{"id":14892,"date":"2021-07-01T10:54:32","date_gmt":"2021-07-01T08:54:32","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=14892"},"modified":"2022-03-31T12:16:12","modified_gmt":"2022-03-31T10:16:12","slug":"mit-forensischen-methoden-angriffsvektoren-vollstaendig-aufklaeren","status":"publish","type":"post","link":"https:\/\/www.secuinfra.com\/de\/techtalk\/mit-forensischen-methoden-angriffsvektoren-vollstaendig-aufklaeren\/","title":{"rendered":"Mit forensischen Methoden Angriffsvektoren vollst\u00e4ndig aufkl\u00e4ren"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/mit-forensischen-methoden-angriffsvektoren-vollstaendig-aufklaeren\/#Digital_Forensics_und_Incident_Response_DFIR\" >Digital Forensics und Incident Response (DFIR)<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/mit-forensischen-methoden-angriffsvektoren-vollstaendig-aufklaeren\/#DFIR_Die_Tools_und_die_Vorgehensweise\" >DFIR: Die Tools und die Vorgehensweise<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/mit-forensischen-methoden-angriffsvektoren-vollstaendig-aufklaeren\/#DFIR_braucht_Flexibilitaet_und_Expertise\" >DFIR braucht Flexibilit\u00e4t und Expertise<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/mit-forensischen-methoden-angriffsvektoren-vollstaendig-aufklaeren\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Digital_Forensics_und_Incident_Response_DFIR\"><\/span>Digital Forensics und Incident Response (DFIR)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Unternehmen sehen sich dauerhaft Cyberkriminalit\u00e4t durch Hacker und Angreifer ausgesetzt, die es auf ihre Daten oder ihr Geld abgesehen haben. Ein klassisches Einfallstor sind Emails mit infizierten Anh\u00e4ngen oder Links. Gerade Endbenutzer stehen oft im Visier der Angreifer, da diese tendenziell wenig darin geschult und erfahren sind, Angriffe als solche zu erkennen. Angriffe erfolgen meistens gezielt \u00fcber sogenanntes Spear Phishing oder werden als gro\u00df angelegte Kampagnen in der Breite gefahren, um L\u00fccken in Systemen auszunutzen.<\/p>\n<p>\u201eDie Bedrohungslage ist hoch bzw. steigt sogar noch an\u201c, so Tobias Messinger, Senior Cyber Defense Consultant beim IT-Sicherheits-Dienstleister SECUINFRA. Speziell aus diesem Grund wurde das SECUINFRA Falcon-Team aufgestellt. Im Fr\u00fchjahr 2021 wurden vier schwerwiegende Sicherheitsl\u00fccken im Microsoft Exchange-Server bekannt. Mit einer Kombination der Schwachstellen war es Angreifern m\u00f6glich, Dateien auf dem System zu erstellen, zu \u00e4ndern sowie zu l\u00f6schen. Hierdurch konnten die Akteure unter anderem einen dauerhaften Zugriff auf dem System erlangen.\u201c Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) stufte das Problem daher als sehr kritisch ein. \u201eEs ist nur eine Frage der Zeit, bis Angreifer die n\u00e4chste L\u00fccke aufsp\u00fcren und ausnutzen\u201c, warnt Messinger.<\/p>\n<p>Unternehmen m\u00fcssen diese Angriffe abwehren und sich vor dem Verlust sensibler Daten oder vor Reputationssch\u00e4den sch\u00fctzen. Im Falle eines Angriffs sollten Unternehmen daher unter professioneller Hilfe geeignete Gegenma\u00dfnahmen ergreifen. Das Mittel der Wahl stellt dabei Digital Forensics &amp; Incident Response (DFIR) dar. Hierdurch k\u00f6nnen Angriffe rekonstruiert, die ausgenutzten Schwachstellen in der IT-Infrastruktur identifiziert und anschlie\u00dfend geschlossen werden.<\/p>\n<p>\u201eDie sogenannten Indicators of Compromise (IOC), also jene Spuren, die ein Angreifer in den Systemen hinterl\u00e4sst, k\u00f6nnen durch Methoden der <a href=\"https:\/\/www.secuinfra.com\/de\/services\/digital-forensics\/\">digitalen Forensik<\/a> entdeckt und verarbeitet werden,\u201c so Messinger weiter. \u201eBei einem Vorfall werden die Systeme unternehmensweit nach den identifizierten Spuren einer Kompromittierung gescannt. Das Ziel besteht darin, den Patient-Zero zu identifizieren. Ein weiteres m\u00f6gliches Ziel ist die Root-Cause-Analysis (RCA).\u201c<\/p>\n<p>Die <a href=\"https:\/\/www.secuinfra.com\/de\/services\/incident-response\/\">Incident Response<\/a>, ein weiterer Grundpfeiler der Cyber Security, deckt den gesamten Zyklus der Vorfallsuntersuchung und -behebung ab und umfasst Handlungsempfehlungen, die auf den Erkenntnissen der Digital Forensics beruhen: Welche Schritte werden als n\u00e4chstes unternommen, welche Daten von welchem System sind betroffen, m\u00fcssen Systeme isoliert, Backups wiederhergestellt oder das System neu installiert werden? Wird schnell und richtig reagiert, kann dies die Sch\u00e4den einer Attacke eind\u00e4mmen. Die Incident Response steuert zudem alle Beteiligten des betroffenen Unternehmens und des <a href=\"https:\/\/www.secuinfra.com\/de\/services\/\">IT-Dienstleisters<\/a>. \u201eDas Ziel besteht darin, den Schaden soweit es geht zu reduzieren und die Arbeitsf\u00e4higkeit schnellstm\u00f6glich wiederherzustellen,\u201c fasst Leon Hormel, Cyber Defense Consultant im SECUINFRA Falcon Team, zusammen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DFIR_Die_Tools_und_die_Vorgehensweise\"><\/span><strong>DFIR: Die Tools und die Vorgehensweise<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>F\u00fcr DFIR ist die Vorgehensweise stets fallabh\u00e4ngig: \u201eDa jeder Incident und jede Systemlandschaft anders ist, h\u00e4ngt die anzuwendende Methodik von dem Angriff und der Umgebung ab\u201c, erkl\u00e4rt Messinger. So nutzt bspw. das SECUINFRA Falcon-Team eine Palette von etablierten Tools der digitalen Forensik. Diese kann grob in drei Teile eingeteilt werden: Bei den Endpoint Forensics werden Ger\u00e4te wie Server, Workstations oder Laptops analysiert, um Angriffsspuren wie Malware, Data Exfiltration oder auff\u00e4lliges Nutzerverhalten zu entdecken. Network Forensics beinhaltet die Identifikation und Analyse von Angriffsspuren auf Basis des Netzwerkverkehrs. Unter die Malware Forensics f\u00e4llt schlie\u00dflich die Analyse von (potenzieller) Schadsoftware zur Identifikation von IOC, die Rekonstruierung des Tathergangs sowie die Bewertung des Schadensausma\u00dfes.<\/p>\n<p>Die forensische Analyse folgt den sechs Schritten des Investigation Life Cycle: In der Identification-Phase verschaffen sich die Forensiker einen ersten \u00dcberblick. Das beinhaltet die Befragung des Auftraggebers und eine Quellensuche. Phase zwei des Investigation Life Cycle ist die Preservation-Phase die sicherstellt, dass Beweise, die in den sp\u00e4teren Phasen aufgenommen und analysiert werden, eine nachvollziehbare und nicht manipulierbare Beweismittelkette bilden. So kann der Angriff genau nachverfolgt werden. \u201eDie chronologische Dokumentation von Beweismitteln ist wichtig, um Versicherungsleistungen in Anspruch nehmen sowie Schadensersatzforderungen begegnen oder Strafverfolgung einleiten zu k\u00f6nnen\u201c, f\u00fcgt Messinger hinzu. In der Collection-Phase werden Beweise gesammelt \u2013 dabei kann es sich zum Beispiel um Hardware wie Laptops, Telefone und Festplatten, aber auch um Dateien wie Downloads, Logdaten oder Mitschnitte des Netzwerkverkehrs handeln. Um daraus Schlussfolgerungen zu ziehen, werden gesammelte Beweismittel in der Analyse-Phase systematisch durchforstet und bewertet. Die eigentlich f\u00fcnfte Phase, die Documentation, ist ein kontinuierlicher Prozess w\u00e4hrend des gesamten\u00a0Digital Forensics Einsatzes. Sie stellt die Nachvollziehbarkeit sicher \u2013 von der Aufnahme des Falls bis hin zur Rekonstruktion des Angriffs. Die finale Phase des Einsatzes ist die Presentation-Phase: Dabei wird der Angriff m\u00f6glichst genau rekonstruiert. Bei Bedarf werden in dieser Phase Verbesserungsvorschl\u00e4ge zur St\u00e4rkung der Cyber Resilience unterbreitet. \u201eDie einzelnen Phasen k\u00f6nnen mehrfach durchlaufen werden, um Hypothesen zu best\u00e4tigen oder zu widerlegen\u201c, erkl\u00e4rt Hormel.<\/p>\n<p>Die Analyse umfasst in der Regel drei Tage. Im Worst Case m\u00fcssen die Systeme neu aufgebaut werden; es kann jedoch auch ausreichen, Updates und Patches auszuf\u00fchren, Passw\u00f6rter zu \u00e4ndern, das Rollenkonzept zu \u00fcberarbeiten oder Schutzma\u00dfnahmen wie Firewalls und EDR-Tools (endpoint detection and response) einzusetzen.<\/p>\n<p>Die Analysten wissen bei der \u00dcbernahme des Falls in der Regel aus Erfahrung, worum es geht. Zwar ist jeder Fall anders, aber oft liefern Muster Anhaltspunkte. Wichtig ist, dass die Incident Response schnell eingeleitet wird: \u201eDa Artefakte teilweise volatil sind, wird die Aufarbeitung um so schwieriger, je weiter ein Angriff in der Vergangenheit liegt,\u201c sagt Hormel. Nicht immer ist ein Angriff sofort als solcher zu erkennen. Gerade der Abfluss von Daten wird oft erst sp\u00e4t bemerkt.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DFIR_braucht_Flexibilitaet_und_Expertise\"><\/span><strong>DFIR braucht Flexibilit\u00e4t und Expertise<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Von Angriffen sind Unternehmen aller Gr\u00f6\u00dfen und Branchen betroffen. Zwar ist es m\u00f6glich, ein kompromittiertes System auf eigene Faust zu bereinigen. Jedoch wird dabei nicht aufgekl\u00e4rt, wie der Angriff zustande kam; der Angriffsvektor kann so nicht geschlossen werden. Auch lateral movement kann \u00fcbersehen werden, wenn sich der Angreifer unerkannt in benachbarte Systeme eingenistet hat und dar\u00fcber eine Persistenz f\u00fcr k\u00fcnftige Angriffe schafft. Der Aufbau eines eigenen unternehmensinternen Incident-Response-Teams ist allerdings zeit- und ressourcenintensiv, weshalb Unternehmen spezialisierte Partner zur Verf\u00fcgung stehen.<\/p>\n<p>Messinger fasst zusammen: \u201eEin DFIR-Team braucht Flexibilit\u00e4t: Attacken ereignen sich oft in den Nachtstunden au\u00dferhalb regul\u00e4rer Arbeitszeiten. Gerade dann ist es wichtig, schnell unterst\u00fctzen zu k\u00f6nnen.\u201c Cyber-Defense-Experten ben\u00f6tigen zudem analytische F\u00e4higkeiten sowie ein breites IT-Security und IT-Wissen. Sie m\u00fcssen am Ball bleiben. Eine Herausforderung besteht zudem darin, das gro\u00dfe Ganze im Blick zu behalten und sich nicht in Details zu verzetteln. Wichtig ist auf Unternehmensseite eine offene Kommunikation: DFIR ben\u00f6tigt Vertrauen auf beiden Seiten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span><strong>Fazit<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>DFIR erlaubt es, Cyberangriffe und IT-Sicherheitsvorf\u00e4lle zeitnah und vollst\u00e4ndig aufzukl\u00e4ren. Ein DFIR-Team identifiziert, analysiert und dokumentiert die digitalen Artefakte, unterst\u00fctzt bei der Incident Response und gibt Empfehlungen, um die Cyber Resilience zu verbessern. Das Unternehmen gewinnt Klarheit \u00fcber das Ausma\u00df des Schadens und kann Gegenma\u00dfnahmen ergreifen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im Falle eines Angriffs sollten Unternehmen unter professioneller Hilfe geeignete Gegenma\u00dfnahmen ergreifen. Das Mittel der Wahl stellt dabei Digital Forensics &#038; Incident Response (DFIR) dar.<\/p>\n","protected":false},"author":6,"featured_media":27640,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[79,80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-14892","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-forensics","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=14892"}],"version-history":[{"count":0,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/14892\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27640"}],"wp:attachment":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=14892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=14892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=14892"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=14892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}