(find englisch version below …)
Ich möchte nicht den Eindruck erwecken, eine ohnehin schon dramatische Geschichte auszuschlachten.
Doch meiner Meinung nach hat das, was in Israel passiert ist, auch Auswirkungen auf die Arbeit eines CISO.
Was ist passiert?
Als die Hamas Israel angriff, durchbrach sie einen Grenzzaun, der als „sicher“ galt. Trotz vieler technischer Sicherheitsmaßnahmen gelang der Durchbruch fast mühelos. Dieses Element der Überraschung lässt sich auf die Welt eines CISO übertragen.
Ein Unternehmen kann jederzeit angegriffen werden, und es ist in der Regel nicht vorhersehbar, auf welchem Weg dieser Angriff erfolgen wird.
Das musste auch Microsoft erfahren, wie aktuell den Medien zu entnehmen ist.
(https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/)
Interessant ist, was andere in diesem Kontext veröffentlichen:
@SwiftOnSecurity berichtet, dass der Angreifer einen Passwort-Spray-Angriff nutzte, um ein altes, nicht produktives Test-Tenant-Konto zu kompromittieren. Der Angriff war nicht das Ergebnis einer Sicherheitslücke in Microsoft-Produkten oder -Diensten.
Überraschenderweise schafft es selbst Microsoft nicht, die „Testumgebungen“ unter Kontrolle zu bekommen. Ein Angreifer hat die Lücke gefunden. Wie sieht es in anderen Unternehmen aus, die nicht über die gleiche Anzahl an Experten verfügen?
Die Überraschung kann ein Bulldozer sein, der einfach durch den Zaun fährt, oder ein längst vergessenes Passwort.
Ein weiterer Aspekt ist ebenfalls erwähnenswert.
Die New York Times berichtet in einem Artikel, dass israelische Beamte den Angriffsplan der Hamas für den Terroranschlag vom 7. Oktober mehr als ein Jahr vor dessen Ausführung erhalten haben.
Doch israelische Militär- und Geheimdienstbeamte hielten den Plan für zu ambitioniert und zu schwierig für die Hamas, ihn auszuführen.
(https://www.nytimes.com/2023/11/30/world/middleeast/israel-hamas-attack-intelligence.html)
Dies bringt mich zum Nachdenken.
Verlassen wir uns nicht oft auf „technische“ Hilfsmittel, die unsere Cybersicherheit gewährleisten sollen? XDR, SIEM, IPS, IDS, UTM, MFA, MDM – die Liste ist lang.
Die Welt der Cybersicherheit ist leider sehr komplex. Kaum jemand kann alle Systeme und Risiken, geschweige denn die riesige Menge an Informationen, überblicken.
Ohne technische Hilfsmittel geht es nicht.
Doch was passiert, wenn ich ein „super tolles Überwachungsprogramm“ nutze und z.B. die Alarme im Microsoft Defender Portal ignoriere?
Was passiert, wenn ich in meiner Arroganz davon ausgehe, dass die Angreifer unfähig sind?
Ein Security Analyst, der eine technische Umgebung betreut, sagte mir auf die Frage, warum in einer Woche über 100 Alarme im Microsoft Defender Portal nicht behandelt wurden, tatsächlich: „Das sind sowieso alles falsche Alarme“.
Das mag sein – aber was, wenn nicht?
Was wäre, wenn wir beim Design unserer Lösung einen Fehler gemacht haben und gerade diese Alarmmeldungen gar nicht berücksichtigt werden?
Das darf sich gerne jeder selbst ausmalen.
Ich persönlich habe daraus eine wichtige Lektion gelernt – kein technisches System dieser Welt ist perfekt.
Als CISO ist es wichtig, über den Tellerrand hinauszuschauen und nicht nur auf die Technik zu vertrauen. Es ist unerlässlich, ein breites Verständnis für die gesamte Organisation und ihre Prozesse zu haben, um potenzielle Schwachstellen zu identifizieren.
Ein gesundes „Bauchgefühl“ kann oft ein guter Indikator für potenzielle Risiken sein. Es ist das Ergebnis von Erfahrung und Intuition, die im Laufe der Zeit entwickelt wurden.
Es ist wichtig, auf dieses Gefühl zu hören und es mit technischen Daten und Analysen zu ergänzen, um eine umfassende Sicherheitsstrategie zu entwickeln.
Letztendlich ist die Arbeit eines CISO eine Balance zwischen Technologie, Menschen und Prozessen.
Es geht darum, ein Sicherheitskultur zu schaffen, in der jeder im Unternehmen die Bedeutung der Cybersicherheit versteht und sich dafür engagiert.
Es gibt immer einen „Bulldozer“, der Sicherheitssysteme durchdringen kann.
Es ist unsere Aufgabe, diese „Bulldozer“ so gut wie möglich zu antizipieren und darauf vorbereitet zu sein.
I don’t want to give the impression of exploiting an already dramatic story. But in my opinion, what happened in Israel also has an impact on the work of a CISO.
What happened?
When Hamas attacked Israel, they broke through a border fence that was considered „secure“. Despite many technical security measures, the breakthrough was almost effortless. This element of surprise can be transferred to the world of a CISO.
A company can be attacked at any time, and it is usually impossible to predict how this attack will occur.
Microsoft has also experienced this, as can be seen in the media.
(https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/)
It is interesting to see what others are publishing in this context:
@SwiftOnSecurity reports that the attacker used a password spray attack to compromise an old, non-production test tenant account. The attack was not the result of a vulnerability in Microsoft products or services.
Surprisingly, even Microsoft is unable to get the „test environments“ under control. An attacker has found the gap. What about other companies that do not have the same number of experts?
The surprise could be a bulldozer that simply drives through the fence, or a long-forgotten password.
Another aspect is also worth mentioning.
The New York Times reports in an article that Israeli officials received Hamas‘ attack plan for the Oct. 7 terrorist attack more than a year before it was carried out.
But Israeli military and intelligence officials deemed the plan too ambitious and too difficult for Hamas to execute.
(https://www.nytimes.com/2023/11/30/world/middleeast/israel-hamas-attack-intelligence.html)
This makes me think.
Don’t we often rely on „technical“ tools to ensure our cyber security? XDR, SIEM, IPS, IDS, UTM, MFA, MDM – the list is long.
Unfortunately, the world of cyber security is very complex. Hardly anyone can keep track of all the systems and risks, let alone the huge amount of information.
You can’t do it without technical aids.
But what happens if I use a „super great monitoring program“ and ignore the alerts in the Microsoft Defender portal, for example?
What happens if, in my arrogance, I assume that the attackers are incapable?
A security analyst who looks after a technical environment actually said to me when asked why over 100 alarms were not dealt with in one week: „They are all false alarms anyway“.
That may be – but what if they weren’t?
What if we made a mistake in the design of our solution and these alarms are not taken into account at all?
Everyone is welcome to imagine that for themselves.
Personally, I have learned an important lesson from this – no technical system in the world is perfect.
As a CISO, it’s important to think outside the box and not just rely on the technology. It is essential to have a broad understanding of the entire organization and its processes in order to identify potential weaknesses.
A healthy „gut feeling“ can often be a good indicator of potential risks. It is the result of experience and intuition developed over time.
It is important to listen to this gut feeling and supplement it with technical data and analysis to develop a comprehensive security strategy.
Ultimately, the work of a CISO is a balance between technology, people and processes.
It’s about creating a security culture where everyone in the organization understands the importance of cybersecurity and is committed to it.
There is always a „bulldozer“ that can penetrate security systems.
It is our job to anticipate these „bulldozers“ as much as possible and be prepared for them.