Wie sehen mögliche technische Schritte bei einem Inzident aus?
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag.
Unter den Grossunternehmen gibt es im Hinblick auf Cybersecurity zwei Typen: Diejenigen, die bereits gehackt wurden und darauf aktiv reagieren und die anderen, die noch nicht wissen, dass sie bereits gehackt wurden. Wie sollen wir auf einen Security-Inzident reagieren? Einfach den Netzwerkstecker ziehen, ist nicht immer die richtige Vorgehensweise.
Reaktionsplan
Auch wenn es eine unbequeme Wahrheit ist, aber Cybersecurity-Vorfälle gehören zum normalen IT-Betrieb. Um angemessen reagieren zu können, müssen für solche Krisenfälle die Zuständigkeiten und Handlungsabläufe in Form eines Inzident-Response-Plans (IRP) definiert sein.
In einem ersten Schritt wird dazu ein internes Meldesystem zur Erfassung und Behandlung von IT-Sicherheitsvorfällen aufgebaut. Als nächstes werden Governance-Regeln, Back-up- und Wiederherstellungsmassnahmen für den Fall eines Angriffs ausgearbeitet, der so schwerwiegend ist, dass die Datenbestände nicht nur entwendet, sondern auch vollständig gelöscht werden. Abschliessend werden Rückschlüsse aus dem Vorfall gezogen und vorbeugende Massnahmen festgehalten.
Forensik und Isolation
Die Inzident-Response erfolgt in mehreren Schritten. Bei einem konkreten Verdacht beobachtet das Response-Team zunächst die Vorgänge im Netzwerk und auf der infizierten Maschine, sichert Log-Dateien und führt entsprechende Analysen durch. Anschliessend werden geeignete Massnahmen zur Schadensbegrenzung und -behebung eingeleitet. Je nach System lassen sich unterschiedliche Vorgehensweisen zur Isolation und Behebung des Inzident unterscheiden. Entweder die Behebung während des Betriebes oder das infizierte System umgehend vom Netz trennen, abschalten und neu aufsetzen.
Die erste Vorgehensweise ist sicherlich die schwierigere und wird nur dann angewendet, wenn das System einen Service erbringt, der nicht eingeschränkt werden darf und es kein Stand-by-System zum Ausweichen gibt. Nehmen wir als Beispiel eine Cloudplattform, die gehackt wurde, um Bit-Coins zu errechnen. In diesem Fall geht es den Hackern darum, möglichst unbemerkt Rechenleistung abzuziehen. Natürlich möchten die Hacker unerkannt bleiben. Deshalb können wir davon ausgehen, dass ein Mechanismus eingespielt wurde, der für den Fall, dass der Hack erkannt wurde, möglichst alle Spuren verwischt. Oftmals wird dazu das gesamte System verschlüsselt. Die gängigen Methoden wie Netzwerkisolation und -deaktivierung könnten die Hacker dazu bewegen, das System ausser Betrieb zu setzen. Damit wäre auch unser Service ausser Betrieb, was wir vermeiden möchten.
Eine mögliche Vorgehensweise ist die Beobachtung des Systems mit Endpunkt-Analyse-Tools, um herauszufinden, wie der Angriffsvektor gelagert ist. Bei der Identifikation des Vektors helfen Log-Daten, anhand derer Zugriffe auf Kommunikationskanäle und das Dateisystem erkannt werden können. Auch die Metadaten, z.B. welche Nutzeraccounts welche Dateien erzeugt haben, können Hinweise im infizierten System liefern. Nicht zuletzt möchte der Angreifer Daten an die Aussenwelt übermitteln. Dies lässt sich über die Beobachtung der Systemkommunikation im Netzwerk erkennen.
Es sollte möglichst früh entschieden werden, ob eine forensische Untersuchung durchgeführt werden soll. Sicherungen von Zwischenspeicher und Festplatten sollten dann durch fachkundige Mitarbeitende oder Dienstleister durchgeführt werden. Natürlich werden die Sicherungen vor weiteren Reparaturversuchen unternommen. Ist ein System als infiziert erkannt worden, sollten die regulären Backups in einen besonderen Bereich kopiert werden und auf keinen Fall die alten Backups überschrieben werden. Backups von gehackten Systemen sind nicht mehr vertrauenswürdig und deshalb nur noch bedingt brauchbar.
Clearing oder Deaktivierung
In unserem Beispiel der Cloud-Applikation sollten die Maschinen einzeln betrachtet und individuell wiederhergestellt werden. Um zu vermeiden, dass wiederhergestellte Maschinen erneut befallen werden, ist es wichtig herauszufinden, wie die Schadsoftware auf das System gelangt ist. Neben der Erstellung IT-forensischer Images, sind typische Massnahmen die Entfernung von Backdoors und das Einspielen von Security Patches.
Bevor mit der Datenwiederherstellung begonnen wird, ist eine Neuinstallation des infizierten Systems erforderlich. Das verwendete Betriebssystem sollte von einem vertrauenswürdigen Datenträger stammen. Auf Betriebssystemebene wird in der Regel ein vollständiges Re-Imaging aller betroffenen Maschinen durchgeführt, bevor die gesäuberten Maschinen kontrolliert wieder produktiv geschaltet werden. Unter bestimmten Voraussetzungen ist auch via Backup eine teilweise oder komplette Wiederherstellung der Daten möglich. Das gilt natürlich nur für den Fall, dass der Angriffsvektor keine Backup-Dateien im Fokus hat.
Fazit
Wie können wir vermeiden, dass so etwas erneut geschieht? Welche vorbeugenden Massnahmen können für die Zukunft festgehalten werden? In vielen Fällen besteht die Aufarbeitung eines Sicherheitsinzidents darin, ein System Hardening durchzuführen. Typischerweise beinhaltet das auch eine regelmässige Aktualisierung aller Systeme auf ihre aktuellen Patch-Level sowie die Schließung von bekannten Backdoors.
Irgendwie haben die Hacker Zugriff auf das System bekommen. Wie sicher sind unsere Accounts, Passwörter und die generelle Konfiguration? Was macht uns sicher, dass die Hacker kein Password Harvesting betrieben haben? Nichts, deshalb sollten alle kritischen Accounts und in jedem Fall alle Admin Accounts neue Passwörter bekommen.
Autor: Beitrag aus dem CAS Cyber-Security und Information Risk Management
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)