Erfahren Sie mehr über den Prozess der umfassenden Untersuchung von Verstößen.
Entdecken Sie Surface CommandBei der DFIR werden digitale forensische Beweise erfasst, verdächtige Aktivitäten aufgespürt und die Endpunkte kontinuierlich auf Ereignisse überwacht. Ein wenig mehr ins Detail gehend definiert der Sicherheitsexperte Scott J. Roberts die DFIR als „ein multidisziplinäres Gebiet, das sich auf die Identifizierung, Untersuchung und Beseitigung von Computer-Netzwerk-Exploits konzentriert“.
Auf Prozessebene umfasst ein Incident Response- und Untersuchungsplan mit umfangreichen forensischen wie die Untersuchung, das Analyse-Management, die Bedrohungserkennung, die Kommunikation und die Dokumentation von Ergebnissen.
Die anschließenden Gegenmaßnahmen und Nachbereitung umfassen in der Regel die Entfernung der Remote-Zugriffsmöglichkeiten von Angreifern, die Wiederherstellung priorisierter Geschäftsprozesse und Systeme und die Sicherung kompromittierter Benutzerkonten, um so zur Normalität zurückzufinden.
Im Detail weisen diese Prozesse die folgenden Schlüsselkomponenten eines DFIR-Frameworks auf:
Innerhalb des übergeordneten Frameworks für Cybersecurity-Verfahren ermöglicht DFIR detaillierte Einblicke in die Ursachen eines Verstoßes und die konkreten Gegenmaßnahmen, die zur Behebung dieses Incidents ergriffen werden. Sehen wir uns nun die einzelnen Komponenten einer ganzheitlichen DFIR-Strategie etwas genauer an:
Die Erkennung kompromittierter Benutzer, die von einem Verstoß betroffen sind, ist der erste Schritt, um sich Klarheit über den Vorfall zu verschaffen und eine zeitnahe Abwehr zu erarbeiten. So können Angreifer aus dem Netzwerk entfernt, der Verstoß eingedämmt und behoben und alle verbleibenden ausnutzbaren Schwachstellen beseitigt werden. Danach kann eine sorgfältig ausgearbeitete Untersuchung erfolgen, die das sich entwickelnde Angreiferverhalten identifizieren und in Zukunft genauer erkennen kann.
Die Untersuchung eines bestimmten Verstoßes wird niemals so aussehen wie die Untersuchung, die ihr vorausging. Deshalb muss eine Bedrohung situativ angegangen werden, unabhängig davon, ob die Bedrohung unmittelbar bevorsteht oder bereits stattgefunden hat. Wenn ein Sicherheitsteam eine Untersuchung einleitet, führt es möglicherweise eine Datenanalyse der betroffenen Assets durch und sammelt Artefakte des Browserverlaufs, Event-Logs, Dateien aus Verzeichnissen und Registry-Hives.
Der wichtigste Schritt bei der Erfassung von Bedrohungsinformationen ist, dass die Daten auf jede einzelne Funktion in einer Sicherheitsorganisation zugeschnitten werden. Nach der Umsetzung in die Praxis wird der Informationszyklus Ergebnisse erfassen, analysieren und an die relevanten Stakeholder im Unternehmen kommunizieren. Dies setzt eine hohe Konzentration auf automatisierte Analysen voraus, die Daten schnell durchsuchen und relevante Einblicke aufzeigen können.
Bei der Analyse potenzieller Malware in einem Netzwerk reicht ein Sicherheitsteam eine verdächtige Stichprobe ein, lässt sie durch verschiedene Analyseprogramme laufen und klassifiziert die Bedrohung dann auf Basis eines Scorings. Damit lässt sich die Situation besser priorisieren. Bedarf es sofortiger Maßnahmen oder kann noch gewartet werden? In dieser Analysephase können Teams mit Hilfe von Reverse-Engineering herausfinden, wie sie am besten das eigentliche Ziel der Malware ermitteln und diese unschädlich machen können.
Sobald ein Verstoß vollständig erfasst und die betroffenen Assets, Anwendungen und Benutzer feststehen und eine Weiterverbreitung verhindert wurde, startet das Security Operations Center (SOC) einen im Voraus festgelegten Plan, um die normalen betrieblichen Prozesse wiederherzustellen. Eine Dokumentation ist für die Notfallplanung von entscheidender Bedeutung, damit die Teams die verschiedenen Komponenten des Backup-Systems nachvollziehen können. Ein automatisiertes Offline-Backup kann die Wiederherstellung nach einem Malware-Angriff weiter unterstützen.
Die digitale Forensik wird in den Prozess der Incident Response eingebettet. Jeder Sicherheitsexperte weiß, dass es nicht ausreicht, einfach nur auf Vorfälle zu reagieren und das Problem zu beheben. Vielmehr müssen die Ursachen genau geklärt werden, damit die Systeme für diesen Angriffspfad kalibriert werden können und beim nächsten Mal, wenn dieses Verhalten auftritt, entsprechende Warnmeldungen ausgeben.
Auf die Frage, was digitale Forensik ist, sollten wir uns eher auf die (oben kurz erwähnte) systemübergreifende Forensik konzentrieren. Also die Fähigkeit, kritische Systeme und Asset-Typen im gesamten Netzwerk auf Hinweise für verdächtiges Verhalten zu überwachen und abzufragen. Sehen wir uns diesen Prozess noch etwas genauer an:
Mit der digitalen Forensik sollten Verantwortliche für Threat Response und Threat Hunting fast jeden Aspekt eines Endpunkts, von Endpunktgruppen oder eines ganzen Netzwerks erfassen, abfragen und überwachen können. Dabei können auch Regeln für das kontinuierliche Monitoring eines Endpunkts erstellt und Serveraufgaben automatisiert werden. Nachfolgend einige spezifische Anwendungsfälle:
DFIR ist ein wichtiges Tool in einem Cybersecurity-Programm, da es die Methoden und den Weg, den ein Angreifer bei einem möglichen oder bereits erfolgten Netzwerkverstoß einschlagen will, genauer und präziser aufzeigen kann.
Es liegt im besten Interesse eines Unternehmens und seines Sicherheitsprogramms, über die Abwehr hinauszugehen und Präventivmaßnahmen zu kalibrieren, damit gleiches oder ähnliches Verhalten in Zukunft erkannt wird.
Der Nutzen von DFIR kann nicht hoch genug eingeschätzt werden, da eine Untersuchung von Verstößen darauf abzielt, Einblicke in die Geschehnisse zu gewinnen und ein stärkeres Programm zu entwickeln.