Angriffsforensik, das Post Mortem von Cyberattacken

Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern, Bedrohungen schneller zu erkennen und in komplexen Infrastrukturen effektiver darauf zu reagieren. 

Um genutzte Sicherheitslücken und blinde Flecken im System zu erkennen, müssen sich Securityteams der Angriffsforensik bedienen, um genau herauszufinden, wie es zu Sicherheitsvorfällen kommen konnte. Sie ist ein Element zur Verbesserung der Endpoint Detection and Response (EDR). Weiß man dank der Angriffsforensik genau, wo die Sicherheitslücken sind und wie sie von Kriminellen ausgenutzt wurden, können Unternehmen Business Continuity besser gewährleisten, Malware schneller erkennen und Sicherheitslücken zukünftig schließen.

Anzeige

Transparenz ist die Voraussetzung effektiver Angriffsforensik

Die wichtigste Voraussetzung effizient Angriffsforensik zu betreiben ist Transparenz. Hierfür müssen alle Informationen über das erfasst werden, was vor, während und nach einem Angriff geschah. Dies ist tatsächlich nicht einmal nur die Kür für den besseren Schutz der Infrastrukturen. Neue Gesetze und Rechtsvorschriften, wie die DSGVO, machen dies bereits heute zur Pflicht und verlangen von Unternehmen eine gründliche Berichterstattung über alle Datenschutzverletzungen. Dies stellt Unternehmen allerdings vor Probleme: Denn traditionelle Endgerätesicherheit konzentriert sich vornehmlich auf die Identifizierung und Blockierung von Malware und anderen Bedrohungen. Das bedeutet, dass sie wegen mangelnder Transparenz schlecht gerüstet ist, um Sicherheitsvorfälle zu verfolgen, die nicht direkt mit Malware in Verbindung gebracht wurden.

Vollständige Transparenz über eine Datenschutzverletzung geht somit weit über die einfache Identifizierung von Malware oder dafür genutzter Tools hinaus. Transparenz bedeutet, dass IT- und Sicherheitsteams auf eine vollständige Zeitleiste mit Ereignissen zugreifen können, die vor einer Gefährdung auftraten. Inklusive solchen, die von herkömmlichen Endgerätesicherheitstools normalerweise nicht als bösartig eingestuft werden. Beispielsweise liefern Lösungen für Endgerätesicherheit im Allgemeinen nur dann Berichte, wenn Bedrohungen erkannt wurden. Sie können aber nicht in der Zeit zurückgehen, um Details darüber zu liefern, wie die Angreifer den Endpunkt mit ihrer Malware erreicht haben. Um diese Details zu liefern, können EDR-Lösungen sehr wertvoll sein. Sie geben Sicherheitswarnungen aus, die auf eine Sicherheitsverletzung hinweisen könnten, wie z. B. Benutzer, die sich außerhalb der Geschäftszeiten an Endpunkten anmelden, verdächtige Remote-Desktop-Sitzungen, die Verwendung verlorener oder gestohlener Authentifizierungsdaten oder Benutzer, die auf ihnen eigentlich verwehrte Informationen und Daten zugreifen wollen.

Best Practices für den Einsatz von Angriffsforensik

Die Angriffsforensik auf Endpunkte sollte einen gut durchdachten Plan von Richtlinien und Verfahren enthalten, der es den Sicherheitsingenieuren ermöglicht, den Wert forensischer Untersuchungsdaten zu maximieren. Effektive Sicherheitsteams verfügen über Verfahren, um Endpunkte für die Beweisaufnahme vorzubereiten, das richtige Personal zu autorisieren und zu steuern, wo die Beweise gespeichert und dokumentiert werden sollen. Die Bewertung der Beweise ist ebenfalls von entscheidender Bedeutung, da die Ermittler verstehen müssen, welche Daten für ihre Untersuchung relevant sind, von welchen Systemen und Plattformen sie abgeleitet wurden und wie sie die relevanten Daten aufbewahren können. Sicherheitsingenieure müssen auch die Quelle und Integrität der Beweise feststellen, bevor sie sie tatsächlich in der Untersuchung verwenden. Das bedeutet, dass alles, von Informationen über offene Ports, LAN- oder WAN-Netzwerkverkehr bis hin zu laufenden Prozessen, als potenzieller Beweis in einer Untersuchung angesehen werden kann. Dies unterstreicht die zwingende Notwendigkeit, dass Sicherheitsingenieure ein klares Bild von den potenziellen Anzeichen eines Datenverstoßes haben müssen. Ist die Beweisaufnahme als erster Schritt der forensischen Untersuche erst einmal geglückt, ist die richtige Analyse und Untersuchung der Informationen der nächste Schritt. Daten, die mit Datum und Uhrzeit versehen sind, sowie Dateien, die manipuliert oder verschlüsselt wurden, können helfen, sich ein genaueres Bild vom Angriff zu machen.

Effektive Teams verfügen über Werkzeuge, die die Analyse komplett automatisch erledigen und eine Warnung auszusprechen, wenn Anzeichen für eine mögliche Sicherheitsverletzung auftreten. Diese Automatisierungstools können Sicherheitstechnikern helfen, alle wichtigen Erkenntnisse eines Puzzles zusammenzufügen – und somit quasi ein post mortem, eine Obduktion, durchzuführen. So kann der Ausgangspunkt des Angriffs offenbart werden und es bietet sich ein größeres Bild des Angriffsmusters und der tatsächlichen Absicht des Angreifers. So können Sicherheitsteams beispielsweise nachvollziehen, auf welche Bereiche sich die Kriminelle konzentrieren, mit welchen Techniken sie Privilegien erhöhen, mit welchen Werkzeugen sie sich seitlich über die Infrastruktur bewegen und wie sie ihre Spuren verwischen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vermeidung häufiger Fallstricke der Angriffsforensik

Um effektiv Angriffsforensik innerhalb einer Sicherheitsstrategie zu ermöglichen, müssen Sicherheitsteams EDR-Funktionen der nächsten Generation in ihrem Plan berücksichtigen. Nur so bekommen sie die notwendige Transparenz, um die detaillierte Angriffskette sichtbar zu machen. Eines der häufigsten Probleme für Sicherheitsteams ist in der Regel, dass sie nicht über die für die Angriffsforensik notwendigen Werkzeuge verfügen. Normale Sicherheitslösungen sind beispielsweise lediglich dafür geeignet, Malware und fortgeschrittene Bedrohungen zu stoppen. Sie sind jedoch nicht in der Lage, verdächtige Benutzeraktivitäten zu erkennen. Aber einfach ein zusätzliches EDR-Tool einzusetzen ist auch nicht immer der ideale Weg. Denn wenn unterschiedliche Lösungen für Security und EDR verwendet werden, führt dies direkt zu einem erhöhten Overhead bei der Verwaltung mehrerer Konsolen und zu einer längeren Analysezeit, da die Sicherheitstechniker die Daten aus beiden manuell korrelieren müssen. Da die Zeit bei forensischen Untersuchungen jedoch von entscheidender Bedeutung ist, ist es besonders vorteilhaft, eine integrierte Sicherheitsplattform zu haben, die sowohl Endpoint-Sicherheit als auch EDR unter einem Dach vereint.

Integrierte Sicherheitsplattformen ermöglichen effiziente Angriffsforensik

Forensische Beweise, die von einer integrierten Endpoint Protection Platform (EPP) und einer EDR-Lösung bereitgestellt werden, können IT- und Sicherheitsteams helfen, blinde Flecken zu identifizieren. Alles, von Authentifizierungsdaten, die nicht entsorgt wurden, nachdem ein Mitarbeiter das Unternehmen verlassen hat, über nicht gepatchte Endpoint-Anwendungen bis hin zu internetfähigen Diensten, können von einer EDR-Lösung leicht aufgedeckt werden. EDR-Lösungen der nächsten Generation gehen noch einen Schritt weiter. Sie integrieren maschinelle Lernalgorithmen, die Warnmeldungen durchführen können, so dass sich überlastete und unterbesetzte IT- und Sicherheitsteams auf potenzielle Sicherheitsvorfälle mit einer hohen Wahrscheinlichkeit eines Datenverlusts konzentrieren können. Durch die enge Integration zwischen EPP und EDR können Unternehmen ein vollständiges Bild und einen Zeitplan der Ereignisse erhalten und sowohl die Business Continuity gewähren als auch finanzieller oder Reputationsschäden minimieren. 

Liviu ArseneLiviu Arsene, Leitender Bedrohungsanalyst, Bitdefender

www.bitdefender.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.