Karriere im Bereich Sicherheit: Ein Tag im Leben eines CSIRT
Wie bei vielen Experten für Cybersicherheit begann meine Liebe zu Computern schon als Kind. Ich erinnere mich daran, wie ich meine ersten DOS-Befehle lernte, um Spiele auszuführen und in Verzeichnissen zu navigieren. Ich wollte wissen, was da sonst noch drin war – mit "da" meinte ich das Betriebssystem, aber auch die Hardware selbst –, und fragte mich, wie alles funktionierte. Meine Neugierde kannte kein Halten mehr, als wir unsere erste Einwahlverbindung bekamen und ich die Möglichkeit hatte, im Internet nach Informationen zu suchen und mir Dinge selbst beizubringen.
In der Highschool lernte ich ein paar Programmiersprachen und Netzwerke, bis mich eines Tages ein Oberstufenschüler ansprach und mir eine CD mit Spielen gab, die ich erfolglos versuchte, auf meinem Computer zu starten. Ein paar Tage später, während ich mit Freunden online chattete, begann mein Computer verrücktzuspielen: Der CD-Player öffnete und schloss sich, das Hintergrundbild änderte sich, und plötzlich erschien ein Textfeld mit einer Nachricht von ihm.
Damals brachte ich die Vorkommnisse nicht miteinander in Verbindung, weil ich nicht einmal wusste, dass Malware zu diesem Zweck installiert werden kann. Ich war beeindruckt und wollte verstehen, wie das funktioniert, also begann ich, mich mit dem Sicherheitsaspekt von Computern zu beschäftigen.
Nach meinem Abschluss arbeitete ich als Netzwerkadministrator und dann als Systemadministrator, bevor ich meine erste Stelle Job als Analytiker für Cybersicherheit antrat. Danach arbeitete ich viele Jahre in einem Security Operations Center, bevor ich schließlich als Incident Responder für das CSIRT – unser Cyber Security Incident Response Team – bei Salesforce anfing.
Wie Sie vielleicht vermuten, beinhaltet Cybersicherheit viele verschiedene Arten von Risiken und deren Erkennung. Was genau stellt also einen Vorfall dar und wie reagieren wir darauf?
Achtung, jetzt wird es ein bisschen technisch.
Fangen wir am Anfang an: Salesforce definiert einen Informationssicherheitsvorfall als eine bestätigte oder begründet vermutete Sicherheitsverletzung, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Daten führt, die von Salesforce und seinen Drittparteien übertragen, gespeichert oder anderweitig verarbeitet werden.
Und im Grunde ist das CSIRT rund um die Uhr für die Erkennung, Eskalation und Reaktion auf diese Informationssicherheitsvorfälle zuständig. Klingt einfach, oder? Nun, es gehört eine Menge dazu, und wir könnten es sicherlich nicht allein bewerkstelligen.
Das CSIRT arbeitet eng mit Teams auf der ganzen Welt zusammen, um unsere Vision zu verwirklichen, das führende Reaktionszentrum für Sicherheitsvorfälle für Cloud-Anbieter zu sein und eine erstklassige Reaktionsfähigkeit zu bieten. Effektiv geht es darum, das Vertrauen als höchstes Gut von Salesforce zu bewahren. Dazu arbeiten wir mit einem weltweiten "Follow-the-Sun"-Servicemodell, bei dem regionale Teams in verschiedenen Zeitzonen (z. B. Asien, Europa, Amerika) die Arbeit am Ende ihres Arbeitstages übergeben und so 24 Stunden, 7 Tage in der Woche und 365 Tage im Jahr Support bieten.
Unterschätzen Sie nie, wie wichtig es ist, vorbereitet zu sein.
Als Anbieter grundlegender Dienste für viele der größten und wichtigsten Unternehmen, Regierungen und Organisationen der Welt verankert Salesforce Sicherheit in allem, was wir tun. Dazu gehören der Aufbau einer Vertrauens- und Sicherheitskultur in der gesamten Organisation, die Schulung der Benutzer, worauf sie achten müssen, und die Bereitschaft, bei einem Vorfall schnell zu reagieren.
Wir verfolgen einen "Defense-in-Depth"-Ansatz für Sicherheit, d. h., wir versuchen, die Möglichkeit einzelner Schwachstellen zu begrenzen, indem wir einen mehrschichtigen Ansatz aus Technologie, Prozessen und Menschen einbinden. Falls doch einmal etwas passiert, verfügen wir über mehr als 1.400 Sicherheitsexperten und Dutzende von hochmodernen Sicherheitstools, -prozessen und -ansätzen, um jede Sicherheitsbedrohung zu verhindern, zu erkennen und darauf zu reagieren.
Bei unserem Team geht es aber nicht nur um Tools und Technologie. Tatsächlich haben einige der wichtigsten Fertigkeiten, die ein CSIRT-Teammitglied mitbringen kann, mehr mit Kommunikation, Problemlösung und Organisation zu tun. In meiner Rolle als Incident Responder beginnt mein Tag meist mit einer Übergabebesprechung, in der die regionalen Teams alle relevanten Vorfälle besprechen und das nächste Team für Erfolg rüsten. Wenn wir sicherstellen, dass alle Beteiligten über alle erforderlichen Informationen verfügen, können wir Silos abbauen und bessere Entscheidungen treffen, während sich Situationen entwickeln.
Teamarbeit ist der Schlüssel zum Erfolg.
Angenommen, wir erfahren während unserer Schicht von einem brandneuen Vorfall. Der erste Schritt – unabhängig davon, ob er von einem Menschen gemeldet oder von einem System erkannt wurde – ist die Triage, d. h. die Klassifizierung und Priorisierung des Ereignisses. Wenn ein Ereignis dann als Vorfall eingestuft wird, werden ihm eine Kategorie und ein Schweregrad zugewiesen.
Anschließend entwickelt ein Incident Manager oder Commander, der für die Erstellung und Leitung der Reaktionsstrategie, die Verwaltung der Abläufe und die Delegierung von Aktivitäten an eine Gruppe von Incident Respondern verantwortlich ist, einen Plan. Er beauftragt dann einen oder mehrere Incident Responder mit der Untersuchung, Eindämmung und Behebung des Problems.
Als Incident Responder bin ich für die technische Analyse und Untersuchung von Vorfällen zuständig. Es ist meine Aufgabe, Antworten auf zahlreiche Fragen zu suchen: Was ist passiert? Wann ist es passiert? Wer ist betroffen? Wer oder was hat den Vorfall verursacht? Wo (physisch oder virtuell) ist es passiert? Und wie ist es passiert?
Dieser letzte Teil ist der Beginn der Maßnahmen nach einem Vorfall, bei denen eine Ursachenanalyse durchgeführt wird, um die Ursache des Vorfalls zu identifizieren und aufzudecken. Während einer Untersuchung kann mein Tag aus Host- und Netzwerk-Forensik, Protokollanalyse (Terabytes oder sogar Petabytes an Daten), Malware-Forschung und der Zusammenarbeit mit vielen Beteiligten bestehen. Und am Ende der Schicht gibt es eine weitere Übergabebesprechung, damit die nächste Region den Prozess fortsetzen kann.
Steht man unter hohem Druck? Gelegentlich. Ist es herausfordernd? Auf eine gute Art! Technisch? Aber sicher. Fortlaufende Weiterbildung ist unerlässlich, um im Bereich Cybersicherheit auf dem neuesten Stand zu bleiben, und dieser Bereich bietet viele Möglichkeiten, um auf dem Laufenden zu bleiben.
Mein persönlicher Bildungsweg umfasst verschiedene Zertifizierungen (CCNA, CCNA Security, ISACA CISM, EC-Council CEH, (ISC)2, CISSP, CSA CCSK), unterschiedliche Kurse und Materialien zum Selbststudium (Videos, Bücher), News-Feeds, Podcasts und die Teilnahme an Konferenzen. Es ist eine kontinuierliche Lernreise, und ich bin noch lange nicht fertig. Als Nächstes stehen ein Master-Abschluss in Cybersicherheit und der SANS SEC504-Kurs (+ GIAC GCIH-Zertifizierung, hoffe ich!) an.
Möchten Sie sich zum Thema Cybersicherheit weiterbilden? Dann besuchen Sie das Lernzentrum für Cybersicherheit, wo Sie Nachweise für Ihren Lebenslauf erwerben, geführte Lernprogramme erkunden, von weiteren Sicherheitsexperten hören und sich mit der gesamten Cybersicherheits-Community vernetzen können.
Unser Ziel bei Salesforce ist es, eine Belegschaft aufzubauen, die die Vielfalt der Gemeinschaften, die wir bedienen, widerspiegelt und in der sich jeder ermächtigt fühlt, sein authentisches Selbst voll und ganz bei der Arbeit einzubringen. Unsere Werte sind nicht nur Worte auf einem Blatt Papier – wir lernen, sie jeden Tag zu leben, messen unseren Erfolg und entwickeln uns ständig weiter. Gemeinsam sind wir bestrebt, die Welt zu verbessern.
Möchten Sie Teil dieses großartigen Teams werden? Kommen Sie zu uns – wir suchen leidenschaftliche Menschen wie Sie!