Cyber Insights: Pentesting und Incident Response

Heute haben wir Felix, Penetrationstester, und Philipp, Cyber Security Incident Responder, gebeten, über ihren Job und ihr tägliches Miteinander zu sprechen.

Als Cyber-Experten bei Airbus Protect.

Könnt ihr uns euren Job erklären?

Felix: Als Penetrationstester ist es meine Aufgabe, Cyber-Angriffe auf Systeme, Netzwerke oder Anwendungen in einer kontrollierten Umgebung zu simulieren, um Schwachstellen aufzudecken, bevor es andere tun. Daher werden Techniken angewandt, die von echten Angreifern verwendet werden, um Schwachstellen zuerst zu identifizieren und dann auszunutzen. Da unser Hauptaugenmerk jedoch auf der Stärkung der Sicherheit einer Organisation liegt, gibt es für jeden Einsatz Regeln, um Störungen der Systeme zu verhindern. Am Ende eines jeden Penetrationstests werden die identifizierten Schwachstellen analysiert und ein Bericht mit Empfehlungen zu ihrer Behebung erstellt, der unseren Kunden ausgehändigt wird.

Philipp: Mit Felix, der einen Gegner simuliert, ist es meine Aufgabe, Angreifer abzuwehren. Ich bin ein Cyber Security Incident Responder, d.h. meine Rolle kann als Feuerwehrmann für Cyber-Angriffe, sogenannte Incidents, erklärt werden. Dazu gehören die Eindämmung laufender Angriffe, die Analyse des Ausmaßes eines Angriffs, einschließlich der verwendeten Tools, und die schnellstmögliche Wiederherstellung des Geschäftsbetriebs für die Kunden. Infolgedessen gibt es für Penetrationstester und Incident Responder eine ganze Reihe sich überschneidender Themen, über die sie sich austauschen können. In Zeiten, in denen es keine Vorfälle gibt, konzentrieren wir Incident Responder uns darauf, unsere Tools zu pflegen, uns über aktuelle Ereignisse in der Cyberwelt auf dem Laufenden zu halten, Schulungen durchzuführen und Kunden bei Maßnahmen zur Härtung ihrer Systeme zu beraten.

Wie haltet ihr euch über die neuesten Sicherheitslücken auf dem Laufenden?

Um auf dem Laufenden zu bleiben, folgen wir verschiedenen Sicherheitsexperten (@vxunderground, @\_RastaMouse, @cyb3rops usw.) auf Twitter, jetzt X. Außerdem gibt es verschiedene Blogs, die sich auf Cybersicherheitsnachrichten konzentrieren, und den Newsletter des Airbus CERT, den wir abonniert haben. Die neuesten Entwicklungen zu recherchieren, ist in der Regel unsere erste Tätigkeit am Tag, während wir einen Kaffee trinken.

Was hat euch dazu bewogen, im Bereich Pentesting / IR zu arbeiten?

Felix: Irgendwann während meines Informatikstudiums bin ich auf Capture the Flags gestoßen, was wohl der Einstieg für fast jeden Penetrationstester ist. Hier versucht man, verwundbare Rechner in einer legalen Umgebung zu kompromittieren, um Flags zu erfassen und Punkte zu sammeln. Man merkt schnell, wie viel Wissen nötig ist, um erfolgreich zu sein, und verliert sich in stundenlangen Recherchen, bis man eine Schwachstelle gefunden und ausgenutzt hat. Die Tatsache, dass man immer wieder auf neue Technologien stößt und sich ständig weiterentwickeln muss, hat mich zu der Entscheidung gebracht, dass ich das auch beruflich machen möchte.

Philipp: Dem muss ich zustimmen, die Tatsache, dass sich der gesamte Bereich der IT-Sicherheit ständig verändert und weiterentwickelt, war auch für mich ausschlaggebend für meine Entscheidung, was ich im Leben machen möchte. Außerdem hat mich ein ähnlicher Gedanke wie der von Felix dazu gebracht, mich für Malware zu interessieren. Der Drang zu wissen, wie man Systeme und Sicherheitsmaßnahmen überwinden kann, aber mit dem Unterschied, dass ich gerne aus erster Hand von den Werkzeugen der Angreifer lerne, die in freier Wildbahn eingesetzt werden. Schließlich begann ich während meines Studiums, als Malware-Analyst für ein kleines Unternehmen zu arbeiten. Nach Abschluss meines Masterstudiums erfuhr ich, dass Incident Response Teams diese Fähigkeit benötigen, um Vorfälle ordnungsgemäß lösen zu können. Der Wechsel zu Incident Response bot mir also die Möglichkeit, meine Fähigkeiten zu erweitern und gleichzeitig das zu verfeinern, was ich zuvor getan hatte.

Wie arbeiten Pentester und Incident Responder zusammen?

Felix: Es gibt viele Berührungspunkte zwischen Penetrationstests und Incident Response. Um zum Beispiel selbst erstellte Malware zu verschleiern, verwenden unsere Pentester verschiedene Techniken, um verdächtiges Verhalten vor AV (Antivirus)/EDR (Endpoint Detection and Response) Softwares zu verbergen.

Philipp: Einige unserer Incident Responder, wie ich, sind auf die Analyse von Malware spezialisiert, d. h. ich kann die maßgeschneiderte Malware analysieren. Das unterstützt die Penetrationstester dabei, ihre Malware getarnter und damit erfolgreicher zu machen. Und im Gegenzug ist dies eine großartige Schulungsmöglichkeit für beide Parteien.

Felix: Darüber hinaus schaffen wir eine spezielle Infrastruktur, in der wir sowohl offensive als auch defensive Tools einsetzen. Bei den offensiven Tools werden zum Beispiel Command & Control Server für Red Teaming zur Verwaltung von Aktivitäten eingesetzt.

Philipp: Auf der defensiven Seite werden zum Beispiel maßgeschneiderte Sandboxes als standardisierte Umgebung zur sicheren Ausführung von Malware benötigt. Aber letztendlich nutzen beide Teams diese Infrastruktur, um Dateifreigaben und Kommunikationsdienste zu hosten, die verwendet werden, wenn sensible Kundendaten nicht mit der Airbus-Cloud-Infrastruktur in Kontakt kommen dürfen. Aufgrund der hochgradig vertraulichen Natur unserer Arbeit ist dies häufiger der Fall, als man vielleicht denkt.

Felix: Zufälligerweise sind wir beide Administratoren dieser Infrastruktur, was die Zusammenarbeit zwischen uns um ein Vielfaches verstärkt. Generell können wir viel voneinander lernen, da das rote Team (PT) immer versucht, Verteidigungsmechanismen zu umgehen, und das blaue Team (IR & SOC) immer nach neuen Techniken sucht, die von Angreifern verwendet werden, um sie zu erkennen und zu verhindern.

An welchem Betriebssystem arbeiten Sie am liebsten? Und warum?

Felix: Das hängt stark davon ab, woran ich gerade arbeite. Für Penetrationstests verwende ich in der Regel Kali Linux, da diese Distribution die meisten der gängigen Penetrationstest-Tools mitbringt und die Setup-Phase für einen Penetrationstest schnell ist. Für die Entwicklung eigener Schadsoftware, die wir für Kundenprojekte zur Umgehung von Abwehrsystemen einsetzen, verwende ich Windows, da sie am Ende auch dort laufen muss. Auch für die tägliche organisatorische Arbeit verwende ich hauptsächlich Windows. Im Endeffekt sind beide Betriebssysteme für meine tägliche Arbeit unerlässlich.

Philipp: Generell würde ich ein Linux-basiertes Betriebssystem für meine tägliche Arbeit bevorzugen, aber bisher und auch aufgrund des Arbeitsumfelds im Airbus habe ich festgestellt, dass Windows für die anstehenden Aufgaben besser geeignet ist. Es gibt einige großartige Tools für Linux, die für Analysezwecke unverzichtbar sind, die es aber nur für Linux gibt. Andererseits sind die meisten Kundensysteme, wie Felix schon gesagt hat, Windows-basiert. Das Ergebnis ist, dass ich einen Windows-PC verwende, auf dem ein verflochtenes Netzwerk virtueller Maschinen mit beiden Betriebssystemen läuft.

Warum Airbus Protect?

Felix: Was ich an Airbus Protect am meisten schätze, ist der Teamgeist und die wirklich gute Arbeitsatmosphäre. Spannend und herausfordernd sind auch die Projekte, die derzeit hauptsächlich innerhalb der Airbus Group stattfinden.

Philipp: Der starke Name Airbus hat mich zunächst dazu bewogen, mich bei diesem Unternehmen zu bewerben. Aber ich muss zugeben, dass es einfach Spaß macht, mit meinen Kollegen zusammenzuarbeiten, was zu einem angenehmen Miteinander im Büro führt.

Interessieren Sie sich für unsere Dienstleistungen? Erfahren Sie hier mehr darüber.

• Teilen