Dem Hacker auf der Spur

Bei Cyber Defense reden alle von Incident Detection und Response. Doch was beinhaltet dies und welche Schritte führen dorthin? Unser Hackerszenario zeigt, was es braucht, um einen Angriff zu erkennen.

In den letzten Jahren haben Cyberkriminelle ihre Geschäftsfelder ausgebaut. Ihre Angriffe sind häufiger erfolgreich und verursachen grössere Schäden. Gleichzeitig nimmt die Komplexität der IT zu, auch weil immer mehr Partner involviert sind und Zugriff auf Unternehmens-Netzwerke erhalten. Da Angriffe immer wahrscheinlicher werden, reichen präventive Massnahmen allein in der Cyber Security nicht mehr aus. Angriffe müssen detektiert werden und Reaktionen möglich sein, um kostspielige Schäden zu minimieren.

Ein realistisches Angriffsszenario
Wie wird dies schrittweise umgesetzt und was sind dabei die Herausforderungen? Stellen Sie sich folgendes Angriffsszenario vor: Der Mitarbeiter Pirmin erhält ein E-Mail und klickt unbedacht auf die Word-Datei im Anhang. Der Absender ist schliesslich bekannt, von daher wird keine Gefahr erkannt. Unbemerkt startet im Hintergrund ein bösartiges Makro, das mit noch unbekannter Signatur durch alle Schleusen kam, und infiziert zuerst seinen PC, dann weitere Systeme der Infrastruktur. Infolge dessen stürzen zwei Server der Firma ab.

Logs: Transparenz schaffen und Spuren aufzeichnen
Zentrales Log Management ist ein wichtiger Bestandteil in der Cyber Security. Es ermöglicht, effizient nach Informationen zu suchen und Vorgänge in der IT-Infrastruktur nachzuvollziehen. Wie hilft ein Log Management konkret? In den Logs finden sich Spuren, die ein Angriff hinterlässt: Die E-Mail-Logs offenbaren das bösartige E-Mail mit Attachment, Prozess-Logs der Workstation zeigen die Ausführung eines Makros und Firewall-Logs zeigen eine Verbindung zwischen Pirmins Workstation und den abgestürzten Servern. Das Log Management muss eine gewisse Maturität aufweisen und folgende Herausforderungen meistern:

  • Integration vieler Logquellen
  • Erkennung von versiegten Logquellen
  • Normalisierung von Logs
  • Verwendung Suchanfragen
  • Entwicklung von kundenspezifischen Berichten und Alarmen

SOC: Systeme überwachen und Analyse durchführen
Logs sammeln alleine hilft nicht, um Angriffe analysieren zu können. Idealerweise versetzt man sich in die Lage des Angreifers, um zu verstehen, welche Eintrittstüren er benutzt, welche Schwachstellen er ausnutzt und welche Ziele er nach seinem erfolgreichen Zugriff verfolgt. Diese Spurensuche, sowie die permanente Überwachung der IT-Systeme sollte von einem Security Operations Center durchgeführt werden. Durch die Aufzeichnung der Logs können alle Verbindungen zu den Servern auch rückwirkend vom SOC untersucht und zur Erfüllung der Compliance Richtlinien gespeichert werden. Bei unserem geschilderten Angriffsszenario bemerkt das SOC die abgestürzten Server und leitet eine Untersuchung ein. Diese führt dazu, dass die Workstation von Pirmin als interner Ursprung einer Attacke identifiziert wird. Man hat den Hackerangriff erkannt.

Wie können aber Angriffe identifiziert werden, die keine so offensichtlichen Spuren hinterlassen?

SIEM: Angriff detektieren und Analyse beschleunigen
Verfügt ein Unternehmen neben Log Management und SOC auch noch über ein SIEM (Security Information and Event Management), so bietet dies einen wertvollen Mehrwert. Use Cases (Definition eines Angriffs) sorgen dann dafür, dass verschiedene Logeinträge korrelieren, um Angriffsszenarien automatisch zu detektieren. Hätte die Firma ein SIEM, so würde die Konstellation, dass ein Powershell-Prozess durch ein Makro aufgerufen wird, eine Detektion und damit einen Alarm auslösen. Dadurch würde das SOC automatisch bereits beim Beginn des Angriffs informiert und hätte Kenntnis vom Vorfall, noch bevor die zwei Server abstürzen. Man hätte wertvolle Zeit gewonnen, um den Schaden zu minimieren.

Incident Response: Prozesse für das Handling
Achtung, die (Security-)Reise ist hier noch nicht zu Ende, nur weil man ein Log Management, ein SOC und ein SIEM im Einsatz hat. Diese Mittel helfen, Angriffe zu erkennen und eine erste Triage vorzunehmen. Handelt es sich um einen kritischen Vorfall, sollte ein Incident ausgelöst werden, der einem klar definierten Prozess mit den Phasen Bestätigung, Analyse, Eindämmung, Wiederherstellung und Post-Incident-Analyse folgt. In unserem Beispiel hat eine Analyse ergeben, dass von Pirmins Workstation aus bösartige Software heruntergeladen wurde. Dadurch wird der Incident bestätigt und als Malware-Angriff klassiert. Dies führt dazu, dass eine entsprechende Handlungsroutine gemäss vordefiniertem Playbook ausgelöst wird. Im Playbook vom SOC ist genau beschrieben, welche Aufgaben in welcher Reihenfolge durchgeführt werden müssen.

Cyber Security umfasst mehrere Bestandteile
Um der Bedrohungslage gerecht zu werden, muss Cyber Security mit Incident Detection und Response ergänzt werden, damit Angriffe erkannt und proaktiv Massnahmen ergriffen werden können. Zentrales Log Management, ein SOC, ein SIEM sowie ein klar definierter Incident-Prozess sind die wesentlichen Bestandteile. Der Aufbau und der Betrieb sollten langfristig und etappenweise geplant werden. Ein SOC- oder SIEM-Workshop hilft Unternehmen, die richtige Lösung zu designen und die Umsetzung zu planen und durchzuführen. Je nach Unternehmensgrösse ist es sinnvoll über einen externen Bezug des Security-Fachwissens oder einzelner Dienstleistungen nachzudenken.


terreActive AG
Kasinostrasse 30
5001 Aarau
Tel 062 834 00 55
info@terreActive.ch
www.security.ch