundene Informationen. Darüber hinaus erstellt das Team den jährlichen Trustwave Global Security Report. Dieser datenorientierte Forschungsbericht befasst sich mit aktuellen Bedrohungen, Verhaltensweisen und Trends, auf die Unternehmen achten sollten.