Hacker_auf_der_Spur

Dem Hacker auf der Spur

Dem Hacker auf der Spur
Bei Cyber Defense reden alle von Incident Detection und Incident Response. Doch was beinhaltet dies und welche Schritte führen dorthin? Unser Hackerszenario zeigt, was es braucht, um einen Angriff zu erkennen.

In den letzten Jahren haben Cyberkriminelle ihre Geschäftsfelder ausgebaut und professionalisiert. Ihre Angriffe sind häufiger erfolgreich und verursachen grössere Schäden. Gleichzeitig nimmt die Komplexität der IT zu, auch weil immer mehr Partner involviert sind und Zugriff auf Unternehmens-Netzwerke erhalten. Vor diesem Hintergrund hat sich die Cyber Security weiterentwickelt. Da Angriffe immer wahrscheinlicher werden, reichen präventive Massnahmen allein nicht mehr aus. Angriffe müssen detektiert werden und Reaktionen möglich sein, um kostspielige Schäden zu minimieren.

Ein realistisches Angriffsszenario

Wie wird dies schrittweise umgesetzt und was sind dabei die Herausforderungen? Stellen Sie sich folgendes Angriffsszenario vor: Pirmin, ein Mitarbeiter der fiktiven Firma Demo Kraftwerke AG, erhält ein E-Mail von einem Strombezüger und will es noch schnell vor Feierabend beantworten. Unbedacht klickt er auf die Word-Datei im Anhang. Der Absender ist Pirmin schliesslich bekannt, von daher wird keine Gefahr erkannt. Unbemerkt startet im Hintergrund ein bösartiges Makro, das mit noch unbekannter Signatur durch alle Schleusen kam, und infiziert zuerst seinen PC, dann weitere Systeme der Infrastruktur. Infolge dessen stürzen zwei Server der Demo Kraftwerke AG ab.

Angriffsscenario

Logs: Transparenz schaffen & Spuren aufzeichnen

Zentrales Log Management ist ein wichtiger Bestandteil in der Cyber Security. Es ermöglicht, effizient nach Informationen zu suchen und Vorgänge in der IT-Infrastruktur nachzuvollziehen. Wie hilft ein Log Management konkret? In den Logs finden sich Spuren,die ein Angriff hinterlässt: Die E-Mail-Logs offenbaren das bösartige E-Mail mit Attachment, Prozess-Logs der Workstation zeigen die Ausführung eines Makros und Firewall-Logs zeigen eine Verbindung zwischen Pirmins Workstation und den abgestürzten Servern. Das Log Management muss eine gewisse Maturität aufweisen und folgende Herausforderungen meistern:

  • Integration möglichst vieler Logquellen
  • Automatische Erkennung von versiegten Logquellen
  • Normalisierung von Logs (vers. Formate konsolidieren, strukturieren)
  • Verwendung von gespeicherten und geteilten Suchanfragen
  • Entwicklung von kundenspezifischen Berichten und Alarmen.

SOC: Systeme überwachen & Analyse durchführen

Logs sammeln alleine hilft nicht, um Angriffe analysieren zu können. Idealerweise versetzt man sich in die Lage des Angreifers, um zu verstehen, welche Eintrittstüren er benutzt, welche Schwachstellen er ausnutzt und welche Ziele er nach seinem erfolgreichen Zugriff verfolgt. Diese Spurensuche, sowie die permanente Überwachung der IT-Systeme sollte von einem SOC (Security Operations Center)durchgeführt werden. Durch die Aufzeichnung der relevanten Logs können alle Verbindungen zu den Servern auch rückwirkend vom SOC-Team untersucht und zur Erfüllung der Compliance Richtlinien gespeichert werden. Bei unserem vorher geschilderten Angriffsszenario bemerkt das SOC-Team die abgestürzten Server und leitet eine Untersuchung ein. Diese führt dazu, dass die Workstation von Pirmin als interner Ursprung einer Attacke identifiziert wird. Man hat den Hackerangriff erkannt.

Wie können aber Angriffe identifiziert werden, die keine so offensichtlichen Spuren hinterlassen?

SIEM: Angriff detektieren & Analyse beschleunigen

Verfügt ein Unternehmen neben Log Management und SOC auch noch über ein SIEM-System (Security Information and Event Management), so bietet dies einen wertvollen Mehrwert. Sogenannte Use Cases (Definition eines Angriffs) sorgen dann dafür, dass verschiedene Logeinträge korrelieren, also in Zusammenhang und Abhängigkeit gebracht werden, um Angriffsszenarien automatisch zu detektieren. Hätte die Demo Kraftwerk AG ein SIEM, so würde die Konstellation, dass ein Powershell-Prozess durch ein Makro aufgerufen wird, eine Detektion und damit einen Alarm auslösen. Dadurch würde das SOC automatisch bereits beim Beginn des Angriffs informiert und hätte Kenntnis vom Vorfall, noch bevor die zwei Server abstürzen. Man hätte wertvolle Zeit gewonnen, um den Schaden zu minimieren.

Ein SIEM bietet standardisierte Use Cases für verschiedene Anwendungen out-of-the-box an und kann von einem Security Engineer für kundenspezifische Anforderungen mit weiteren Use Cases ergänzt werden. Achtet man darauf, dass Use Cases für verschiedene Phasen eines Angriffs (der Cyber Kill Chain) vorhanden sind, steigt die Wahrscheinlichkeit, ihn zu entdecken. Für eine automatische Priorisierung der Alarme wird das SIEM an das Inventar-System angebunden und sowohl Geräte als auch Benutzer werden anhand ihres Risikoprofils klassifiziert. Auch das beste SIEM wird bei der Inbetriebnahme Fehlalarme produzieren, weshalb es in der Einführungsphase auf die Situation im Unternehmen abgestimmt werden muss. Im laufenden Betrieb werden vom SOC kontinuierlich Anpassungen der Use Cases vorgenommen, um die Detektion zu optimieren.

Incident Response: Prozesse für das Handling

Achtung, die (Security-)Reise ist hier noch nicht zu Ende, nur weil man ein Log Management, ein SOC und ein SIEM im Einsatz hat. Diese Mittel helfen, Angriffe zu erkennen und eine erste Triage vorzunehmen. Handelt es sich um einen kritischen Vorfall, sollte ein Incident ausgelöst werden, der einem klar definierten Prozess mit den Phasen Bestätigung, Analyse, Eindämmung, Wiederherstellung und Post-Incident-Analyse folgt. Der Prozess beinhaltet verschiedene Eskalationsstufen und adressiert auch Aspekte wie die interne und externe Kommunikation. Der Incident-Response-Prozess, wie auch die Behandlung eines Vorfalls, sind komplex und Entscheidungen müssen teils unter hohem Zeitdruck gefällt werden. In unserem Beispiel hat eine Analyse ergeben, dass von Pirmins Workstation aus bösartige Software heruntergeladen wurde. Dadurch wird der Incident bestätigt und als Malware-Angriff klassiert. Dies führt dazu, dass eine entsprechende Handlungsroutine  gemäss vordefiniertem Playbook ausgelöst wird. Im Playbook, einem wichtigen Arbeitstool im SOC, ist genau beschrieben, welche Aufgaben in welcher Reihenfolge durchgeführt werden müssen. Dies kann beispielsweise die Sperrung von Benutzern, Konfigurationsänderungen von Firewalls, die Isolierung von Servern oder die Information der Geschäftsleitung beinhalten.

Cyber Security umfasst mehrere Bestandteile

Um der Bedrohungslage gerecht zu werden, muss Cyber Security mit Incident Detection und Incident Responseergänzt werden, damit Angriffe erkannt und proaktiv Massnahmen ergriffen werden können. Zentrales Log Management, ein SOC, ein SIEM sowie ein klar definierter Incident-Prozess sind die wesentlichen Bestandteile. Der Aufbau und der Betrieb sollten langfristig und etappenweise geplant werden. Ein SOC- oder SIEM-Workshophilft Unternehmen, die richtige Lösung zu designen und die Umsetzung zu planen und durchzuführen. Je nach Unternehmensgrösse ist es sinnvoll über einen externen Bezug des Security-Fachwissens oder einzelner Dienstleistungen nachzudenken.

   

 

Was Sie auch noch interessieren könnte
Automatisieren Sie Ihr Security Operations Center: SOAR
Entlasten Sie Security-Experten indem Sie Routinearbeiten im SOC automatisieren und so gleichzeitig die Reaktionszeit erhöhen.
terreActive bietet SOAR-as-a-Service an und arbeitet dabei mit der Lösung von Demisto.