LinkedIn revitalized its cybersecurity operations to be more effective than ever — by working smarter, not harder.

 

Image: Getty

Protecting against phishing, malware and other cyber threats is a difficult cybersecurity challenge for any organization — but when your business has over 20,000 employees and runs a service used by almost a billion people, the challenge is even tougher.

But that’s precisely the challenge that’s facing LinkedIn: the world’s largest professional network has over 875 million members, ranging from entry-level employees, all the way up to high-level executives, who all use it to network with colleagues and peers, discuss ideas, and find new jobs.

With hundreds of millions of users, LinkedIn needs to ensure its systems are secure against a range of ever-evolving cyber threats, a task that falls to LinkedIn’s Threat Detection and Incident Response team.

Heading up the operation is Jeff Bollinger, the company’s director of incident response and detection engineering, and he’s under no illusions about the significance of the challenge the company faces from cyber threats.

security

• Watch out for this triple-pronged PayPal phishing and fraud scam
• How to find and remove spyware from your phone
• The best VPN services: How do the top 5 compare?
• How to find out if you are involved in a data breach — and what to do next
• The 5 best browsers for privacy: Secure web browsing

It’s well known that highly sophisticated hacking groups have high-profile companies like LinkedIn in their sights, whether that’s trying to trick users into clicking phishing links or installing malware via manipulative social-engineering attacks.

Also: These are the cybersecurity threats of tomorrow that you should be thinking about today

“Well-funded attackers are definitely challenging because they can just keep coming — we have to be right every single time, and they’ve only got to be right once,” says Bollinger.

“That’s one of the challenges — we always have to be watching. We always have to be ready — whether it’s an opportunistic attacker or if it’s a dedicated, persistent attacker, we need to have our sensors and our signals collection in place to do it, no matter who it is.”

Building significant, more mature cybersecurity for the business was no small task, something which Bollinger describes as “akin to shooting for the moon” — so the program was named Moonbase.

Moonbase set out to improve threat detection and incident response, and it aimed to do so while improving quality of life for LinkedIn’s security analysts and engineers with the aid of automation, reducing the need for manually examining files, and server logs.

It was with this goal in mind that, over a period of six months between March 2022 and September 2022, LinkedIn rebuilt its threat-detection and monitoring capabilities, along with its security operations centre (SOC) — and that process started with reevaluating how potential threats are analyzed and detected in the first place

“Every good team and program begins with a proper threat model. We have to understand what are the actual threats that are facing our company,” Bollinger explains.

That awareness begins with analyzing what data most urgently needs protecting; things like intellectual property, customer information, and information regulated by laws or standards — then thinking about the potential risks to that data.

For LinkedIn and Bollinger, a threat is “anything that harms or interferes with the confidentiality, integrity, and availability of a system or data”.

Examining patterns and data of real-world incidents provides information on what a range of cyberattacks look like, what classes as malicious activity, and what type of unusual behavior should set off alerts. But solely relying on people to do this work is a time-consuming challenge.

By using automation as part of this analysis process, Moonbase shifted the SOC towards a new model; a software-defined and cloud-centric security operation. The goal of the software-defined SOC is that much of the initial threat detection is left to automation, which flags potential threats that investigators can examine.

Also: A Winning Strategy for Cybersecurity

But that’s not to say humans aren’t involved in the detection process at all. While many cyberattacks are based around common, tried-and-tested techniques, which malicious hackers rely on throughout the attack chain, the evolving nature of cyber threats means that there’s always new, unknown threats being deployed in efforts to breach the network — and it’s vital that this activity can also be detected.

“When it comes to what we don’t know, it really depends on us just looking for strange signals in our threat hunting. And that’s really the way to get it — by dedicating time to looking for unusual signals that could eventually be rolled into a permanent detection,” says Bollinger.

However, one of the challenges surrounding this effort is that cyber attackers often use legitimate tools and services to conduct malicious activity — so, while it might be possible to detect if malware has been installed on the system, finding malicious behavior that could also realistically be legitimate user behavior is a challenge, and something LinkedIn’s rebuild has been focused around.

“Normal, legitimate administration activity often looks exactly like hacking because attackers are going for the highest level of privileges — they want to be domain admin or they want to obtain root access, so they can have all persistence and do whatever they want to do. But normal administration activities look similar,” Bollinger explains.

However, by using the SOC to analyze unusual behavior detected by automation, it’s possible to either confirm it was legitimate activity, or find potential malicious activity before it becomes a problem.

The SOC also does so without requiring information security personnel to methodically oversee what each user at the company is doing, only getting hands-on with individual accounts if strange or potentially malicious behavior is detected.

And by using this strategy, it means that the threat-hunting team can use time to quickly examine more data in more detail and, if necessary, take action against real threats, rather than having to take time to to manually examine every single alert, especially when many of those alerts are false warnings.

“I think that gives us a lot more people power to work on these problems,” says Bollinger.

privacy

• How to delete yourself from internet search results and hide your identity online
• The best browsers for privacy
• Samsung’s smartphone ‘Repair Mode’ stops technicians from viewing your photos
• Are period tracking apps safe?

But threat detection is only part of the battle — like any organization when a threat is detected, LinkedIn must be able to act against it as quickly and smoothly as possible to avoid disruption and prevent a full–blown incident.

Also: Google’s hackers: Inside the cybersecurity red team that keeps Google safe

This is where the incident-response team comes in, actively looking for and filtering out threats, based on what’s been detailed by the threat-hunting team.

“We give our people the most context and data upfront, so that they can minimize their time spent gathering data, digging around, looking for things, and they can maximize their time on actually using the critical-thinking capacities of the human brain to understand what’s actually happening,” Bollinger explains.

The operation of incident response hasn’t changed drastically, but the way it’s approached, with the additional context of data and analysis has been revised — and that shift has helped LinkedIn become much more efficient when it comes to detecting and protecting against potential threats. According to Bollinger, investigations are now much faster — all the way from detecting threats to dealing with them.

“The time to detect is the time from when activity first occurs until when you first see it — and speeding that up, it’s been dramatic for us. We went from it being several days to being minutes,” he says.

“We’ve dramatically reduced our time to detect and time to contain as well. Because once we’ve lowered that threshold for time to detect, we also have more time to actually contain the incident itself.

“Now that we’re faster and better at seeing things, that reduces the opportunities for attackers to cause damage — but the quicker that we detect something is happening, the quicker we can shut it down, and that minimizes the window that an attacker has to actually cause damage to employees, members, the platform, or the public,” says Bollinger.

Keeping the company secure is a big part of LinkedIn’s overhaul of threat-detection capabilities, but there’s also another key element to the work — designing the process, so it’s helpful and effective for staff in the SOC, helping them to avoid the stress and burnout that can accompany working in cybersecurity, particularly when responding to live incidents.

“One of the key pieces here was preserving our human capital — we want them to have a fulfilling job here, but we also want them to be effective and not worn out,” says Bollinger.

The approach is also designed to encourage collaboration between detection engineers and incident responders, who — while divided into two different teams — are ultimately working towards the same goal.

This joined-up approach has also trickled down to LinkedIn employees, who have become part of the process of helping to identify and disrupt threats.

Users are informed about potentially suspicious activity around their accounts, with additional context and explanation as to why the threat-hunting team believes something is suspicious — as well as asking the user if they think the thing is suspicious.

Depending on the reply and the context, a workflow is triggered, which could lead to an investigation into the potential incident — and a remediation.

“Instead of having people working harder, we’re having them working smarter — that was really one of the big pieces for us in in all this,” says Bollinger.

“A big part of the job is just staying on top of things. We can’t just hope for the best and hope that our tools will find everything. We need to be constantly researching — that’s a really big part of what keeps us on our toes,” he concludes.

https://www-zdnet-com.cdn.ampproject.org/c/s/www.zdnet.com/google-amp/article/linkedin-has-massively-cut-the-time-it-takes-to-detect-security-threats-heres-how-it-did-it/

Ransomware-Angriffe sind eine reale Bedrohung! Sie sind allgegenwärtig und richten in den betroffenen Unternehmen großen Schaden an. Die schlechte Nachricht ist, dass diese Art der Cyberkriminalität nicht nur auf große multinationale Unternehmen abzielt, sondern auch bei klein- und mittelgroßen Unternehmen (KMU) Chaos anrichten können. Große Unternehmen können sich in der Regel vor solchen Angriffen schützen, da sie ein größere IT-Budgets und somit mehr Maßnahmen zum Schutz treffen können. Kleine und mittlere Unternehmen verfügen aber häufig nicht über diese Budgets und werden dadurch zu einem viel leichteren Ziel.

Der Cyber Crime Report des BMI zeigt einen deutlich Trend der letzten Jahre auf: die angezeigten Straftaten im Zusammenhang mit Cyber Kriminalität steigen jährlich an und die Aufklärungsrate liegt nur bei rund 40 Prozent.

Maersk, Uber, Palfinger, Salzburg Milch nur einige der bekannten Fälle, die mit den verheerenden Auswirkungen eines erfolgreichen Ransomware-Angriffs konfrontiert wurden. Aber lassen Sie sich von diesen Namen nicht von der Tatsache ablenken, dass KMU – ein Sektor, der mehr als 99% der heimischen Unternehmen ausmacht und fast 67% der Arbeitskräfte unseres Landes beschäftigt – vermehrt zum Hauptziel von Cyberkriminalität werden. Eines kann mit Sicherheit behauptet werden: Kein Unternehmen ist wirklich sicher!

Abbildung: Entwicklung der Anzeigen und der aufgeklärten Fälle von Cyberkriminalität laut Bundeskriminalamt

 

KMU sind besonders gefährdet, weil diese häufig nicht in entsprechende Sicherheitsmaßnahmen investieren. Eine kleine Anwaltskanzlei, ein Hersteller mit 35 Mitarbeiter:innen oder eine gemeinnützige Organisation mit 2 Mitarbeiter:innen können allesamt technologieorientierte Unternehmen sein, die genauso viel Schutz benötigen wie multinationale Konzerne. In vielen Fällen unterschätzen sie ihre Cybersicherheit jedoch.

Dies kann dazu führen, dass nur minimale Budgets für Cybersicherheitsprogramme und -pläne zur Verfügung stehen, es an internen Schulungen zur Cybersicherheit und zur Planung von und zum Umgang mit Angriffen fehlt. Außerdem werden veraltete Software und Geräte nicht mehr unterstützt.

Durch die Eindämmung von Covid-19 mussten viele kleine Unternehmen auch auf Home Office umstellen, weshalb diese für eine Reihe von Cybersicherheitsproblemen anfällig wurden. Gründe hierbei waren z.B. die Verwendung von Privatcomputern für arbeitsbezogene Aufgaben oder die Nutzung der Cloud mit wenig oder gar keinem IT-Personal bzw. -Ressourcen.

 

Die Entwicklung von Ransomware

Mit der Entwicklung von Ransomware-Angriffen ergeben sich für Cyberkriminelle neue Möglichkeiten, diese “leichten Ziele” auszunutzen. Daher ist es wichtig, ein Bewusstsein für diesen Trend zu schaffen und sicherzustellen, dass Sie in allen Fällen angemessen geschützt sind.

Eine Methode, die sich vermehrter Beliebtheit erfreut, ist jene der doppelten Erpressung. Dabei exfiltrieren die Angreifer die Daten der Opfer vor der Verschlüsselung an einen externen Speicherort und drohen diesen dann mit der Veröffentlichung der Daten, falls kein Lösegeld gezahlt wird. Die kombinierte Bedrohung durch Verschlüsselung und Datenexfiltration ist demnach eine Form der doppelten Erpressung. Kriminelle setzen diese Angriffsmethode immer häufiger ein, da sie sich als äußerst profitabel erweist.

Die Attacken richten sich zunehmend gegen LieferkettenDabei werden Methoden entwickelt, um ganze Versorgungsketten zum Erliegen zu bringen, indem Software-Schwachstellen in mehreren gezielten Angriffen ausgenutzt werden (z.B. Solarwinds-Angriff). Angriffe auf die Lieferkette können sowohl für große als auch für kleine Unternehmen schwerwiegende finanzielle und rufschädigende Folgen haben, die über mehrere Jahre haften bleiben können. Kleine Unternehmen sind besonders anfällig für Angriffe auf ihre Lieferkette, da sie häufig Teil einer großen Lieferkette sind und meist auf die Hilfe von externen IT-Dienstleistern angewiesen sind.

Ransomware wird auch in Form von „Ransomware-as-a-Service“ (RaaS) kommerziell rentabel. RaaS ist eine Art von Pay-for-Use-Malware, die es Cyberkriminellen ermöglicht, bereits entwickelte Ransomware-Tools zu erwerben und somit groß angelegte Ransomware-Angriffe durchzuführen. RaaS funktioniert im Wesentlichen wie ein Partnerprogramm – für jede erfolgreiche Lösegeldzahlung erhalten die Entwickler der Tools einen Anteil. Da RaaS es Cyberkriminellen mit grundlegenden technischen Kenntnissen ermöglicht, einen Ransomware-Angriff durchzuführen, wird dieses Geschäftsmodell die Bedrohungslandschaft auch im Jahr 2023 weiter kräftig anheizen.

 

Wie Sie Cyberangriffen durch gezielte Investments vorbeugen

Obwohl sich die Methoden der Cyberkriminellen im Laufe der Jahre geändert haben, bleibt die Grundlage der Ransomware-Angriffe dieselbe: Die Angreifer zielen auf die Unachtsamkeit der Opfer ab, blockieren den Zugang auf essenzielle Programme und verlangen anschließend Lösegeld für eine Wiederherstellung des Zugriffs.

Was Sie stets beachten müssen ist, dass Ransomware – egal wie ausgeklügelt der auch Angriff ist –  immer noch einen ersten Zugangspunkt braucht, um wirksam zu sein. Cybersicherheit ist letzten Endes ein menschliches Problem. Die Aufklärung über Ransomware, die sich entwickelnde Art der Angriffe und die Erkennung eines potenziellen Ransomware-Angriffs ist eine wichtige erste Verteidigungslinie. Einfach gesagt: Eine Bedrohung kann nicht vermieden werden, wenn sie nicht erkannt wird!

Die Ausbildung der Mitarbeiter zur Erkennung potenzieller Cyberbedrohungen trägt wesentlich dazu bei, die Wahrscheinlichkeit eines Angriffs zu verringern. Investitionen in laufende Schulungen zur Cybersicherheit muss eine hohe Priorität haben, wenn Ihr Unternehmen seine Widerstandsfähigkeit gegenüber Cyberbedrohungen verbessern will.

Weitere wichtige Sicherheitsvorkehrungen sind etwa die Implementierung eines Endpunktschutzes, der die Sicherung von Endpunkten und Zugangspunkten für alle Geräte innerhalb Ihres Unternehmens umfasst. Ferner empfehlen wir die ordnungsgemäße Verwendung von Passwörtern und eine teamübergreifende Passwortverwaltung, die das Risiko eines Angriffs drastisch verringern können sowie zuverlässige Offsite-Back-ups an einem sicheren Ort samt robusten Wiederherstellungsprozessplan.

 

Wie können Sie Ihre IT-Infrastruktur schützen?

Potenzielle Angriffe erfolgen nicht immer auf hochtechnologische, ausgeklügelte Weise. Eine Attacke kann auf trivialste Art erfolgen: Wenn z.B. jemand zu Ihrer Rezeption geht und einen USB-Stick in einen unbemannten Computer einsteckt.

Die Sicherheit der eigenen Person und damit auch die Sicherheit Ihres Unternehmens muss immer an erster Stelle stehen. E-Mail-Anhänge und infizierte Websites sind die häufigsten Einfallstore für Ransomware. Behandeln Sie daher alle Ihre E-Mails und Nachrichten (auch SMS und Whatsapp!) als potenzielle Gefahrenquellen und vermeiden Sie es, unnötige Banner auf verdächtigen Websites anzuklicken.

Erstellen Sie darüber hinaus auch einen Back-up- und Wiederherstellungsplan, mit dem Sie im Falle eines Angriffs Ihre Daten schnell wiederherstellen können. Aktualisieren Sie Ihre Software regelmäßig, da Cyberkriminelle häufig bekannte Sicherheitslücken ausnutzen, die die Entwickler bereits geschlossen haben.

Die Auswirkungen von Ransomware-Angriffen auf kleine oder mittelgroße Unternehmen können verheerend sein und weit über die finanziellen Lösegeldforderungen hinausgehen. Aufklärung, Vorbereitung und schnelles Handeln gehören zu den wirksamsten Waffen, die in diesem Cyberkrieg zur Verfügung stehen – Sie müssen darauf vorbereitet sein und Ihre Mitarbeiter:innen bereit für den Ernstfall machen.

Wir raten Ihnen daher: Agieren statt regieren! Werden Sie nicht zum nächsten Opfer!

https://www.bdo.at/de-at/publikationen/2022/kmu-oder-kleinstunternehmen-warum-die-gro%C3%9Fe-bei-cyberangriffen-keine-rolle-spielt

Um sich vor zukünftigen Risiken zu schützen, erhöhen fast drei Viertel (73 Prozent) der Unternehmen weltweit ihre Ausgaben für Cybersicherheit. Das ist das Ergebnis einer Umfrage von Fastly.

Beinahe drei Viertel der Unternehmen wollen ihre Ausgaben für die Cybersicherheit steigern, wie die Umfrage zeigt

(Quelle: www.fastly.com)

Fraglich ist jedoch, ob diese Investitionen tatsächlich optimal eingesetzt werden, denn die Untersuchung zeigt auch: Nur 61 Prozent der angeschafften Cybersicherheits-Tools sind überhaupt vollständig aktiv oder wirklich im Einsatz. Im DACH-Raum liegt dieser Durchschnittswert bei 59 Prozent. Da bei der Auswahl von Sicherheitslösungen ausserdem häufig das Giesskannenprinzip angewandt wird, überlappen sich 42 Prozent der Tools in ihrem Zweck. Die Unternehmen schützen sich also gleich mehrmals vor denselben Bedrohungen. Gleichzeitig gibt es bei den eingesetzten Lösungen zu oft, zu viele Fehlalarme. So sind beispielsweise 38 Prozent der von den Web Application Firewalls (WAFs) der Unternehmen erkannten Warnungen False Positives.

Im Rahmen dieser Studie gaben die IT-Verantwortlichen auch eine Prognose zu den grössten Bedrohungen für ihr Unternehmen in den nächsten zwölf Monaten ab. In der DACH-Region nennen 35 Prozent Phishing vor Malware (26 Prozent) und Datendiebstahl (25 Prozent). Weltweit wird letzteres am häufigsten genannt (32 Prozent), vor Malware (29 Prozent) und Phishing (26 Prozent). Zum Vergleich: In einer von Fastly in Grossbritannien durchgeführten Studie aus dem Jahr 2021 waren die grössten Bedrohungen für Unternehmen noch Malware, DDoS-Angriffe (Distributed Denial of Service) und Cyberkriminelle, die auf bekannte Schwachstellen abzielen. Diese Veränderung stellt eine signifikante Verschiebung der Bedrohungsängste dar. Im Fokus stehen nun Angriffe, die per «Social Engineering» auf einzelne Mitarbeiter abzielen.

https://www.computerworld.ch/security/marktanalyse/unternehmen-erhoehen-cybersecurity-budgets-2823752.html

The French data protection watchdog on Tuesday fined electricity provider Électricité de France (EDF) €600,000 for violating the European Union General Data Protection Regulation (GDPR) requirements.

The Commission nationale de l’informatique et des libertés (CNIL) said the electric utility breached European regulation by storing the passwords for over 25,800 accounts by hashing them using the MD5 algorithm as recently as July 2022.

It’s worth noting that MD5, a message digest algorithm, is considered cryptographically broken as of December 2008 owing to the risk of collision attacks.

 

Furthermore, the authority noted that the passwords associated with 2,414,254 customer accounts had only been hashed and not salted, exposing the account holders to potential cyber threats.

The probe also pointed fingers at EDF for failing to comply with GDPR data retention policies and for providing “inaccurate information on the origin of the data collected.”

“The amount of the fine was decided considering the breaches observed and the cooperation by the company and all the measures it has taken during the proceedings to reach compliance with all alleged breaches,” the CNIL said.

The penalty arrives less than two weeks after CNIL fined Discord €800,000 for its failure to respect data retention periods for inactive accounts and enforce a strong password policy.

https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html