Angriffsforensik, das Post Mortem von Cyberattacken

Blinde Flecken in der digitalen Verteidigung werden von den Cyberkriminellen dankend ausgenutzt. EPP- und EDR-Lösungen können IT- und Sicherheitsteams helfen diese Sicherheitslücken zu identifizieren.

Illustration: Geralt Absmeier

Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern, Bedrohungen schneller zu erkennen und in komplexen Infrastrukturen effektiver darauf zu reagieren. Um genutzte Sicherheitslücken und blinde Flecken im System zu erkennen, müssen sich Securityteams der Angriffsforensik bedienen, um genau herauszufinden, wie es zu Sicherheitsvorfällen kommen konnte. Sie ist ein Element zur Verbesserung der Endpoint Detection and Response (EDR). Weiß man dank der Angriffsforensik genau, wo die Sicherheitslücken sind und wie sie von Kriminellen ausgenutzt wurden, können Unternehmen Business Continuity besser gewährleisten, Malware schneller erkennen und Sicherheitslücken zukünftig schließen.

 

Transparenz ist die Voraussetzung effektiver Angriffsforensik
Die wichtigste Voraussetzung effizient Angriffsforensik zu betreiben ist Transparenz. Hierfür müssen alle Informationen über das erfasst werden, was vor, während und nach einem Angriff geschah. Dies ist tatsächlich nicht einmal nur die Kür für den besseren Schutz der Infrastrukturen. Neue Gesetze und Rechtsvorschriften, wie die DSGVO, machen dies bereits heute zur Pflicht und verlangen von Unternehmen eine gründliche Berichterstattung über alle Datenschutzverletzungen. Dies stellt Unternehmen allerdings vor Probleme: Denn traditionelle Endgerätesicherheit konzentriert sich vornehmlich auf die Identifizierung und Blockierung von Malware und anderen Bedrohungen. Das bedeutet, dass sie wegen mangelnder Transparenz schlecht gerüstet ist, um Sicherheitsvorfälle zu verfolgen, die nicht direkt mit Malware in Verbindung gebracht wurden.

Vollständige Transparenz über eine Datenschutzverletzung geht somit weit über die einfache Identifizierung von Malware oder dafür genutzter Tools hinaus. Transparenz bedeutet, dass IT- und Sicherheitsteams auf eine vollständige Zeitleiste mit Ereignissen zugreifen können, die vor einer Gefährdung auftraten. Inklusive solchen, die von herkömmlichen Endgerätesicherheitstools normalerweise nicht als bösartig eingestuft werden. Beispielsweise liefern Lösungen für Endgerätesicherheit im Allgemeinen nur dann Berichte, wenn Bedrohungen erkannt wurden. Sie können aber nicht in der Zeit zurückgehen, um Details darüber zu liefern, wie die Angreifer den Endpunkt mit ihrer Malware erreicht haben. Um diese Details zu liefern, können EDR-Lösungen sehr wertvoll sein. Sie geben Sicherheitswarnungen aus, die auf eine Sicherheitsverletzung hinweisen könnten, wie z. B. Benutzer, die sich außerhalb der Geschäftszeiten an Endpunkten anmelden, verdächtige Remote-Desktop-Sitzungen, die Verwendung verlorener oder gestohlener Authentifizierungsdaten oder Benutzer, die auf ihnen eigentlich verwehrte Informationen und Daten zugreifen wollen.

 

Best Practices für den Einsatz von Angriffsforensik
Die Angriffsforensik auf Endpunkte sollte einen gut durchdachten Plan von Richtlinien und Verfahren enthalten, der es den Sicherheitsingenieuren ermöglicht, den Wert forensischer Untersuchungsdaten zu maximieren. Effektive Sicherheitsteams verfügen über Verfahren, um Endpunkte für die Beweisaufnahme vorzubereiten, das richtige Personal zu autorisieren und zu steuern, wo die Beweise gespeichert und dokumentiert werden sollen. Die Bewertung der Beweise ist ebenfalls von entscheidender Bedeutung, da die Ermittler verstehen müssen, welche Daten für ihre Untersuchung relevant sind, von welchen Systemen und Plattformen sie abgeleitet wurden und wie sie die relevanten Daten aufbewahren können. Sicherheitsingenieure müssen auch die Quelle und Integrität der Beweise feststellen, bevor sie sie tatsächlich in der Untersuchung verwenden. Das bedeutet, dass alles, von Informationen über offene Ports, LAN- oder WAN-Netzwerkverkehr bis hin zu laufenden Prozessen, als potenzieller Beweis in einer Untersuchung angesehen werden kann. Dies unterstreicht die zwingende Notwendigkeit, dass Sicherheitsingenieure ein klares Bild von den potenziellen Anzeichen eines Datenverstoßes haben müssen. Ist die Beweisaufnahme als erster Schritt der forensischen Untersuche erst einmal geglückt, ist die richtige Analyse und Untersuchung der Informationen der nächste Schritt. Daten, die mit Datum und Uhrzeit versehen sind, sowie Dateien, die manipuliert oder verschlüsselt wurden, können helfen, sich ein genaueres Bild vom Angriff zu machen.

Effektive Teams verfügen über Werkzeuge, die die Analyse komplett automatisch erledigen und eine Warnung auszusprechen, wenn Anzeichen für eine mögliche Sicherheitsverletzung auftreten. Diese Automatisierungstools können Sicherheitstechnikern helfen, alle wichtigen Erkenntnisse eines Puzzles zusammenzufügen – und somit quasi ein post mortem, eine Obduktion, durchzuführen. So kann der Ausgangspunkt des Angriffs offenbart werden und es bietet sich ein größeres Bild des Angriffsmusters und der tatsächlichen Absicht des Angreifers. So können Sicherheitsteams beispielsweise nachvollziehen, auf welche Bereiche sich die Kriminelle konzentrieren, mit welchen Techniken sie Privilegien erhöhen, mit welchen Werkzeugen sie sich seitlich über die Infrastruktur bewegen und wie sie ihre Spuren verwischen.

 

Vermeidung häufiger Fallstricke der Angriffsforensik
Um effektiv Angriffsforensik innerhalb einer Sicherheitsstrategie zu ermöglichen, müssen Sicherheitsteams EDR-Funktionen der nächsten Generation in ihrem Plan berücksichtigen. Nur so bekommen sie die notwendige Transparenz, um die detaillierte Angriffskette sichtbar zu machen. Eines der häufigsten Probleme für Sicherheitsteams ist in der Regel, dass sie nicht über die für die Angriffsforensik notwendigen Werkzeuge verfügen. Normale Sicherheitslösungen sind beispielsweise lediglich dafür geeignet, Malware und fortgeschrittene Bedrohungen zu stoppen. Sie sind jedoch nicht in der Lage, verdächtige Benutzeraktivitäten zu erkennen. Aber einfach ein zusätzliches EDR-Tool einzusetzen ist auch nicht immer der ideale Weg. Denn wenn unterschiedliche Lösungen für Security und EDR verwendet werden, führt dies direkt zu einem erhöhten Overhead bei der Verwaltung mehrerer Konsolen und zu einer längeren Analysezeit, da die Sicherheitstechniker die Daten aus beiden manuell korrelieren müssen. Da die Zeit bei forensischen Untersuchungen jedoch von entscheidender Bedeutung ist, ist es besonders vorteilhaft, eine integrierte Sicherheitsplattform zu haben, die sowohl Endpoint-Sicherheit als auch EDR unter einem Dach vereint.

 

Integrierte Sicherheitsplattformen ermöglichen effiziente Angriffsforensik
Forensische Beweise, die von einer integrierten Endpoint Protection Platform (EPP) und einer EDR-Lösung bereitgestellt werden, können IT- und Sicherheitsteams helfen, blinde Flecken zu identifizieren. Alles, von Authentifizierungsdaten, die nicht entsorgt wurden, nachdem ein Mitarbeiter das Unternehmen verlassen hat, über nicht gepatchte Endpoint-Anwendungen bis hin zu internetfähigen Diensten, können von einer EDR-Lösung leicht aufgedeckt werden. EDR-Lösungen der nächsten Generation gehen noch einen Schritt weiter. Sie integrieren maschinelle Lernalgorithmen, die Warnmeldungen durchführen können, so dass sich überlastete und unterbesetzte IT- und Sicherheitsteams auf potenzielle Sicherheitsvorfälle mit einer hohen Wahrscheinlichkeit eines Datenverlusts konzentrieren können. Durch die enge Integration zwischen EPP und EDR können Unternehmen ein vollständiges Bild und einen Zeitplan der Ereignisse erhalten und sowohl die Business Continuity gewähren als auch finanzieller oder Reputationsschäden minimieren.

Liviu Arsene, Leitender Bedrohungsanalyst, Bitdefender

 

51 Artikel zu „Forensik“

Europäische Unternehmen beim Thema IT-Sicherheit unter globalem Durchschnitt

Eine aktuelle Studie zeigt, dass europäische Unternehmen deutlichen Nachholbedarf beim Schutz vor Cyberbedrohungen haben: Mit einem Reifegrad der IT-Sicherheit von 1,42 von fünf Punkten lagen sie 2018 unter dem generell niedrigen Wert von 1,45 im globalen Durchschnitt. Die Unterschiede besonders zwischen den Branchen sind groß, Vorreiter ist der Technologiesektor, während die Finanzindustrie hinterherhinkt. Safety first?…

Wie sicher ist das Home Office? Warum mobiles Arbeiten anfällig für Cyberkriminalität ist

Ortsunabhängiges Arbeiten liegt im Trend. Ob von zu Hause aus oder auf Reisen – mobile Geräte ermöglichen Arbeitnehmern eine noch nie dagewesene Flexibilität. Eine Studie von Avast Business, in welcher Arbeitnehmer von kleinen und mittleren Unternehmen (KMU) in Deutschland befragt wurden, hat ergeben, dass 41 Prozent der Befragten am produktivsten sind, wenn sie von zu…

Cyberkriminalität: Angreifer nehmen Führungskräfte ins Visier, warnt der Data Breach Investigations Report 2019

Das C-Level-Management wird zielgerichtet und proaktiv von Social-Engineering-Angriffen erfasst. Diese Entwicklung steht im Zusammenhang mit einem Anstieg von wirtschaftlich motivierten Social-Engineering-Angriffen. Die Kompromittierung von webbasierten E-Mail-Konten nimmt zu, in 98 Prozent der Fälle durch gestohlene Anmeldeinformationen. In 60 Prozent der Attacken, bei denen eine Webanwendung angegriffen wurde, handelte es sich um webbasierte E-Mail-Konten. Ein Viertel…

Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«

»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…

Wie die Analyse des Netzwerk-Traffics bei der Bekämpfung fortschrittlicher Bedrohungen hilft

Moderne Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware die Wahl für Cyberkriminelle die schnellen Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten heute jedoch viel mehr Advanced Persistent Threats (APTs). Denn diese bleiben im schlimmsten Fall jahrelang unentdeckt und ermöglichen Cyberkriminellen über lange Zeit hinweg umfangreiche Datenmengen zu stehlen und…

Gebündeltes Expertenwissen für ganzheitliche IT-Sicherheit

Allgeier CORE betritt mit umfassendem Leistungsspektrum den Informationssicherheits- und IT-Markt.   Die secion GmbH, die consectra GmbH und die Allgeier ONE AG haben sich zur Allgeier CORE GmbH zusammengeschlossen. Seit Ende Dezember gehört zum neu gegründeten Unternehmen auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie umfassendem Know-how im…

Mangelnder Überblick und Kontrolle verringern die IT-Sicherheit in Unternehmen

90 Prozent der befragten deutschen CIOs and CISOs führten kritische Sicherheitsupdates aus Sorge vor möglichen Auswirkungen nicht durch. Weltweit halten sich CIOs und CISOs bei der Umsetzung relevanter Maßnahmen zurück, obwohl diese für die Widerstandsfähigkeit gegenüber Störungen und Cybergefahren entscheidend wären. 90 Prozent der befragten CIOs and CISOs in Deutschland führten ein wichtiges Sicherheitsupdate oder…

Weitere Artikel zu