Cyber Incident Response. Nur ohne das Rätselraten

Cyber Security betrachtet einen Ransomwarebefall und nutzt VISULOX zum Incident Response

Niemand möchte auf einen Cyber-Vorfall oder eine Datenschutzverletzung reagieren – Denn dies bedeutet unweigerlich, dass etwas Großes passiert ist. In welchem Ausmaß und mit welchem Folgen, lässt sich zum Zeitpunkt der Eintritts und der Identifikation meist nicht seriös beantworten. Natürlich hat die Verhinderung eines Cyber-Vorfalls mitunter höchste Priorität. Jedoch ist dies nicht immer möglich. Und dann heißt es, die Hand aufs Herz, die Ärmel hochkrempeln und so schnell wie möglich damit beginnen die Gefahr zu bannen, Lücken zu schließen, die Infrastruktur zu bereinigen, den Normalbetrieb wiederherzustellen und schließlich die Mauern für Später wieder ein Stückchen höher zu ziehen.

Ein Sicherheitsvorfall oder eine Datenschutzverletzung ist oft eine Hochdrucksituation und für viele Beteiligte, fernab des Alltags. Vorab geplante Maßnahmen zur Reaktion auf Sicherheitsvorfälle helfen Unternehmen bei einer sofortigen und organisierten Reaktion und verhindern im Idealfall unnötige betriebliche Auswirkungen und Reputationsschäden.

Wenn Sie Ihr Unternehmen vor böswilligen Angriffen schützen möchten, sollten Sie mehr über Behebungstechniken erfahren und darüber, wieso eine lückenlose Protokollierung und Transparenz aller privilegierten Tätigkeiten innerhalb der Infrastruktur elementar sind, für Ihr Cybersicherheitsteam.

In diesem Artikel erfahren wir mehr über die Wichtigkeit eines strukturiertes Vorgehen, zur Bewältigung von Cyber-Sicherheitsverletzungen und wieso ein vollumfängliche und belastbare Dokumentation nach einem Vorfall Gold wert ist.

Der Incident-Response-Plan

Planung ist die halbe Miete. Die Krux aber auch die Priorität bei der Behebung einer Sicherheitsverletzung besteht darin, im Voraus einen Cyber Incident-Response-Plan (dt. Plan zur Vorfallsbehebung) vorzubereiten. Denn die Schritte zur Identifizierung von Sicherheitsverletzungen oder Vorfällen, von der Bedrohungserkennung bis zur Suche nach dem technischen Einfallstor der letztendlichen Kompromittierung, sollten etabliert sein und in regelmäßigen geprobt werden. Ohne eine solche Vorbereitung , ist das Chaos vorprogrammiert.

Der Prozess kann und wird mit Sicherheit von Unternehmen zu Unternehmen und von Bedrohung zu Bedrohung variieren. Selten stimmen kompromittierte Konten und Systemen, laterale Bewegungsmuster und genutzte Angriffspfade mit den schon bekannten überein. Da man im Normalfall weder den Zeitpunkt der Attacke, noch das Ziel und den geplanten Weg dorthin kennt, bedarf den angesprochenen Übungen ein besonderes Augenmerk. Umso mehr Szenarien bekannt sind, desto leichter lassen sich verschiedene Blickwinkel kombinieren. All dies ist die organisatorische Grundlage zur Behebung von Cyber-Vorfällen und muss von der Unternehmensleitung in vollem Aufwand getragen werden.

Hier sind die Vorfallreaktions- oder Behebungsschritte, die per Standard für solch einen Plan erforderlich sind:

1. Preparation

Vorbereitung ist Alles. Mitunter der wichtigste Schritt ist die überlegte Vorbereitung auf den Ernstfall. Welche Schritte sind nötig einen Notfall einzuberufen. Wer spricht mit wem und wie wird nach innen und außen kommuniziert. An der Vorbereitung und Einleitung eines Respons-Plans lässt sich erkennen wie gut die Organisation den Vorall bewältigen wird. Konkret sollte eine robuste Incident-Response-Richtlinie, eine effektive Reaktionsstrategie und eine feste Ablauforganisation etabliert sein.

2. Identification

Ein Vorfall muss klar und deutlich als Cyber-Vorfall identifiziert und benannt werden. Im Ernstfall muss das festgelegte Einsatzteam feststellen, ob der Vorfall akut ist und, abhängig von verfügbaren Informationen aus verschiedenen Quellen, bspw. Intrusion Detection-Systemen, Firewall-Logs oder festgestellten Anomalien usw. ableiten, um welche Art von Bedrohung es sich handelt.

3. Containment

Der nächste Schritt bezieht sich auf die Eindämmung (engl. Containment) weiterer Folgeschäden durch das bewusste Isolieren von kompromittierten Netzwerk-Segmenten oder (falls erforderlich) das geordnete Herunterfahren von Produktionsservern. Um die Beweise zu erhalten und bspw. zu erkennen, wie Systeme infiltriert wurden, ist es wichtig, dass diese Schritte dokumentiert werden und es ein klares Bild der Situation vor dem Vorfall gibt.

Wer hat was wann wo getan?
Beantworten Sie es.

4. Eradication

Nachdem die ersten Feuer gelöscht sind, gilt es damit zu beginnen, die Bedrohung sinn- und sprichwörtlich „auszurotten“ (engl. to eradicate). Das Ziel des Einsatzteams liegt nun darin, die genutzten Einfallstore zu schließen, die Systeme auf weitere Schadsoftware zu prüfen und unter Beachtung des Erhalts aller Informationen und Assets, Sicherheitsupdates und Patches auszurollen. Alle Tätigkeiten dieser Phase, müssen dokumentiert werden.

5. Recovery

Datenwiederherstellung und Integrität bewahren durch ein sauberes Anlaufen lassen und testen der Systeme – das sind die Ziele der fünften Phase des Incident Response Plans. Das Einsatzteam sollte betroffene Netzwerke und Systeme weiterhin überwachen und Auffälligkeiten protokollieren, auch nachdem bestätigt wurde, dass ordnungsgemäß wiederhergestellt wurde.

6. Lessons learned

Das Einsatzteam sollte einen Bericht über den Vorfall verfassen, um Erkenntnisse darüber zu erhalten, was gut lief und worauf bei einer nächsten Übung zu achten ist. Ebenso dient ein solcher Bericht zur möglichen Beweislastumkehr im Versicherungsfall, dient Mitarbeitern als Schulungsmaterial um die Auswirkungen möglicher zukünftiger Vorfälle zu mindern oder als Grundlage für weitere Härtungsmaßnahmen.

Trotz eines Incident-Response-Plans hat der Bedrohungsakteur möglicherweise Zugriff auf sensible Anmeldeinformationen erlangt. Dies impliziert, dass keine Passwörter oder Schlüssel wiederverwertet werden sollten. Die Eskalation von privilegierten Benutzerkonten wurde höchstwahrscheinlich genutzt um sich boshaft lateral in der Infrastruktur zu bewegen. Die Verwaltung und vor allem der behutsame Umgang mit sensiblen Anmeldeinformationen ist ein grundlegender Aspekt von Privileged Access Management (PAM).

Augen auf bei privilegierten Benutzerkonten

Nachfolgend finden Sie Vorteile, die eine PAM-Lösung mit sich bringt und wie diese hilft, nach einem Cyber-Vorfall aufzuräumen und Sie wieder Herr der Lage zu werden.

  1. Im Moment, in dem der Cyber-Vorfall entdeckt wird, ist es Ihnen möglich alle privilegierten Konten automatisch zu deaktivieren und Benutzer aus der Infrastruktur zu entfernen. Im Verlauf ist es ausgeschlossen, dass privilegierte Benutzer Ihre Anmeldeinformationen wiederverwenden.
  2. Erhalten Sie jederzeit einen Überblick, wie viele administrative Konten überhaupt in Ihrer Infrastruktur, wozu, genutzt werden. Beseitigen oder kontrollieren Sie ggf. unnötige privilegierte Benutzerkonten.
  3. Kontrollieren und de-anonymisieren Sie Funktions- und Service-Accounts.
  4. Suchen Sie gezielt nach verdächtigen Benutzeraktivitäten in bestimmten Zeiträumen oder an bestimmten Orten in historischen Daten.
  5. Erhalten Sie zu jedem Zeitpunkt eine nahtlose Dokumentation und Rückverfolgung von administrativen Tätigkeiten durch interne und externe administrative Mitarbeiter durch Aufzeichnungen von Sitzungen

Eine zentrale Lösung zur Kontrolle und Dokumentation für den Ernstfall.

VISULOX Privileged Access Management  ist die zentrale Zugriffskomponente zwischen dem Benutzer und seinen Tasks. So kann dokumentiert werden, wer wann auf welche Anwendung Zugriff hat und wer diese wann autorisiert hat. Über VISULOX Privileged Access Management  erfolgt auch die Präsentation einer Anwendung und wird ebenfalls dokumentiert. So haben Sie die Kontrolle und den Überblick über alle Aktivitäten im System. Und das alles ohne Änderungen am Client oder Server, im laufenden Betrieb.

VISULOX-privileged-access-management

Steuern Sie zentral alle Zugriffe privilegierter Nutzer auf interne IT- und
OT-Systeme

Harmonisieren Sie heterogene Zugriffsanforderungen entsprechend der organisatorischen Vorgaben

Verlassen Sie sich jederzeit und überall auf revisionssichere Aufzeichnungen über jede Aktivität innerhalb IT und OT

VISULOX wird seit 2003 von der amitego in Deutschland entwickelt und ist weltweit bei kleinen- bis mittelständischen, hin zu DAX30 Unternehmen, branchenübergreifend im Einsatz.

Wir haben noch mehr Themen über die wir gerne schreiben.

Cookie Consent with Real Cookie Banner