Incident Response

Tatort «Cyber Crime»

Admin Leave a comment
Bei «Tatort» dreht sich alles um die Aufklärung von Straftaten wie Mord, Einbruch oder Erpressung. Dies ist bei der Analyse einer Cyberattacke nicht viel anders. Doch während der Fernsehkommissar meistens in eineinhalb Stunden den Fall löst, ist die Analyse einer Attacke ein langer, aufreibender Prozess, der viel Erfahrung und noch mehr Know-how von den Cyber-Analysten erfordert.

Spurensicherung im digitalen Raum
Zunächst ist der Tatort der Ausgangspunkt für die detaillierte Analyse einer Cyberattacke und gleichzeitig der Startpunkt für die Incident Response. Hier stellt sich zunächst die Frage: Ist der Täter noch im Netzwerk? Allenfalls müssen auch schon erste Massnahmen ergriffen werden, damit nicht noch grösserer Schaden entstehen kann. Erst dann kommt die Spurensicherung. Nichts darf vorher verändert oder ohne «Handschuhe» angefasst werden. Der Tatort wird dabei grossräumig abgeriegelt. Alle möglichen Zugänge, Systeme oder Fluchtwege werden untersucht – vielleicht hält sich der Angreifer ja in der Nähe versteckt. Bei der ersten Analyse geht es primär darum abzuklären, ob es tatsächlich ein gezielter Cyberangriff war oder allenfalls eine eher harmlose Attacke. Ein gelöschtes Logfile ist nicht immer von einem Angreifer, der seine Spuren verwischen wollte.

Cyber-Analysten – die Kommissare der Cyber Defence
Handelt es sich wirklich um eine Cyberattacke geht es darum, den Sicherheitsvorfall so schnell wie möglich zu analysieren und keine voreiligen Aktionen zu tätigen. Cyber-Analysten suchen nach Spuren, Indizien und digitalen Fingerabdrücken. Glücklicherweise machen auch professionelle Angreifer Fehler und hinterlassen Spuren. Diese Hinweise helfen den Cyber Defence-Spezialisten bei der «Festnahme» des Täters. Hierbei geht es nicht um Handschellen und Gefängniszellen – nein, vielmehr geht es darum, den Angreifer auf frischer Tat zu ertappen. Deshalb werden an den richtigen Stellen in der Nähe des potentiellen Angriffsziels Sensoren platziert, die umgehend Alarm schlagen, sobald der Angreifer wieder aktiv wird. Allenfalls kommen auch Honey-Tokens als Fallen zum Einsatz, um das vermeintliche Ziel des Angriffs vorzutäuschen. Beim Incident Response geht es aber nicht nur darum, den Angreifer aus dem Netzwerk zu verbannen. Am Ende des Tages müssen die betroffenen Systeme bereinigt und der ordentliche Betrieb wiederhergestellt werden. Zudem müssen die gewonnenen Erkenntnisse aus dem Sicherheitsvorfall zwingend in die Umsetzung neuer Massnahmen einfliessen, um so die eigenen Abwehrkräfte zu stärken.

Cyberattacken finden täglich statt – auch auf Schweizer Unternehmen
Der Tatort «Cyber Crime» ist alltägliche Realität, weshalb Unternehmen immer vor Cyberattacken auf der Hut sein müssen. Umso wichtiger ist es, den Fokus nicht nur auf den Schutz und die Abwehr zu legen, sondern insbesondere auf die Detektion und die rasche Reaktion auf sicherheitsrelevante Ereignisse. Man darf sich nicht nur auf (immer) höhere IT-Sicherheitsmauern verlassen, denn Angreifer werden immer einen Weg ins Netzwerk finden. Da Attacken rund um die Uhr erfolgen, muss ein Unternehmen an sieben Tagen der Woche – während 24 Stunden – Cyber Security gewährleisten können.

Da sich die Risikosituation stetig ändert, ist Cyber Security auch keine einmalige Angelegenheit. Es gilt, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern – eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. Daher empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.


InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel +41 41 749 19 00
info@infoguard.ch
www.infoguard.ch

Dem Hacker auf der Spur

Admin Leave a comment
Bei Cyber Defense reden alle von Incident Detection und Response. Doch was beinhaltet dies und welche Schritte führen dorthin? Unser Hackerszenario zeigt, was es braucht, um einen Angriff zu erkennen.

In den letzten Jahren haben Cyberkriminelle ihre Geschäftsfelder ausgebaut. Ihre Angriffe sind häufiger erfolgreich und verursachen grössere Schäden. Gleichzeitig nimmt die Komplexität der IT zu, auch weil immer mehr Partner involviert sind und Zugriff auf Unternehmens-Netzwerke erhalten. Da Angriffe immer wahrscheinlicher werden, reichen präventive Massnahmen allein in der Cyber Security nicht mehr aus. Angriffe müssen detektiert werden und Reaktionen möglich sein, um kostspielige Schäden zu minimieren.

Ein realistisches Angriffsszenario
Wie wird dies schrittweise umgesetzt und was sind dabei die Herausforderungen? Stellen Sie sich folgendes Angriffsszenario vor: Der Mitarbeiter Pirmin erhält ein E-Mail und klickt unbedacht auf die Word-Datei im Anhang. Der Absender ist schliesslich bekannt, von daher wird keine Gefahr erkannt. Unbemerkt startet im Hintergrund ein bösartiges Makro, das mit noch unbekannter Signatur durch alle Schleusen kam, und infiziert zuerst seinen PC, dann weitere Systeme der Infrastruktur. Infolge dessen stürzen zwei Server der Firma ab.

Logs: Transparenz schaffen und Spuren aufzeichnen
Zentrales Log Management ist ein wichtiger Bestandteil in der Cyber Security. Es ermöglicht, effizient nach Informationen zu suchen und Vorgänge in der IT-Infrastruktur nachzuvollziehen. Wie hilft ein Log Management konkret? In den Logs finden sich Spuren, die ein Angriff hinterlässt: Die E-Mail-Logs offenbaren das bösartige E-Mail mit Attachment, Prozess-Logs der Workstation zeigen die Ausführung eines Makros und Firewall-Logs zeigen eine Verbindung zwischen Pirmins Workstation und den abgestürzten Servern. Das Log Management muss eine gewisse Maturität aufweisen und folgende Herausforderungen meistern:

  • Integration vieler Logquellen
  • Erkennung von versiegten Logquellen
  • Normalisierung von Logs
  • Verwendung Suchanfragen
  • Entwicklung von kundenspezifischen Berichten und Alarmen

SOC: Systeme überwachen und Analyse durchführen
Logs sammeln alleine hilft nicht, um Angriffe analysieren zu können. Idealerweise versetzt man sich in die Lage des Angreifers, um zu verstehen, welche Eintrittstüren er benutzt, welche Schwachstellen er ausnutzt und welche Ziele er nach seinem erfolgreichen Zugriff verfolgt. Diese Spurensuche, sowie die permanente Überwachung der IT-Systeme sollte von einem Security Operations Center durchgeführt werden. Durch die Aufzeichnung der Logs können alle Verbindungen zu den Servern auch rückwirkend vom SOC untersucht und zur Erfüllung der Compliance Richtlinien gespeichert werden. Bei unserem geschilderten Angriffsszenario bemerkt das SOC die abgestürzten Server und leitet eine Untersuchung ein. Diese führt dazu, dass die Workstation von Pirmin als interner Ursprung einer Attacke identifiziert wird. Man hat den Hackerangriff erkannt.

Wie können aber Angriffe identifiziert werden, die keine so offensichtlichen Spuren hinterlassen?

SIEM: Angriff detektieren und Analyse beschleunigen
Verfügt ein Unternehmen neben Log Management und SOC auch noch über ein SIEM (Security Information and Event Management), so bietet dies einen wertvollen Mehrwert. Use Cases (Definition eines Angriffs) sorgen dann dafür, dass verschiedene Logeinträge korrelieren, um Angriffsszenarien automatisch zu detektieren. Hätte die Firma ein SIEM, so würde die Konstellation, dass ein Powershell-Prozess durch ein Makro aufgerufen wird, eine Detektion und damit einen Alarm auslösen. Dadurch würde das SOC automatisch bereits beim Beginn des Angriffs informiert und hätte Kenntnis vom Vorfall, noch bevor die zwei Server abstürzen. Man hätte wertvolle Zeit gewonnen, um den Schaden zu minimieren.

Incident Response: Prozesse für das Handling
Achtung, die (Security-)Reise ist hier noch nicht zu Ende, nur weil man ein Log Management, ein SOC und ein SIEM im Einsatz hat. Diese Mittel helfen, Angriffe zu erkennen und eine erste Triage vorzunehmen. Handelt es sich um einen kritischen Vorfall, sollte ein Incident ausgelöst werden, der einem klar definierten Prozess mit den Phasen Bestätigung, Analyse, Eindämmung, Wiederherstellung und Post-Incident-Analyse folgt. In unserem Beispiel hat eine Analyse ergeben, dass von Pirmins Workstation aus bösartige Software heruntergeladen wurde. Dadurch wird der Incident bestätigt und als Malware-Angriff klassiert. Dies führt dazu, dass eine entsprechende Handlungsroutine gemäss vordefiniertem Playbook ausgelöst wird. Im Playbook vom SOC ist genau beschrieben, welche Aufgaben in welcher Reihenfolge durchgeführt werden müssen.

Cyber Security umfasst mehrere Bestandteile
Um der Bedrohungslage gerecht zu werden, muss Cyber Security mit Incident Detection und Response ergänzt werden, damit Angriffe erkannt und proaktiv Massnahmen ergriffen werden können. Zentrales Log Management, ein SOC, ein SIEM sowie ein klar definierter Incident-Prozess sind die wesentlichen Bestandteile. Der Aufbau und der Betrieb sollten langfristig und etappenweise geplant werden. Ein SOC- oder SIEM-Workshop hilft Unternehmen, die richtige Lösung zu designen und die Umsetzung zu planen und durchzuführen. Je nach Unternehmensgrösse ist es sinnvoll über einen externen Bezug des Security-Fachwissens oder einzelner Dienstleistungen nachzudenken.


terreActive AG
Kasinostrasse 30
5001 Aarau
Tel 062 834 00 55
info@terreActive.ch
www.security.ch