RSA Conference: Kraftwerk der IT-Security mit Hang zur Show
42.000 Besucher – was für eine Zahl! Ich habe in meiner Karriere bereits an etlichen Security-Konferenzen teilgenommen, aber die RSA Conference in San Francisco ist der Superlativ und mein Besuch dort war für mich ein absolutes Highlight. Entsprechend der Größe der Veranstaltung ist das Spektrum der Themen sehr breit und somit auch eine gute Vorbereitung notwendig: Mal eben die Session wechseln war bei der Verteilung über vier Gebäude nicht möglich, eine vorausschauende Planung zur optimalen Nutzung des hochpreisigen Full Conference Passes unerlässlich.
Ich hatte mir eine gute Mischung aus technischen Sessions und Keynotes zusammengestellt und zudem einen Tag für den ebenfalls hochwertigen Ausstellungsbereich aller namenhaften Security-Anbieter eingeplant. Mit Hornetsecurity waren wir auf dem „German Pavillon“ ebenfalls vertreten und konnten feststellen, dass IT-Security „Made in Germany“ für Amerikaner einen hohen Stellenwert besitzt. Welche aktuellen Trends und Erkenntnisse konnte ich noch von der RSA mitnehmen?
Spannende Mischung aus Sessions und Vorträgen
Gleich die erste Session der Konferenz hatte es in sich: Der Entdecker der Schadsoftware Black Mamba berichtete, wie er quasi blind im Auftrag eines angegriffenen Unternehmens bei der damals unbekannten Malware die Incident Response übernahm, Indicators of Compromise ableitete und diese weltweit zur „Impfung“ bereitstellte. Trotz seiner Veröffentlichung wurde Muni, das öffentliche Nahverkehrssystem in San Francisco am Black Friday von Black Mamba angegriffen.
Mehrfach Erwähnung fand die Sucker’s List: In dieser veröffentlichen Kriminelle die Unternehmen, die bei Erpressungsversuchen gezahlt haben. Das heißt, bei Zahlung steigt die Wahrscheinlichkeit, nicht nur vom Täter selbst, sondern auch noch von Anderen angegriffen zu werden. Ein weiterer Grund, unserer Empfehlung zu folgen und bei Erpressungsversuchen durch Ransomwareangriffe nicht zu bezahlen.
Die Einschätzung des SANS Instituts zu den gefährlichsten Attacken deckt sich mit unserer Vorhersage: Genau wie unsere sind auch die dortigen Security-Experten überzeugt, dass in Zukunft verstärkt Miner-Programme statt Datendiebstahl in den Fokus rücken werden: Diese verwenden CPU, Network-Traffic und Strom ihrer Opfer, wobei neuere Anwendungen nur einen relativen Anteil der CPU-Zeit nutzen, um nicht aufzufallen. Zudem versuchen die Angreifer, eine Entdeckung über eigene private Proxys, andere Protokolle und weitere Methoden zu verhindern. Glücklicherweise können unsere ATP-Verfahren derartige Miner zuverlässig verhaltensbasiert erkennen, bevor die Malware den Kunden erreicht.
Das SANS Institute sah zudem den Trend zur Zunahme von Malware, die kritische Infrastrukturen und deren Safety-Systeme gezielt und nicht zufällig angreift, gegebenenfalls auch in Form von Schwester-Attacken oder mehreren orchestrierten Angriffswellen.
Hardwarelücken auch weiterhin im Fokus
Nach Spectre und Meltdown ist sich die Security-Community sicher: Auch zukünftig werden voraussichtlich hardwarebezogene Sicherheitslücken gefunden und veröffentlicht. Gerade dort, wo Abkürzungen aus Performancegründen genommen werden (Speculative Execution, aber auch Caching-Verfahren) entstehen oftmals Security-Risiken und neue Angriffsmöglichkeiten.
Mehrere Experten prognistizierten zudem, dass Angriffe auf Repositories und Cloud Storage Leaks zunehmen werden. Eine falsche Konfiguration der Repositories wie beim prominenten Beispiel Uber (meinem zweiten Fortbewegungsmittel in San Fransisco), aber auch die Verwendung von falschen Repositories durch Benutzer sind hier die üblichsten Ursachen. Als empfehlenswerte Gegenmaßnahmen wurde angeregt, eine Data Curator Rolle im Unternehmen zu etablieren oder Open Source Tools Git-seekret und git-secrets, gitrob zu nutzen.
Obwohl der Fokussierung der RSA Conference klar auf dem US-Markt liegt, war die demnächst in Kraft tretende EU-Verordnung GDPR ein starkes Thema – erstmalig diktiert die EU Standards, die von US-Unternehmen akzeptiert, implementiert und sogar beworben werden.
Neben den technischen Sessions waren die Keynotes für mich ein Highlight: Die perfekt inszenierten strategischen Vorträge der Global Player im Security-Bereich gaben mir eine unglaubliche Inspiration.
Durch die vielen positiven Gespräche sowie die unzähligen neuen Eindrücke und Ideen nehme ich vor Ort jedoch vor allem eine weitere wichtige Erkenntnis mit: Hornetsecurity spielt auch international in der ersten Liga!