Inhalt
Im Falle eines erfolgreichen Cyberangriffs benötigen Sie das optimale Zusammenspiel dreier Teildisziplinen der IT Security: Incident Response, Compromise Assessment sowie Digital Forensics. Was diese drei Ansätze leisten und wie aufeinander aufbauen, erfahren Sie in diesem Beitrag.
Incident Response: Eine gute Vorbereitung ist überlebenswichtig!
Als einer der Grundpfeiler der Cybersecurity hat Incident Response das Ziel, eine zeitnahe und angemessene Reaktion auf IT-Sicherheitsvorfälle zu gewährleisten, um so vor dem Verlust sensibler Daten und existenzbedrohender Reputationsschäden geschützt zu sein. Incident Response ist kein Tool, sondern stellt die optimale Entgegnung eines Unternehmens auf einen stattgefundenen IT-Sicherheitsvorfall sicher – anhand vordefinierter Aktionen und Handlungsanweisungen. Als wesentlicher Grundpfeiler der Cybersecurity deckt Incident Response den gesamten Zyklus der Vorfallsuntersuchung und -behebung ab und widmet sich initial beispielsweise den Fragen, welche Schritte als nächstes unternommen werden müssen und ob Systeme isoliert, Backups wiederhergestellt oder das System neu installiert werden muss.
Wird schnell und richtig reagiert, kann dies die Schäden einer Attacke eindämmen. Die Incident Management als Teil der Incident Response steuert zudem alle Beteiligten des betroffenen Unternehmens und des IT-Dienstleisters.
Um eine nachhaltige Incident Response zu gewährleisten, empfehlen die SECUINFRA Cyber Defense Experten die Einhaltung eines 6-Stufen-Plans:
- Preparation: Diese Phase umfasst alle nötigen Schritte, die durchgeführt werden sollten, um die Arbeit an einem Incident möglichst effizient zu gestalten. Mit zielgerichteten Workshops werden Mitarbeitende und Entscheidungsträger eines Unternehmens optimal auf mögliche IT-Sicherheitsvorfälle vorbereitet.
- Identification: Angriffsspuren (Indicators of Compromise, IOCs) möglichst schnell und umfassend zu identifizieren, ist Kernpunkt der zweiten Phase. An diesem Punkt kommt idealerweise ein Compromise Assessment zum Einsatz, auf das im nachfolgenden Abschnitt noch näher eingegangen wird.
- Containment: Erkannte Angreifer werden umgehend isoliert, damit der Schaden im möglichst klein gehalten wird. Es sind hier mehrere Schritte erforderlich, um den Vorfall vollständig einzudämmen und gleichzeitig die Zerstörung von Beweisen zu verhindern, die für die Strafverfolgung benötigt werden könnten.
- Eradication: Ziel der Eradication ist es, Malware oder andere Artefakte, die durch die Angriffe eingeführt wurden, koordiniert und zielgenau aus dem Unternehmen zu entfernen und alle betroffenen Assets vollständig wiederherzustellen. Gleichzeitig wird das Risiko für eine Rückkehr des Angreifers gesenkt.
- Recovery: Ziel der Wiederherstellung ist es, alle Systeme wieder voll funktionsfähig zu machen, nachdem sichergestellt wurde, dass sie sauber sind und die Bedrohung beseitigt wurde. Nur so kann nach einem IT-Sicherheitsvorfall der Geschäftsbetrieb zeitnahund ohne Beeinträchtigung weiterlaufen.
- Lessons learned: Mit der schnellstmöglichen Aufbereitung des Tathergangs und den erfolgten Reaktionen darauf werden Incident Response Prozesse optimiert und die Cyber Resilienz des Unternehmens erhöht.
Compromise Assessment: Spuren von Angreifern aufdecken und das Ausmaß des Angriffs bewerten
Nachdem das Incident Response Team in der Identification Phase grundlegende Informationen zum IT-Sicherheitsvorfall gesammelt hat, geht es im zweiten Schritt darum, alle betroffenen Systeme ausfindig zu machen und das genaue Ausmaß des Cyberangriffs zu bestimmen. An dieser Stelle kommt das Compromise Assessment zum Einsatz. Ziel des Compromise Assessment ist es, möglichst schnell und effizient ein umfassendes Bild über das Ausmaß der Kompromittierung des Unternehmens zu erlangen. Somit bildet das Compromise Assessment die Grundlage aller folgenden Incident Response Maßnahmen und stellt sicher, dass alle kompromittierten Systeme identifiziert werden. Diese werden anschließend während der Containment Phase von nicht-kompromittierten Systemen getrennt.
Dies bedeutet, dass Systeme gescannt und bewertet werden müssen und der verwendete Scanner bei identifizierten, potenziell kritischen Ereignissen nicht eingreift, um aktiv dagegen vorzugehen.
Hierbei werden diverse Quellen (Dateien, die Windows Registry, SHIMCache, Amcache, laufende Prozesse, Eventlogs, etc.) auf einem System herangezogen und gegen eine Datenbank von IOCs (Indicators of Compromise) geprüft. Bei Treffern erzeugt der verwendete Scanner ein entsprechendes Event und der Analyst muss dieses bewerten und entscheiden, ob Handlungsbedarf besteht oder nicht.
Die so ausfindig gemachten Angriffsspuren (IOCs) – die von Angreifern zwangsläufig hinterlassen werden – ergeben in Summe ein sehr detailliertes Bild über das Ausmaß des Cyberangriffs.
Digital Forensics: Tathergang rekonstruieren, aus eigenen Fehlern lernen und Cyber Resilienz erhöhen
Wurden kompromittierte Systeme identifiziert, startet die detaillierte Analyse mit Hilfe forensischer Tools und Techniken. Hierbei sollte beachtet werden, dass nicht jedes System detailliert analysiert werden muss, sondern nur die zur Aufklärung des Tathergangs relevanten. Ansonsten laufen die Kosten eines DFIR-Einsatzes sehr schnell aus dem Ruder und die Analyse zieht sich über Monate hin.
Da jeder Incident und jede Systemlandschaft anders sind, hängt die anzuwendende Methodik von dem Angriff und der Umgebung ab. So nutzt bspw. das SECUINFRA Falcon-Team eine Palette von etablierten Tools und Techniken der digitalen Forensik. Diese kann grob in drei Teile eingeteilt werden:
- Bei den Endpoint Forensics werden Geräte wie Server, Workstations oder Laptops analysiert, um Angriffsspuren wie Malware, Data Exfiltration oder auffälliges Nutzerverhalten zu entdecken.
- Network Forensics beinhaltet die Identifikation und Analyse von Angriffsspuren auf Basis des Netzwerkverkehrs mit demselben Ziel wie bei der Endpoint Forensik.
- Unter die Malware Analysis fällt schließlich die Analyse potenzieller Schadsoftware, um deren Funktionsweise zu verstehen und Rückschlüsse auf den Ersteller der Malware und die Infrastruktur des Angreifers zu erlangen. Diese Punkte dienen zur Identifikation weiterer Indicators of Compromise (IoC’s).
Ziel der Digitalen Forensik ist die detaillierte Analyse des Angriffs, um den genauen Tathergang rekonstruieren zu können.
Hierfür werden nach und nach folgende Fragen beantwortet:
- Welche Kommunikationswege nutzte der Angreifer?
- Hat der Angreifer Persistenz erlangt, und wenn ja wo und wie?
- Wie konnte sich der Angreifer im Unternehmen ausbreiten?
- Welche lateral movement Techniken hat er genutzt?
- Welche Accounts sind kompromittiert?
- Welches System ist der Patient Zero?
- Wie kam es zur initialen Kompromittierung?
Für die Beantwortung dieser und anderer Fragen sammeln die Digital Forensics Experten in akribischer Kleinarbeit Spuren rund um den erfolgten Cyberangriff. Die zusammengetragenen Spuren dienen einerseits als Beweise in der Strafverfolgung und zur Durchsetzung von Schadensersatzansprüchen gegenüber Versicherungen, andererseits lassen sich hieraus Fehler in der eigenen Sicherheitsarchitektur erkennen.
Werden diese Fehler während der Lessons learned Phase ausgewertet und aus ihnen die richtigen Maßnahmen abgeleitet, erhöht sich als Folge die Cyber Resilienz des Unternehmens: Die Wahrscheinlichkeit, wieder Opfer eines Cyberangriffs zu werden, sinkt. Geschieht dies nicht, sollten Sie das Incident Response Team gleich im Hause behalten, denn der nächste erfolgreiche Cyberangriff wird nicht lange auf sich warten lassen!
Fazit
Cyberkriminelle greifen auf mächtige, vorkonfigurierte und einfach zu bedienende Tools zurück, spüren zielsicher auch die kleinste Sicherheitslücke auf oder infiltrieren Unternehmen direkt mittels Phishing. Der Fall der Fälle ist also leider nur eine Frage der Zeit. Umso wichtiger ist eine optimale Vorbereitung, um bei einem akuten Cyberangriff schnell, effizient und zielgerichtet alle notwendigen Schritte einleiten zu können – und schwere Schäden vom Unternehmen abzuwenden. Nach einem erfolgreichen Cyberangriff müssen die richtigen Reaktionsmaßnahmen zeitnah ausgeführt werden. Mit der Kombination aus Incident Response, Compromise Assessment und Digital Forensics lässt sich das Ausmaß des IT-Sicherheitsvorfall schnell feststellen, der Schaden begrenzen und die Cyber Resilienz des Unternehmens im Nachgang steigern.
Sie möchten für den Fall der Fälle bestens vorbereitet sein und ein Team ausgewiesener Cyber Defense Experten – auf Wunsch auch 24/7 – an Ihrer Seite haben? Kontaktieren Sie uns – wir beraten Sie gerne!