Compromise Assessment

Angriffe aufspüren bevor großer Schaden entsteht

Compromise Assessment für ein besseres Security-Maturity-Level

Traditionelle Maßnahmen können mit sinnvollen Features ergänzt werden: Compromise Assessment zum Beispiel ist speziell darauf ausgelegt, Spuren von Angriffen zu finden, die sogenannten IOCs – Indicators of Compromise. Durch die Analyse und Bewertung dieser Indikatoren können zum einen kompromittierte Systeme erkannt werden und zum anderen die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden. In Form einer Remediationsphase werden die Ursachen behoben und der gewünschte Soll-Zustand hergestellt, um laufende Angriffe zu beenden und künftige zu verhindern.

Compromise Assessment ist dabei keine präventive Disziplin in der IT-Security, sondern eine bewertende. Sie betrachtet nicht nur einen Teil, sondern die gesamte Infrastruktur und ermöglicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz präventiver Maßnahmen oftmals erfolgreich sind, schnell zu erkennen und etwaigen Schaden zu minimieren. Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel stark erhöht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel 2-3 Monate dauert, bis ein Angriff überhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit, sein eigentliches Ziel zu erreichen. Der mögliche Schaden, der dabei entsteht, wird mit jedem Tag, an welchem der Angreifer unentdeckt bleibt, größer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.

Anzeige

Mit forensischen Methoden den Angreifern auf der Spur

Compromise Assessment nutzt forensische Methoden und Tools, um Spuren von Angriffen zu finden: Es kommt in der Regel ein Agent auf dem Endsystem zum Einsatz, der einen Scan startet, überwacht und die Ergebnisse an ein zentrales System übermittelt. Auf dem Endsystem wird mit forensischer Gründlichkeit gezielt nach Angriffsspuren (IOCs – Indicators of Compromise) gesucht: Betrachtet werden zum Beispiel flüchtige und nicht-flüchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgeführt oder heruntergeladen wurde. Die Indikatoren eines Angriffs beruhen dabei auf  forensischen Artefakten, welche ein Angreifer zwangsläufig hinterlässt.

Allein in Windows gibt es rund 200 dieser Artefakte, Hinterlassenschaften von Angreifern wie Tools in typischen Verzeichnissen oder Konfigurationsschlüssel. Es kann sich auch um ungewöhnliche Netzwerkverbindungen zu verdächtigen Servern, IP-Adressen und Ports handeln oder um Logdateien, die während des Betriebes erzeugt werden, also Interaktionen, Anmeldungen und Prozessstarts. Sie alle werden für die Auswertung herangezogen.

Das Scannen nach Angriffsspuren (IOCs – Indicators of Compromise)  und die Analyse können auch auf wiederkehrender Basis erfolgen. Dies hat den Vorteil, dass nicht nur eine Momentaufnahme entsteht, sondern fortlaufend nach neuen unbekannten Angriffsspuren gesucht wird und ein Angreifer im Idealfall innerhalb kurzer Zeit sehr zuverlässig entdeckt wird. Hierfür steht beispielweise der Service „Continuous Compromise Assessment“ zur Verfügung. Hierbei wird ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage beim Kunden zu erhalten. Dies ist meist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden müssen. Außerdem benötigen entsprechende Tools hierfür mehrere Tage. Im Anschluss daran finden regelmäßig weitere Scans und Auswertungen statt, bei welchen nur noch die Änderungen an den für einen Angreifer verräterischen Artefakten analysiert werden müssen. Dies ist bedeutend einfacher und geht somit auch bedeutend schneller.

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Fazit

Compromise Assessment stellt ein wertvolles Instrument dar, das die Tools der IT-Security sinnvoll erweitern und ihr Maturity-Level erhöhen kann: Mit Compromise Assessment können die Spuren von Cyber Angriffen entdeckt und im Idealfall hoher Schaden verhindert werden.

Autoren: Christoph Lemke, Security Consultant SECUINFRA und Ramon Weil, Gründer und Geschäftsführer SECUINFRA

www.secuinfra.com/de
 

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.