SOC-Agent Abisek im Interview: «Bei uns laufen die Dinge ruhig und kontrolliert ab»

Abisek Rajeetharan ist Agent im Security Operations Center und gewährt einen Einblick in seine Arbeit. Der Mixed Martial Arts Kämpfer berichtet konkret von den tagtäglichen Abfragen und Incidents, gibt seine ehrliche Einschätzung zum Thema KI in der IT-Sicherheit ab und er teilt seine Beobachtungen typischer Fehler, die Unternehmen in der Security begehen.

Jörg Koch: Was hat dich dazu bewegt, im Bereich IT-Security zu arbeiten?

Abisek Rajeetharan: Mein primäres Fachgebiet war die Netzwerktechnik und da ist die Sicherheit ja auch ein wichtiger Aspekt. Ich habe dann gemerkt, was für grosses Thema die IT-Sicherheit für Unternehmen und auch für Privatpersonen ist und wie viel es da zu lernen gibt. Das hat mich angezogen und ich wollte in die IT-Security einsteigen. Jetzt bin ich seit April 2024 SOC Agent bei der first frame networker ag.

Wie sieht ein typischer Arbeitstag bei dir als Security Operations Center Agent aus?

Einen typischen Arbeitstag gibt es bei mir nicht. Aber es gibt typische Abläufe, um die ich mich jeden Tag kümmere:

• Ich überprüfe, ob kritische Schwachstellen neu bekannt geworden sind, die unsere Kunden betreffen. Dazu erstelle ich detaillierte Abfragen in Microsoft Defender und untersuche, welche Systeme oder Komponenten betroffen sind und was zu tun ist. Dazu spreche ich mich mit unseren Fachexperten ab. 
• Ich passe die Überwachungsregeln gemäss unserer Erkenntnisse und Absprachen an und rolle diese auf die Kundenumgebungen aus. Es ist wichtig, dass wir da immer «up to date» sind.
• Ich bearbeite Security-Incidents. Incidents sind Aktivitäten in der IT-Umgebung, die näher geprüft werden müssen. In der Regel sind das unkritische Sachen: Wenn bspw. ein Server geupdatet wurde oder ein User sich eine Software installiert hat. Falls nötig frage ich direkt bei den Kunden nach.

Mach' bitte ein konkretes Beispiel für eine Security-Abfrage.

Jeden Monat am sogenannten «Patch Tuesday» gibt Microsoft wichtige Sicherheitsupdates und Patches bekannt. Damit werden Sicherheitslücken geschlossen, die im sogenannten CVE-Programm bekannt geworden sind.

Wird eine Schwachstelle bekannt, die bspw. eine schädliche IP-Adresse betrifft, dann kann ich über eine Abfrage in Microsoft Defender schnell ermitteln, wo überall in den IT-Umgebungen mit dieser IP-Adresse kommuniziert wird. So kann ich erarbeiten, ob und in welchem Ausmass wir und unsere Kundinnen und Kunden betroffen sind und die nötigen Schritte einleiten.

Für diese Abfragen nutze ich sogenannte Hash-Werte. Diese sind sozusagen wie digitale Fingerabdrücke. Damit lassen sich Dateien, Texte, Passwörter, Malware-Samples, IP-Adressen, etc. eindeutig identifizieren.

Wie wir beim Testen und Ausrollen der Patches vorgehen und warum wir in gewissen Fällen gezielt warten, das hat mein Kollege Marius Weiss hier im Detail berichtet.

Nenne bitte einige konkrete Beispiele solcher Incidents.

Typische Beispiele sind:

• Eine Mitarbeiterin oder ein Mitarbeiter hat sich Software aus dem Internet heruntergeladen
• In Azure Entra ID wurden die Berechtigungen von Benutzern geändert
• Microsoft Defender hat eine Phishing-Mail erkannt oder User haben eine solche gemeldet

Das kommt immer darauf an, wie streng oder locker die Überwachungsregeln konfiguriert sind. 

Was tust du genau, wenn du einen Incident bearbeitest?

Wenn ein Incident gemeldet wird, dokumentiere ich zunächst die Uhrzeit, die betroffenen Personen oder Systeme, den Ablauf des Vorfalls sowie die auslösenden Aktionen. Ich halte ausserdem fest, was genau beeinträchtigt ist und wie Beweise gesichert werden können.

Anschliessend prüfe ich, wie sich die Auswirkungen minimieren lassen, beseitige identifizierte Schwachstellen und informiere den Kunden über den Vorfall.

Im nächsten Schritt beziehe ich unsere internen Experten ein, bespreche das weitere Vorgehen und protokolliere den Incident fortlaufend.

Nach Abschluss des Vorfalls analysieren wir gemeinsam, was verbessert werden kann, um ähnliche Incidents in Zukunft zu vermeiden. 

Musstest du schon mal einen richtig schweren Incident bearbeiten?

Zum Glück noch nie. Das bedeutet, dass wir unsere Sache bisher gut gemacht haben. Schwerwiegende Security-Vorfälle können sofort sehr belastend werden für alle involvierten Personen und für die ganze Organisation. 

Mein Kollege Philippe Hirzel erzählt im E-Book «Security first» von zwei speziellen Fällen, die er schon behandeln durfte. 

Wie verändert sich deine Arbeit aufgrund von künstlicher Intelligenz?

Ganz ehrlich: Ich stelle aktuell keine Veränderung fest. Im Internet wird das Thema KI viel heisser gekocht, als dass es tatsächlich gegessen wird. Hier bei uns beim «Security-Bodenpersonal» laufen die Dinge ruhig, systematisch und kontrolliert ab. 

Aber wie gesagt, wir sind laufend am Ball und beobachten das Feld aktiv. Denn es wird mit KI-unterstützten Angriffstaktiken experimentiert wie bspw. Deepfake-CEO-Fraud. Zu diesem Thema hat unser CEO kürzlich geschrieben: «Erich Steiner über Deepfake-CEO-Fraud: Was auf uns zukommt, wie wir uns schützen und was wir heute beobachten». 

Was sind die typischen IT-Security-Fehler, die du bei Unternehmen beobachtest?

• Unzureichende Schulung der Mitarbeitenden: Vielen Beschäftigten fehlt das Bewusstsein für Sicherheitsrisiken und den richtigen Umgang mit sensiblen Daten.
• Verwendung schwacher oder unsicherer Passwörter: Häufig werden einfache oder wiederverwendete Passwörter genutzt, was Angreifern Tür und Tor öffnet. 
• Vernachlässigte Systempflege: Systeme und Software werden oft über Jahre hinweg nicht aktualisiert, was bekannte Sicherheitslücken offenlässt.
• Multi-Faktor-Authentifizierung ist nicht aktiv: Es ist selten, aber es kommt noch vor. Ohne MFA müssen sich Cyberkriminelle lediglich Usernamen und Passwort erphischen und haben dann bereits Systemzugang. Auch bei der NZZ war es ein Zugang ohne MFA, der zum Breach geführt hat.

Was rätst du Unternehmen, welche mit der Nutzung eines SOC-Services starten wollen?

Diesen Unternehmen würde ich drei Ratschläge geben:

1. Prüfen, ob das SOC-Anbieterunternehmen nach ISO27001 und ISO9001 zertifiziert ist:
   Die 27001-Zertifizierung stellt sicher, dass das Unternehmen eine gute Informationssicherheit im Arbeitsalltag pflegt und diese systematisch prüft und verbessert. Zur ISO 27001-Zertifizierung der first frame networkers ag hat unser CEO Erich Steiner hier im Detail berichtet.
   
   Die 9001-Zertifizierung stellt sicher, dass das Unternehmen ein Qualitätsmanagement betreibt und systematisch am eigenen «Besser werden» arbeitet.
   
   Beide Zertifikate sind Gütesiegel für Professionalität. 

1. Prüfen, was die Service Level Agreement SLAs sind:
   Es ist wichtig, dass das SOC die für das Unternehmen wichtigen Szenarien genau bearbeitet. Und im Ernstfall muss es schnell gehen, da zählt jede Sekunde. Das muss in den Service Level Agreements festgehalten sein.
2. Prüfen, wie das Reporting und die Berichterstattung ausgestaltet sind:
   Ich persönlich finde es wichtig, dass die Unternehmen die Arbeiten des Security Operation Centers durch regelmässige Reportings «spüren». Es soll sichtbar werden, was die Incidents waren, was verbessert werden muss, woran gearbeitet wird. Bei uns ist die Berichterstattung ein fester Teil der monatlichen Abläufe. Im E-Book haben wir einen Beispielsreport abgebildet.
   
   

Was macht dir an deiner Arbeit in der IT-Security am meisten Freude?

Am meisten Freude bereitet mir, dass ich ständig dazulerne. Im Bereich IT-Security gibt es immer neue Bedrohungen, Technologien und Lösungsansätze. Das macht die Arbeit spannend und abwechslungsreich. Stillstand gibt es hier nicht, und genau das motiviert mich jeden Tag.

Was tust du in deiner Freizeit am liebsten?

In meiner Freizeit gehe ich ins Fitness, mache MMA (Mixed Martial Arts), tanze Salsa und gehe in einem Rhetorikklub.

Herzlichen Dank, Abisek, für den spannenden Einblick in deinen Arbeitsalltag als SOC-Agent.