Incident Response

Die Preparation Phase bezeichnet die Vorbereitung aller beteiligten Akteure für einen Cyber Security Incident. Wir unterscheiden zwischen einer internen und externen Preparation. Die interne Preparation bezieht sich auf alle zu treffenden Vorbereitungen innerhalb des DFIR-Teams der SECUINFRA (Dokumentation des Kundeninformationen, Schulungen/Zertifizierungen, Weiterentwicklung von Tools und Technologien, Recherche neuer Angriffsmethoden/Gruppen. 

Die externe Preparation geschieht mit Ihnen als Kunden, optimalerweise vor dem Eintreten eines Cyber Security Incidents. Wenn Sie sich für unseren DFIR-Rahmenvertrag entscheiden, bereiten wir Sie im Zuge des Onboardings auf einen Cyber Security Incident vor. Zusätzlich bieten und empfehlen Ihnen ein jährliches Service Review an, u.a. um Ihre Organisation auf veränderte Bedrohungslagen vorzubereiten. Sind Sie bereits von einem Cyber Security Incident betroffen, sind wir auch entsprechend vorbereitet, Sie Ad-Hoc professionell zu unterstützen.

Das Ziel der Identification Phase ist es Abweichungen in Ihrer Infrastruktur festzustellen. Wir ermitteln in diesem Zusammenhang, ob derartige Abweichungen für Sie als Kunde ein Cyber Security Incident darstellen. Dazu gehört auch die Einstufung des Vorfalls in die entsprechende Kritikalität.

U.a. können folgende Elemente zur Identifizierung von Cyber Secuirty Incidents dienen bzw. werden in Absprache mit Ihnen in Erwägung gezogen:

• Einrichtung eines Monitorings für die Überwachung und Erkennung von Abweichungen der IT-Systeme und IT-Infrastruktur.
• Identifikation kompromittierter Systeme mittels Compromise Assessment.
• Analyse von Ereignissen aus verschiedenen Quellen wie z.B. Logdateien, Fehlermeldungen oder Warnungen aus Security-Tools.
• Identifizierung eines Cyber Security Incidents durch Korrelation von Daten aus mehreren Quellen

Die Eindämmung des Schadens aber auch das Verhindern von weiteren Schäden durch den aktuellen Cyber Security Incident erfolgt in der Containment Phase. Es sind mehrere Schritte erforderlich, um den Cyber Security Incident vollständig einzudämmen und gleichzeitig die Zerstörung von Beweisen zu verhindern, die für die Strafverfolgung benötigt werden könnten.

Wir unterscheiden in diesem Zusammenhang zwischen kurzfristigen und langfristigen Containments.

Kurzfristige Containments begrenzen den Schaden, bevor sich der Cyber Security Incident verschlimmert. In der Regel geschieht das durch die Isolierung von Netzwerksegmenten und/oder kompromittierten Assets, durch eine Weiterleitung zum Failover¹ oder durch die Abschaltung der kompromittierten Assets. Letzteres sollte nur dann in Betracht gezogen werden, wenn andere Containment Schritte nicht möglich sind oder zu lange dauern und ein zu hoher Schaden entstehen könnte.

¹Failover ist ein Backup-Betriebsmodus, der automatisch zu einer Standby-Datenbank, einem Server oder einem Netzwerk wechselt, wenn das Hauptsystem ausfällt oder aufgrund von Wartungsarbeiten heruntergefahren wird.

Im langfristigen Containment werden unter anderem vorübergehende Korrekturen angewendet, um Produktionssysteme wieder in Betrieb nehmen zu können. Das Hauptaugenmerk liegt dabei auf der Beseitigung von User Accounts oder Backdoors, die Angreifer ggf. auf den Systemen hinterlassen haben. Ein weiteres Hauptaugenmerk liegt auf der Beseitigung der Root Cause, z.B. der Behebung eines defekten Authentifizierungsmechanismus oder der Behebung einer Sicherheitslücke, die zu dem Angriff geführt hat.

In der Eradication Phase gilt es, Malware oder andere Artefakte, die durch Angriffe eingebracht wurden, tatsächlich zu entfernen. Die Systeme werden, sofern möglich, komplett bereinigt oder eine sichere Wiederherstellung vorbereitet. Alle möglichen Maßnahmen für die Eradication werden mit beteiligten Ansprechpartnern erörtert und umgesetzt.

Folgende Elemente können, unter anderem als Eradication Steps, während eines Cyber Security Incidents angewandt werden bzw. werden in Absprache mit Ihnen in Erwägung gezogen:

• Re-Imaging von kompromittierten Assets gewährleistet eine vollständige Löschung aller bösartigen Inhalte.
• Eliminierung der Root Cause wie z.B. das Patchen der vom Angreifer ausgenutzten Sicherheitslücke.
• Anwendung grundlegender bewährter Sicherheitspraktiken wie z.B. das Aktualisieren alter Softwareversionen oder das Deaktivieren nicht genutzter Dienste.
• Scannen nach Malware oder verbliebener IOCs mittels Sicherheitslösungen wie z.B. Antivirus, EDR und/oder IOC-Scanner, damit sichergestellt ist, dass alle bösartigen Artefakte entfernt wurden.

Nach der vollständigen Bereinigung unterstützen wir Sie in der Recovery Phase bei der Wiederherstellung Ihrer Systemlandschaft. Gemeinsam mit Ihnen erstellen wir einen tragfähigen Recovery Plan. Ein Recovery-Plan sieht bspw. den gesicherten Aufbau der Systeme in einem abgeschotteten Netzbereich vor, der erst nach festgestellter Bereinigung in ein produktives Netz migriert wird.

Folgende Elemente können unter anderem als Recovery Maßnahme in Absprache mit Ihnen als Kunde umgesetzt werden:

• Festlegung von Uhrzeit und Datum für die Wiederherstellung des Betriebs
• Testen und Prüfen – Durch das Testen und Prüfen soll sichergestellt werden, dass die Systeme sauber und voll funktionsfähig sind, wenn sie in Betrieb gehen.
• Monitoring – Fortlaufende Überwachung für einige Zeit oder auch permanent (dies wird mehr empfohlen) nach dem Cyber Security Incident, um den Betrieb zu beobachten und auf abnormales Verhalten zu prüfen.
• Weitere Maßnahmen für die Verhinderung eines erneuten Cyber Security Incidents Wir können Ihnen in diesem Rahmen unsere Managed- bzw. Co-Managed Services mit 24/7 Monitoring bieten. Sprechen Sie uns an.

Nach Beendigung des Security Incidents werden in der letzten Phase alle relevanten Informationen über den Security Incident zusammengefasst und Lessons Learned für künftige Vorfälle und Maßnahmen abgeleitet.

Bei Bedarf werden in einem abschließenden Workshop alle relevanten Ergebnisse vorgestellt und mit Ihnen besprochen. Gewonnene Erkenntnisse fließen auf Wunsch wieder in die Preparation Phase, um den DFIR Life Cycle zur stetigen Verbesserung erneut anzustoßen.