{"id":36375,"date":"2023-01-24T12:24:25","date_gmt":"2023-01-24T11:24:25","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=36375"},"modified":"2023-11-08T17:07:40","modified_gmt":"2023-11-08T16:07:40","slug":"cyberangriff-erfolgreich-welche-3-teildisziplinen-der-it-security-jetzt-gebraucht-werden","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-erfolgreich-welche-3-teildisziplinen-der-it-security-jetzt-gebraucht-werden\/","title":{"rendered":"Cyberangriff erfolgreich \u2013 Welche 3 Teildisziplinen der IT Security jetzt gebraucht werden!"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-erfolgreich-welche-3-teildisziplinen-der-it-security-jetzt-gebraucht-werden\/#Incident_Response_Eine_gute_Vorbereitung_ist_ueberlebenswichtig\" >Incident Response: Eine gute Vorbereitung ist \u00fcberlebenswichtig!<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-erfolgreich-welche-3-teildisziplinen-der-it-security-jetzt-gebraucht-werden\/#Compromise_Assessment_Spuren_von_Angreifern_aufdecken_und_das_Ausmass_des_Angriffs_bewerten\" >Compromise Assessment: Spuren von Angreifern aufdecken und das Ausma\u00df des Angriffs bewerten<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-erfolgreich-welche-3-teildisziplinen-der-it-security-jetzt-gebraucht-werden\/#Digital_Forensics_Tathergang_rekonstruieren_aus_eigenen_Fehlern_lernen_und_Cyber_Resilienz_erhoehen\" >Digital Forensics: Tathergang rekonstruieren, aus eigenen Fehlern lernen und Cyber Resilienz erh\u00f6hen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-erfolgreich-welche-3-teildisziplinen-der-it-security-jetzt-gebraucht-werden\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<p><strong>Im Falle eines erfolgreichen Cyberangriffs ben\u00f6tigen Sie das optimale Zusammenspiel dreier Teildisziplinen der IT Security: <\/strong><strong>Incident Response, Compromise Assessment sowie Digital Forensics. <\/strong><strong>Was diese drei Ans\u00e4tze leisten und wie aufeinander aufbauen, erfahren Sie in diesem Beitrag. <\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Incident_Response_Eine_gute_Vorbereitung_ist_ueberlebenswichtig\"><\/span>Incident Response: Eine gute Vorbereitung ist \u00fcberlebenswichtig!<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Als einer der Grundpfeiler der Cybersecurity hat Incident Response das Ziel, eine zeitnahe und angemessene Reaktion auf IT-Sicherheitsvorf\u00e4lle zu gew\u00e4hrleisten, um so vor dem Verlust sensibler Daten und existenzbedrohender Reputationssch\u00e4den gesch\u00fctzt zu sein. Incident Response ist kein Tool, sondern stellt die optimale Entgegnung eines Unternehmens auf einen stattgefundenen IT-Sicherheitsvorfall sicher &#8211; anhand vordefinierter Aktionen und Handlungsanweisungen. Als wesentlicher Grundpfeiler der Cybersecurity deckt Incident Response den gesamten Zyklus der Vorfallsuntersuchung und -behebung ab und widmet sich initial beispielsweise den Fragen, welche Schritte als n\u00e4chstes unternommen werden m\u00fcssen und ob Systeme isoliert, Backups wiederhergestellt oder das System neu installiert werden muss.<\/p>\n<p>Wird schnell und richtig reagiert, kann dies die Sch\u00e4den einer Attacke eind\u00e4mmen. Die Incident Management als Teil der Incident Response steuert zudem alle Beteiligten des betroffenen Unternehmens und des <strong><a href=\"https:\/\/testing.secuinfra.com\/services\/\">IT-Dienstleisters<\/a>.\u00a0<\/strong><\/p>\n<p><strong>Um eine nachhaltige Incident Response zu gew\u00e4hrleisten, empfehlen die SECUINFRA Cyber Defense Experten die Einhaltung eines 6-Stufen-Plans:<\/strong><\/p>\n<ol>\n<li><strong>Preparation<\/strong>: Diese Phase umfasst alle n\u00f6tigen Schritte, die durchgef\u00fchrt werden sollten, um die Arbeit an einem Incident m\u00f6glichst effizient zu gestalten. Mit zielgerichteten Workshops werden Mitarbeitende und Entscheidungstr\u00e4ger eines Unternehmens optimal auf m\u00f6gliche IT-Sicherheitsvorf\u00e4lle vorbereitet.<\/li>\n<li><strong>Identification<\/strong>: Angriffsspuren (Indicators of Compromise, IOCs) m\u00f6glichst schnell und umfassend zu identifizieren, ist Kernpunkt der zweiten Phase. An diesem Punkt kommt idealerweise ein <strong>Compromise Assessment<\/strong> zum Einsatz, auf das im nachfolgenden Abschnitt noch n\u00e4her eingegangen wird.<\/li>\n<li><strong>Containment<\/strong>: Erkannte Angreifer werden umgehend isoliert, damit der Schaden im m\u00f6glichst klein gehalten wird. Es sind hier mehrere Schritte erforderlich, um den Vorfall vollst\u00e4ndig einzud\u00e4mmen und gleichzeitig die Zerst\u00f6rung von Beweisen zu verhindern, die f\u00fcr die Strafverfolgung ben\u00f6tigt werden k\u00f6nnten.<\/li>\n<li><strong>Eradication<\/strong>: Ziel der Eradication ist es, Malware oder andere Artefakte, die durch die Angriffe eingef\u00fchrt wurden, koordiniert und zielgenau aus dem Unternehmen zu entfernen und alle betroffenen Assets vollst\u00e4ndig wiederherzustellen. Gleichzeitig wird das Risiko f\u00fcr eine R\u00fcckkehr des Angreifers gesenkt.<\/li>\n<li><strong>Recovery<\/strong>: Ziel der Wiederherstellung ist es, alle Systeme wieder voll funktionsf\u00e4hig zu machen, nachdem sichergestellt wurde, dass sie sauber sind und die Bedrohung beseitigt wurde. Nur so kann nach einem IT-Sicherheitsvorfall der Gesch\u00e4ftsbetrieb zeitnahund ohne Beeintr\u00e4chtigung weiterlaufen.<\/li>\n<li><strong>Lessons learned<\/strong>: Mit der schnellstm\u00f6glichen Aufbereitung des Tathergangs und den erfolgten Reaktionen darauf werden Incident Response Prozesse optimiert und die Cyber Resilienz des Unternehmens erh\u00f6ht.<\/li>\n<\/ol>\n<h2><span class=\"ez-toc-section\" id=\"Compromise_Assessment_Spuren_von_Angreifern_aufdecken_und_das_Ausmass_des_Angriffs_bewerten\"><\/span>Compromise Assessment: Spuren von Angreifern aufdecken und das Ausma\u00df des Angriffs bewerten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nachdem das Incident Response Team in der <strong>Identification Phase<\/strong> grundlegende Informationen zum IT-Sicherheitsvorfall gesammelt hat, geht es im zweiten Schritt darum, alle betroffenen Systeme ausfindig zu machen und das genaue Ausma\u00df des Cyberangriffs zu bestimmen. An dieser Stelle kommt das <a href=\"https:\/\/testing.secuinfra.com\/services\/compromise-assessment\/\"><strong>Compromise Assessment<\/strong> <\/a>zum Einsatz. Ziel des Compromise Assessment ist es, m\u00f6glichst schnell und effizient ein umfassendes Bild \u00fcber das Ausma\u00df der Kompromittierung des Unternehmens zu erlangen. Somit bildet das Compromise Assessment die Grundlage aller folgenden Incident Response Ma\u00dfnahmen und stellt sicher, dass alle kompromittierten Systeme identifiziert werden. Diese werden anschlie\u00dfend w\u00e4hrend der <strong>Containment Phase<\/strong> von nicht-kompromittierten Systemen getrennt.<\/p>\n<p>Dies bedeutet, dass Systeme gescannt und bewertet werden m\u00fcssen und der verwendete Scanner bei identifizierten, potenziell kritischen Ereignissen nicht eingreift, um aktiv dagegen vorzugehen.<\/p>\n<p>Hierbei werden diverse Quellen (Dateien, die Windows Registry, SHIMCache, Amcache, laufende Prozesse, Eventlogs, etc.) auf einem System herangezogen und gegen eine Datenbank von IOCs (Indicators of Compromise) gepr\u00fcft. Bei Treffern erzeugt der verwendete Scanner ein entsprechendes Event und der Analyst muss dieses bewerten und entscheiden, ob Handlungsbedarf besteht oder nicht.<\/p>\n<p><strong>Die so ausfindig gemachten Angriffsspuren (IOCs) \u2013 die von Angreifern zwangsl\u00e4ufig hinterlassen werden \u2013 ergeben in Summe ein sehr detailliertes Bild \u00fcber das Ausma\u00df des Cyberangriffs.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Digital_Forensics_Tathergang_rekonstruieren_aus_eigenen_Fehlern_lernen_und_Cyber_Resilienz_erhoehen\"><\/span>Digital Forensics: Tathergang rekonstruieren, aus eigenen Fehlern lernen und Cyber Resilienz erh\u00f6hen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wurden kompromittierte Systeme identifiziert, startet die detaillierte Analyse mit Hilfe forensischer Tools und Techniken. Hierbei sollte beachtet werden, dass nicht jedes System detailliert analysiert werden muss, sondern nur die zur Aufkl\u00e4rung des Tathergangs relevanten. Ansonsten laufen die Kosten eines DFIR-Einsatzes sehr schnell aus dem Ruder und die Analyse zieht sich \u00fcber Monate hin.<\/p>\n<p>Da jeder Incident und jede Systemlandschaft anders sind, h\u00e4ngt die anzuwendende Methodik von dem Angriff und der Umgebung ab. So nutzt bspw. das <strong>SECUINFRA Falcon-Team<\/strong> eine Palette von etablierten Tools und Techniken der <a href=\"https:\/\/testing.secuinfra.com\/services\/digital-forensics\/\">digitalen Forensik<\/a>. Diese kann grob in drei Teile eingeteilt werden:<\/p>\n<ul>\n<li>Bei den <strong>Endpoint Forensics<\/strong> werden Ger\u00e4te wie Server, Workstations oder Laptops analysiert, um Angriffsspuren wie Malware, Data Exfiltration oder auff\u00e4lliges Nutzerverhalten zu entdecken.<\/li>\n<li><strong>Network Forensics<\/strong> beinhaltet die Identifikation und Analyse von Angriffsspuren auf Basis des Netzwerkverkehrs mit demselben Ziel wie bei der Endpoint Forensik.<\/li>\n<li>Unter die <strong>Malware Analysis <\/strong>f\u00e4llt schlie\u00dflich die Analyse potenzieller Schadsoftware, um deren Funktionsweise zu verstehen und R\u00fcckschl\u00fcsse auf den Ersteller der Malware und die Infrastruktur des Angreifers zu erlangen. Diese Punkte dienen zur Identifikation weiterer Indicators of Compromise (IoC\u2019s).<\/li>\n<\/ul>\n<p><strong>Ziel der Digitalen Forensik ist die detaillierte Analyse des Angriffs, um den genauen Tathergang rekonstruieren zu k\u00f6nnen.<\/strong><\/p>\n<p><strong>Hierf\u00fcr werden nach und nach folgende Fragen beantwortet:<\/strong><\/p>\n<ul>\n<li>Welche Kommunikationswege nutzte der Angreifer?<\/li>\n<li>Hat der Angreifer Persistenz erlangt, und wenn ja wo und wie?<\/li>\n<li>Wie konnte sich der Angreifer im Unternehmen ausbreiten?<\/li>\n<li>Welche lateral movement Techniken hat er genutzt?<\/li>\n<li>Welche Accounts sind kompromittiert?<\/li>\n<li>Welches System ist der Patient Zero?<\/li>\n<li>Wie kam es zur initialen Kompromittierung?<\/li>\n<\/ul>\n<p>F\u00fcr die Beantwortung dieser und anderer Fragen sammeln die Digital Forensics Experten in akribischer Kleinarbeit Spuren rund um den erfolgten Cyberangriff. Die zusammengetragenen Spuren dienen einerseits als Beweise in der Strafverfolgung und zur Durchsetzung von Schadensersatzanspr\u00fcchen gegen\u00fcber Versicherungen, andererseits lassen sich hieraus Fehler in der eigenen Sicherheitsarchitektur erkennen.<\/p>\n<p>Werden diese Fehler w\u00e4hrend der <strong>Lessons learned Phase<\/strong> ausgewertet und aus ihnen die richtigen Ma\u00dfnahmen abgeleitet, erh\u00f6ht sich als Folge die Cyber Resilienz des Unternehmens: Die Wahrscheinlichkeit, wieder Opfer eines Cyberangriffs zu werden, sinkt. Geschieht dies nicht, sollten Sie das Incident Response Team gleich im Hause behalten, denn der n\u00e4chste erfolgreiche Cyberangriff wird nicht lange auf sich warten lassen!<\/p>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span><strong>Fazit<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Cyberkriminelle greifen auf m\u00e4chtige, vorkonfigurierte und einfach zu bedienende Tools zur\u00fcck, sp\u00fcren zielsicher auch die kleinste Sicherheitsl\u00fccke auf oder infiltrieren Unternehmen direkt mittels Phishing. Der Fall der F\u00e4lle ist also leider nur eine Frage der Zeit. Umso wichtiger ist eine optimale Vorbereitung, um bei einem akuten Cyberangriff schnell, effizient und zielgerichtet alle notwendigen Schritte einleiten zu k\u00f6nnen \u2013 und schwere Sch\u00e4den vom Unternehmen abzuwenden. Nach einem erfolgreichen Cyberangriff m\u00fcssen die richtigen Reaktionsma\u00dfnahmen zeitnah ausgef\u00fchrt werden. <strong>Mit der Kombination aus Incident Response, Compromise Assessment und Digital Forensics l\u00e4sst sich das Ausma\u00df des IT-Sicherheitsvorfall schnell feststellen, der Schaden begrenzen und die Cyber Resilienz des Unternehmens im Nachgang steigern.<\/strong><\/p>\n<p>Sie m\u00f6chten f\u00fcr den Fall der F\u00e4lle bestens vorbereitet sein und ein Team ausgewiesener Cyber Defense Experten &#8211; auf Wunsch auch 24\/7 &#8211; an Ihrer Seite haben? <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">Kontaktieren Sie uns<\/a> \u2013 wir beraten Sie gerne!<\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Um monet\u00e4re und reputative Sch\u00e4den im Falle eines erfolgreichen IT-Sicherheitsangriffs so gering wie m\u00f6glich zu halten, sind sofortige und korrekte Reaktionsma\u00dfnahmen, der umfassende \u00dcberblick \u00fcber das Ausma\u00df des Cyberangriffes sowie die umfassende Aufkl\u00e4rung des Vorfalls unverzichtbar.<\/p>\n","protected":false},"author":10,"featured_media":36378,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[78,79,80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-36375","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compromise-assessment","category-digital-forensics","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/36375","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=36375"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/36375\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/36378"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=36375"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=36375"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=36375"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=36375"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}