Leichtathletikbahn

Ransomware - die neue Staffel. Folge 3: Optimierung nach der Analyse

Ransomware - die neue Staffel. Folge 3: Optimierung nach der Analyse
In den vorherigen Folgen haben wir das Vorgehen des Analysten bei einem Incident aufgezeigt. Nun werfen wir einen Blick darauf, wie der Analyst in die Situation eingreift und was nach dem Incident weiter geschieht. Denn ein SIEM und SOC müssen laufend verbessert werden.

Die Analyse ermöglichte es, die Erkennungsmerkmale für den Vorfall zu sammeln:

  • Die IP-Adressen und Domains, die am Datenaustausch involviert waren.
  • Den Eintrittspunkt der Malware.
  • Die Information, auf welchen Computern und Accounts die Malware aktiv war.

Innerhalb der Organisation kann der Analyst mit Hilfe dieser Erkenntnisse nun auf die Suche nach der Ausbreitung der Malware gehen:

  • Der initiale Befall: Zeigen sich die Merkmale des initialen Befalls auch auf anderen Computern oder im Zusammenhang mit anderen Benutzern? Falls ja, sollten auch diese als gefährdet eingestuft werden?
  • Die Ausbreitung innerhalb der Organisation (lateral movement): Haben infizierte Systeme über das Netzwerk mit anderen Systemen kommuniziert? Kritische Vorgänge wären beispielsweise, wenn von einem befallenen System aus Passwortwechsel, Mailversände, Softwareinstallationen oder die Nutzung anderer Benutzerkonten erkennbar sind.
  • Die Exfiltration von Daten: Haben infizierte Systeme von einem Dateiserver gelesen? Oder haben sie Uploads ins Internet unternommen?

Ein Managed SOC hat hier den Vorteil, dass sich beim Auftreten eines Incidents in mehreren Organisationen die Erkenntnisse aus den unterschiedlichen Analysen korrelieren lassen und durch die stärker aufgelösten Facetten ein besserer Handlungsplan formuliert werden kann.

Basierend auf diesen Erkenntnissen kann nun die Kontrolle über den Incident (Mitigation) und die Beseitigung des Befalls (Remediation) übernommen werden. Der Analyst muss dazu in der Regel weiteres Personal aufbieten: So ist meist die Unterstützung durch Systemadministratoren der Organisation notwendig.

Oft besteht der Eindruck, dass sich der Incident durch eine simple Neuinstallation eines Systems beheben lassen würde. Dies mag manchmal korrekt sein, grundsätzlich müssen jedoch vielschichtigere Überlegungen angestellt werden:

  • Kann der Eingriff in das befallene System zu Kollateralschäden führen?
  • Hat der Angreifer die Passwörter von Mitarbeiten erhalten und kann sie für einen weiteren Angriff verwenden?
  • Hat der Angreifer neben der Malware noch andere Spuren hinterlassen?
  • Kann die Manipulation von Daten rückgängig gemacht werden oder muss von einem Datenverlust ausgegangen werden?
  • Will man dem Angreifer eine Falle stellen, um die Spur zu ihm zurück zu verfolgen?
  • Müssen Beweise für ein Gerichtsverfahren gesammelt werden?
  • Besteht die Möglichkeit zu einer zeitlich versetzten Neuinfektion?
  • Sind entwendete Daten oder Passwörter bereits im Darknet auffindbar?

Wie man genau vorgeht, und in welcher Reihenfolge, hängt von sehr vielen Faktoren ab. Jede Aktion des Angreifers führt i.d.R. zu einer Reaktion in der Remediation und Mitigation des Vorfalls. Oft kann hier nicht nach einem pfannenfertigen Ablaufplan vorgegangen werden, weshalb die Erfahrung eines SOC-Analysten wertvolle Dienste leistet.

Security Monitoring Cycle

Mit der Remediation und Mitigation ist der Vorfall noch nicht vollständig abgeschlossen: Sicherheit ist ein laufender Prozess und Anpassungen sowie Verbesserungen sind wichtige Faktoren für die Zuverlässigkeit eines SOCs und SIEMs. Basierend auf den Erkenntnissen des Incidents müssen daher auch längerfristige Massnahmen definiert und die Erwartungen an das Security-Monitoring verfeinert werden.

Darum hat terreActive als Bestandteil der Cyber Defense Methodeden Security Monitoring Cycle entwickelt, der sich mit dem Review und konzeptionellen Anpassungen beschäftigt. Die Analysten der terreActive treffen sich dazu regelmässig mit den Kunden zum SOC-Meeting.

Was wäre wenn... Sie kein Security Monitoring hätten?

Stellen Sie sich als Gedankenexperiment vor, die im Beispiel gezeigten Daten (Endpoint, Registry, Netzwerk) wären nicht vorhanden gewesen. In so einem Fall ist der Analyst blind:

  • Ohne das Endpoint-Monitoring wäre nicht sichtbar geworden, welche Dateien und Makros ausgeführt wurden.
  • Es wäre kaum nachvollziehbar gewesen, dass die Infektion durch einen USB-Stick ausgelöst wurde. Auch wäre es nicht proaktiv möglich zu alarmieren, wenn derselbe Stick wieder in der Umgebung sichtbar wird.
  • Die von der Ransomware geöffneten Netzwerkverbindungen wären nicht sichtbar gewesen. Der Analyst kann nicht in Erfahrung bringen, welche Verbindungen ins Internet geöffnet wurden oder ob die Ransomware versucht hat, sich auf andere Systeme auszubreiten.

SOC-Workshops

Eine Grundlage für die Arbeit des Analysten ist die saubere Planung der Umgebung. Zu diesem Zweck eignen sich Workshops gemeinsam mit dem Kunden, um sicherzustellen, dass alle relevanten Logquellen integriert wurden und dass das SIEM das volle Potential ausspielen kann.

Natürlich ist nicht immer alles beim Start schon perfekt: Im Workshop kann durchaus auch definiert worden sein, dass man gewisse Quellen nicht aufnehmen will. Oder dass man im Workshop ein unvollständiges Bild der IT-Landschaft hatte. Darum sind die SOC-Meetings und Reviews mit dem Kunden wichtig: So kann man fortlaufend optimieren oder Fehler korrigieren, damit sie nicht erneut begangen werden.

Es ist auch denkbar, dass eine konzeptionelle Schwäche in der IT-Umgebung des Kunden Vorfälle begünstigt. In diesem Fall kann terreActive den Kunden nicht nur unterstützen das SIEM und die Prozesse zu optimieren, sondern auch die Infrastruktur grundsätzlich zu verbessern.

Neben den Analysten beteiligen sich auch Engineers und Consultants am Managed SOC-Service und der Behandlung von Incidents:

  • Incident-Reports des Managed SOC auswerten und Optimierungspotential erkennen
  • Risiken erkennen und Vorgehen zur Risikominimierung vorschlagen
  • Vertieftes Wissen über die Produkte unterschiedlicher Hersteller sowie Standards einbringen
  • Technische Beratung

Durch die enge Zusammenarbeit der drei Jobprofile - Analyst, Engineer und Consultant - fliessen neue Erkenntnisse, die sich aus der Incident-Analyse ergeben haben, schnell in den täglichen SOC-/SIEM-Betrieb ein und sorgen so für kontinuierliche Verbesserung der Unternehmenssicherheit.