Meine Bachelorarbeit über das Einbinden einer SOAR-Software in ein Netzwerk und die automatische Erkennung und Mitigation eines Data-Extraction Angriffs

Heute (nach zugegeben langer Funkstille) mal etwas ganz anderes, das aber gleichzeitig auch einen ziemlich guten Hinweis darauf gibt, was ich so die letzten Jahre gemacht habe 😉

Ich möchte euch heute meine Bachelorarbeit vorstellen, die auf folgenden Titel hört:

„Implementierung und Analyse einer automatisierten Reaktion auf Vorfälle mithilfe des Security Orchestration Automation and Response (Cortex-XSOAR) Tools von Palo Alto Networks“

Wie der Titel nahelegt, beschreibe ich darin die Einbindung des SOAR-Tools „Cortex XSOAR“ von Palo Alto Networks in ein virtuelles Organisationsnetzwerk und den anschließenden Prozess, um einen simulierten Angriff erkennen und automatisch abwehren zu können. Die Arbeit ist komplett auf Englisch geschrieben, sollte aber nicht zu schwer zu verstehen sein. In diesem Artikel werde ich mich allerdings auf eine deutschsprachige Beschreibung beschränken, da ich den Blog jetzt nicht in zwei Sprachen führen möchte und ich ohnehin stark bezweifle, hier ein internationales Publikum anzusprechen. Nichtsdestotrotz habe ich sehr wenig unabhängige Literatur zu SOAR gefunden, daher ist meine Arbeit eventuell für den Einen oder Anderen von Interesse.

Bei dem in der Arbeit simulierten Netzwerkangriff handelt es sich um einen Data-Extraction Angriff. Bei einem solchen Angriff versucht ein böser Akteur Daten aus dem Firmennetzwerk auf ein von ihm kontrolliertes Ziel im Internet zu übertragen. Diese Art von Angriff ist relativ weit verbreitet und kann extrem viel Schaden anrichten – und auch große Unternehmen mit entsprechenden Ressourcen für IT-Sicherheit sind offenkundig nicht sicher. Aktuelle Beispiele, von denen die Tech- und die Spielebranche betroffen war, sind sicherlich die Hacks der Gruppe „Lapsus$“, von denen unter anderem Microsoft, Nvidia und Rockstar Games betroffen waren. Bemerkenswert ist hierbei, dass keine ausgeklügelten Exploits ausgenutzt wurden, sondern die Angriffe primär auf Social Engineering aufbauten, um Zugangsdaten zu erlangen. Diese Zugangsdaten wurden dann verwendet, um die Daten zu entwenden.

Das große Problem bei solchen Angriffen ist, dass sie sich mit den traditionell eingesetzten Werkzeugen der Netzwerksicherheit kaum bis gar nicht verhindern lassen. Eine Firewall wie z.B. die auch in meiner Arbeit eingesetzte Next-Generation Firewall von Palo Alto ist in der Lage, auch komplexe Netzwerkangriffe zu erkennen und zu verhindern, wenn der Angreifer sich jedoch mit gültigen Zugangsdaten im Netzwerk anmelden kann und/oder sich bereits im Inneren des Netzwerks befindet ist sie nahezu machtlos. Ein SIEM-Tool (Security Information and Event Management) wie z.B. Splunk Enterprise kann verwendet werden, um Auffälligkeiten im Netzwerk zu erkennen und Warnungen (Alerts) auszugeben, allerdings müssen diese manuell geprüft und bearbeitet werden, was bei einer entsprechenden Netzwerkgröße kaum noch praktikabel möglich ist.

Genau an dieser Stelle kommen SIEM-Tools (Security Information & Event Management), wie in diesem Fall Cortex-XSOAR, zum Tragen. Sie ermöglichen es, auf Alerts aus einem SIEM-Tool automatisiert zu reagieren. Dafür können die Vorfälle komplett automatisch analysiert, mit zusätzlichen Informationen angereichert und letztlich bearbeitet werden, wodurch beispielsweise ein Datenleck ohne manuelles Zutun geschlossen werden kann – gerade bei diesem Thema ist die Reaktionszeit natürlich auch sehr relevant, denn je länger das Leck besteht, desto mehr Daten können dadurch extrahiert werden.

In der Bachelorarbeit habe ich zunächst ein virtuelles Unternehmensnetzwerk aufgebaut und konfiguriert. Das Netzwerk setzt auf die Next-Generation Firewall von Palo Alto Networks und Splunk Enterprise als SIEM, welches die Netzwerk-Logs direkt von der Firewall bezieht – die Arbeit geht auf die detaillierte Konfiguration ein. Dann habe ich eine Software geschrieben, die einen Data-Extraction Angriff simuliert (zugegeben, meisterhaftes Coding sieht anders aus, aber sie erfüllt ihren Zweck). Wenn der simulierte Angriff ausgeführt wird, erkennt Splunk diesen mittels eines entsprechend konfigurierten Alerts und sendet diesen an Cortex-XSOAR. XSOAR arbeitet den Vorfall anhand eines speziell hierfür erstellten Playbooks ab und unterbindet automatisch mithilfe der Firewall den Angriff. Anschließend informiert es den Netzwerkadministrator, der die getroffenen Maßnahmen auf Knopfdruck rückgängig machen kann, falls es sich um einen autorisierten (aber nicht angemeldeten) Upload gehandelt haben sollte und der wütende Chef gerade am Telefon ist, weshalb das „Internet schon wieder nicht funktioniert“.

Die Arbeit kommt letztlich zu dem Schluss, dass SOAR-Tools das Potenzial haben, die Netzwerk- und Datensicherheit erheblich zu erhöhen, was Unternehmen erheblichen Schäden bewahren kann, sowohl finanziell als auch bei der Reputation.

Bei Interesse könnt ihr die Arbeit hier als PDF herunterladen. Wenn ich dazu komme, würde ich die Arbeit auch gerne noch über die Hochschulbibliothek veröffentlichen, dann würde sie auch auf Google Scholar gelistet – dafür benötige ich aber noch diverse Unterschriften, und man kennt das ja, wie das läuft, mit Dingen die man sich vornimmt 😀

Der Intel Xeon 1680v2 auf LGA2011 – auch nach 6 Jahren noch so schnell wie moderne CPUs?

Seit AMD im Jahr 2017 die Ryzen-Prozessoren der ersten Generation auf den Markt gebracht hat, ist im CPU-Markt einiges an Bewegung eingekehrt. So waren 8-Kern CPUs noch vor wenigen Jahren Servern und HEDT-Systemen vorbehalten, heute sind sie jedoch im Mainstream sowohl bei AMD als auch bei Intel weit verbreitet.

Heute stellen wir uns deshalb die Frage, wie gut 8-Kern CPUs aus dem damaligen Server bzw. HEDT-Segment mit diesen neuen Mainstream-Prozessoren mithalten können. Dabei ziehen wir den Intel Xeon E5 1680v2 heran, eine Ivy-Bridge CPU für den Sockel LGA2011. Diese CPU hat im Unterschied zu anderen Xeon-Prozessoren für diesen Sockel einen offenen Multiplikator, lässt sich also frei übertakten, was wir uns selbstverständlich zunutze machen.

Zusammengefasst lässt sich sagen, dass der Xeon in Anbetracht seines Alters eine beachtliche Leistung abliefert, auch wenn er natürlich nicht an die aktuelle Generation der 8-Kern CPUs heranreicht, da ihm hierzu schlicht die nötige IPC bzw. Single-Core-Leistung fehlt. Eine Interessante Alternative für ein AM4-System ist er dadurch nur in Ausnahmefällen, wenn man auch von den restlichen Vorteilen der X79-er Plattform profitiert: der großen Anzahl an PCIe-Lanes, dem Quad-Channel Speicher und der Möglichkeit, ECC-Speicher zu verwenden. Wer jedoch wie ich noch ein gut ausgestattetes LGA2011 System sein Eigen nennt und gerne etwas mehr Leistung möchte, für den ist der 1680v2 die beste (und einzig sinnvolle) Aufrüstmöglichkeit, um aus dem alten System noch das letzte bisschen Potential herauszukitzeln.

Gaming auf einer iGPU #2 – Ryzen 3 2200G Test

Nachdem wir uns im letzten Beitrag den aktuellen Stand von integrierten Grafikeinheiten, kurz iGPUs, in Notebooks angesehen haben, wiederholen wir dies heute bei Desktoprechnern. Dafür ziehen wir auch dieses mal eine AMD Ryzen APU heran, und zwar den Ryzen 3 2200G, einen Quadcore mit 4 Threads und der integrierten Radeon Vega 8 Grafikeinheit. Dem aufmerksamen Leser dürfte auffallen, dass es sich dabei um die selbe Grafikeinheit handelt, die auch schon in dem zuletzt getesteten Notebook verbaut war – allerdings darf man sich im Desktop tendenziell eine etwas höhere Leistung erhoffen, da die APU hier aus einem großzügigeren thermischen Budget schöpfen kann und sich schnellerer RAM verwenden lässt. In diesem Fall verwende ich ein 8GB Dual-Channel Kit von G.Skill mit 2800MHz (von der Verwendung nur eines Moduls im Single-Channel rate ich dringend ab!).

Ein solches System ist durchaus interessant, weil sich mit dieser APU ein komplettes System für unter 300€ zusammenstellen lässt (näheres dazu im Video), welches sich vielseitig einsetzen lässt – aber auch zum spielen? Das versuche ich in diesem Video zu klären.

Zusammengefasst lässt sich feststellen, dass die APU zwar wie erwartet eine etwas höhere Performance abliefert als das zuletzt getestete Gegenstück im Notebook, dennoch würde ich sie für einen Gaming-Desktop nur sehr eingeschränkt empfehlen, da hier die Ansprüche in der Regel schlicht höher sind als bei einem Laptop. Den Hauptverwendungszweck der APU sehe ich eher in Multimedia-Anwendungen, wie zum Beispiel als HTPC im Wohnzimmer, aber auch für normale Arbeitsrechner, in denen eine dedizierte Grafikkarte schlicht unnötige Kosten und/oder Komplexität bedeuten würde. Allein für Gelegenheitsspieler, oder solche, die eher Strategietitel bevorzugen, kann ich die APU darüber hinaus uneingeschränkt empfehlen.

Gaming auf einer iGPU? – Acer Swift 3 Ryzen 5 2500U Test

iGPUs, kurz für integrierte Grafikeinheiten, werkeln heutzutage in zunehmend vielen Rechnern, egal ob Desktop oder Notebook. Technisch bieten sie einige Vorteile, wie geringeren Stromverbrauch, einfachere Kühlung und auch geringere Kosten. Für normale Arbeiten wie Surfen oder Office reichen iGPUs in jedem Fall aus, darüber hinaus bieten sie mittlerweile in der Regel ebenfalls hardwarebasierte Videobeschleunigung, und auch Opas 3D-Aquariumbildschirmschoner bringt sie längst nicht mehr ins Schwitzen.

Eine Ausnahme war bis jetzt immer Gaming. Wer beabsichtigte, mehr als Minecraft auf seinem Computer zu spielen, dem war bis jetzt stets nahezulegen, um integrierte Grafiklösungen einen großen Bogen zu machen. In letzter Zeit hat sich hier jedoch einiges getan – erst mischten AMDs Ryzen-basierte APUs mit Vega-Grafikchip den Markt auf, und nun hat auch Intel einen deutlichen Leistungssprung der nächsten IGP-Generation angekündigt. Grund genug, dem Zocken auf intgrierten Grafiklösungen wieder einen Besuch abzustatten? Genau darum soll es in diesem Video gehen.

Das in diesem Video gezeigte Gerät ist ein Acer Swift 3 mit der wunderschön von der Zunge rollenden Modellnummer SF315-41-R4W1. Man kann seine Performance jedoch durchaus exemplarisch für alle Notebooks mit AMD Ryzen™ 5 2500U und der integrierten Radeon™ Vega8 Mobile Grafikeinheit sehen – sofern deren Kühlkonzept sinnvoll umgesetzt ist (hier ist bei manchen Geräten wohl Vorsicht geboten, am besten ihr checkt vor dem Kauf die Reviews speziell dieses Geräts).

Zusammengefasst lässt sich sagen, dass die Performance der iGPU dieses Geräts in etwa doppelt so hoch ist, wie die einer zum Kaufzeitpunkt gleichwertigen Intel-CPU – ein deutlich bemerkbarer Unterschied. Was man jedoch auch nicht verschweigen darf, die Leistung liegt damit immer noch nur knapp unterhalb derer von Einsteiger-Grafikchips für Notebooks. Für ein Gerät, dessen Hauptnutzen Gaming ist, sind sie daher zumindest momentan noch keine gute Wahl. Wer jedoch zwischen der Arbeit mal den einen oder anderen Indie- oder älteren Titel spielen möchte und im Zweifel bereit ist, auch mal Auflösung oder Grafikeinstellungen runterzustellen, der könnte hiermit glücklich werden. Für mich persönlich passt es perfekt.

Momentan steht bereits die nächste Generation der Ryzen-APUs in den Startlöchern. Das bedeutet einerseits, dass Geräte mit dieser Generation günstig im Abverkauf oder auch gebraucht zu haben sind – oder, dass Geräte mit dem Nachfolger (in diesem Fall der Ryzen™ 5 3500U) und damit nochmal ein wenig gesteigerter Performance im Handel sind.

Dashcam-Compilation 2018

Huch, mich gibt’s ja immer noch! In der Tat. Und da mir sonst gerade nichts kreatives einfällt, nutze ich die Gelegenheit, um (wahrscheinlich) das erste mal einen Post zu erstellen, in dem es nicht um Computer geht. Stattdessen möchte ich heute mal meine erste „Dashcam-Compilation“ präsentiern, denn ja, ich habe mir mittlerweile auch eins von diesen kleinen Dingern zugelegt. Man sieht einfach zu viele komischen Sachen auf der Straße, vor allem aber gibt die Dashcam einem die Möglichkeit, Situationen im Nachhinein ein zweites mal anzusehen, egal ob diese jetzt besonders lustig, gefährlich, oder anderweitig interessant war. Und man kann mehr oder weniger unterhaltsame Compilations daraus basteln, wie hier geschehen.

An dieser Stelle möchte ich noch kurz anmerken, dass mir bewusst ist, das mein Fahrstil auch nicht unbedingt perfekt ist. Daher bin ich konstruktiver Kritik natürlich immer aufgeschlossen.

Die Clips in diesem Video sind alle von mir als Fahrer und aus einem Opel Omega B 2.5 DTI aufgenommen, die verwendete Dashcam ist eine „iTracker Stealthcam-GPS“, welche in 1080p aufnimmt.

PC-Build Video

Endlich ist es fertig – das Video zu meinem PC-Build. Dank 4-facher Videogeschwindigkeit, etwas Videoschnitt sowie Nachkommentierung ist daraus ein ganz sehenswertes knapp 14-Minütiges Video geworden, wie ich finde. Und an der Geschwindigkeit kann ich ja vielleicht in Zukunft noch arbeiten (solange diese nicht auf Kosten der Sorgfalt geht, versteht sich.) Alles in allem bin ich irgendwo doch erstaunt, dass er so ohne Probleme sofort lief ;D

Aber seht selbst:

Projekt: Pentium 2 DualCore Server

Während ich noch immer auf die Garantieabwicklung von meinem Headset warte (und deswegen das PC-Build Video nicht nachkommentieren kann), habe ich hier mal etwas anderes für euch. Es handelt sich dabei um ein altes Tower-Serversystem mit zwei Intel Pentium 2 Prozessoren. Das gute Stück hat viele Jahre im Dauerbetrieb (24/7) seinen Dienst als Dateiserver verrichtet, allerdings mit einem externen, über SCSI angebundenen RAID-5 System. Das habe ich auch noch herumstehen, allerdings muss ich mir das mal extra ansehen. Die letzten Jahre stand es dann ungenutzt an diversen Lagerorten herum,  vor einiger Zeit hatte ich es auch schon einmal kurz getestet, hatte aber keine Zeit mich damit weiter zu beschäftigen. Seitdem hat es seinen Standort bereits mehrmals gewechselt, ich war mir deswegen nicht sicher, ob es überhaupt noch anspringen würde – aber seht selbst.

Weiterlesen

Er ist wieder da! :D

Ja, zugegeben, „so langsam“ wurde der absolute Stillstand hier erbärmlich – deswegen habe ich mich einmal durchgerungen, das ganze hier zumindest etwas wieder zu beleben. Viel ist passiert seit – ich möchte lieber gar nicht nachsehen – ende Oktober vorletzten Jahres, zu viel, als dass ich in irgendeiner Art und Weise eine auch nur annähernd vollständige Zusammenfassung oder dergleichen liefern könnte, weshalb ich mir diesen Versuch lieber gleich spare. Stattdessen blicken wir direkt einmal in die Zukunft, auch genannt „Was willst du noch mit diesem gammligen Blog?“. Ehrlich gesagt ist das keine allzu leichte Frage, sodass ich diese lieber auf unbestimmte Zeit verschiebe (auch genannt: „Schaut doch selbst!“).

Als Ziel stecke ich mir auf jeden Fall, hieraus etwas persönlicheres zu machen, und den schlechten Versuch aufzugeben, einer von diesen ständig aktuellen Fancy-Newsblogs zu sein, davon gibt es schon viel zu viele und außerdem habe ich dafür sowieso keine Zeit. Für den Anfang habe ich mal die „Über Mich“ Seite überarbeitet (längst überfällig). Demnächst werdet ihr hier auch noch einen Eintrag mit Video zu meinem neuen PC bzw. dessen Zusammenbau sehen, derweil könnt ihr immerhin schon einmal das Unboxing des Gehäuses auf YouTube anschauen. Weiterhin werde ich über eine Umgestaltung des Blogs nachdenken (neues Design, etc.), dazu möchte ich aber vorsichtshalber keinen Zeitplan aufstellen.

Was auch immer im nächsten Jahr noch kommen mag, ich wünsche euch (etwas verspätet) noch ein frohes neues Jahr und ein baldiges wiedersehen/hören/lesen.

iPhone 5 und iPod Touch 5 im (Benchmark)Test

Einige Zeit ist verstrichen, seit ihr zuletzt von mir gehört habt. In dieser Zeit gab es gleich zwei Apple Keynotes, von denen ich bei beiden aus verschiedenen Gründen leider versäumt habe zu berichten. Dafür konnte ich heute das iPhone 5 und den iPod Touch 5 endlich einmal selbst in die Hand nehmen und testen (Das iPad 4 und das iPad Mini sind ja noch nicht im Handel).

Das iPhone 5 und der iPod Touch 5 haben ein größeres Display als ihre Vorgänger, allerdings nur in der Höhe, nicht in der Breite. Dadurch liegen die Geräte nach wie vor gut in der Hand und lassen sich auch einhändig bedienen. Beide Geräte haben natürlich eine schnellere CPU und Grafik als ihre Vorgänger, und der iPod Touch 5 hat nun auch Siri. Beide Geräte fühlen sich extrem schnell an, die Bedienung hakelt nirgends merkbar. Um zu ermitteln, wie schnell die Geräte im Vergleich zu ihren Vorgängern genau sind, habe ich auch dieses mal den iOS Benchmark „Geekbench 2“ benutzt. Im Folgenden findet ihr die Tabelle:

iOS Gerät Prozessor RAM Gesamtpunkte
„Das neue iPad“ (3. Gen) Apple A5X Chip @ 2x 1GHz 988 MB RAM 751 Punkte
iPad 2 Apple A5 Chip @ 2x 1GHz 503 MB RAM 761 Punkte
iPhone 5 Apple A6 Chip @ 2x 1,29 GHz 1016 MB RAM 1639 Punkte
iPhone 4S Apple A5 Chip @ 2x 800 MHz 505 MB RAM 618 Punkte
iPhone 4 Apple A4 Chip @ 800 MHz 505 MB RAM 388 Punkte
iPhone 3GS Samsung ARM Cortex-A8 @ 600 MHz 254 MB RAM 285 Punkte
iPod Touch 5. Generation Apple A5 Chip @ 799 MHz 504 MB RAM 721 Punkte
iPod Touch 4. Generation Apple A4 Chip @ 800 MHz 249 MB RAM 394 Punkte
iPod Touch 3. Generation Samsung ARM Cortex-A8 @ 600 MHz 254 MB RAM 291 Punkte

Wie letztes mal, die Ergebnisse sind natürlich nicht exakt und können leicht variieren, sind aber auf jeden Fall vergleichbar.

Ausprobiert: MacBook Pro mit Retina Display

Zu Beginn der Sommerferien bin ich wieder nach München gefahren, unter anderem selbstverständlich für den mittlerweile Standard gewordenen Besuch im Apple Store. Nur, dass es im Unterschied zum letzen mal wieder etwas auszuprobieren gibt! Das neue MacBook Pro mit Retina Display ist ja trotz seinem doch recht hohen Preis der Renner, die Lieferbarkeit ist stark eingeschränkt. Natürlich habe ich es mir da nicht nehmen lassen, mal einen Blick darauf zu werfen – wörtlich gemeint (Was allerdings gar nicht so leicht ist, die Dinger sind auch hier ganz schön begehrt^^). Das 15,4“ Display, das bei einer Auflösung von 2880 x 1800 Pixeln 220 ppi hat, ist, ohne Übertreibung, echt unglaublich. Hat man ein MacBook Pro ohne und eines mit Retina Display nebeneinander lässt sich gut erkennen, wie extrem der Unterschied auch ist, und auch ohne den direkten Vergleich fällt sofort das viel schärfere und schönere Bild auf. Hersteller neigen ja dazu, in den Produktbeschreibungen zu übertreiben, allerdings ist das hier offenbar nicht der Fall. Das Bild ist genau so scharf wie auf den iOS Geräten mit Retina Display, nur, dass es hier noch extremer auffällt. Bevor ich mich hier noch mehr in Lobreden verstricke, sage ich lieber: Mein Fazit zum Display: WOW!

Dabei ist das Display ja nicht das einzige, was das neue MacBook Pro mit Retina Display zu bieten hat, ein 2,3 GHz Quad-Core Intel Core i7 Prozessor ist standardmäßig drin, 8 GB DDR3 RAM, eine NVIDIA GeForce GT 650M mit 1 GB GDDR5 Arbeitsspeicher, sowie zwei USB 3 Anschlüsse und zwei Thunderbolt Anschlüsse. Und dabei ist es auch noch deutlich leichter und dünner als das alte MacBook Pro. Alles in Allem muss ich sagen: Ein echt einzigartiges Stück Technik, das bei mir sofort den „habenwill-Reflex“ auslöst. Hier hat Apple mal wieder gute Arbeit geleistet.