Incident Response: Profis für den Ernstfall

Arbeiten Sie im im Ernstfall mit Profis und sparen Sie zehntausende Euro, verursacht durch unkoordinierte Aktionen im "Headless Chicken Mode".

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Sie suchen keine Informationen, sondern Hilfe in einem akuten Notfall? Wenden Sie sich bitte an unsere Incident Response Hotline unter +49 89 890 63 62 61 oder per E-Mail unter incidentresponse@hvs-consulting.de.

Die richtige Response für Ihren Incident

Ein Cyber Incident ist eine absolute Ausnahmesituation. Die meisten betroffenen Personen erleben einen solchen Notfall zum ersten Mal und haben meist weder Pläne, noch Anleitungen oder Prozesse, um diese Situation zu meistern.

Dabei ist Incident Response deutlich mehr als forensische Analysen und die Umsetzung einzelner technischer Maßnahmen. Es braucht stets aktuelle Lagebilder, Strukturen und vor Allem auch einen professionellen Incident Koordinator, der die beteiligten Parteien steuert (IT, Geschäftsführung, Forensiker, PR, usw.), Ruhe und Struktur in den meist unkoordinierten Aktionismus bringt und klare Ermittlungsziele definiert und verfolgt, um die Notfallsituation schnell und kosteneffizent zu beenden.    

Unsere Experten haben in den letzten 10 Jahren hunderte Manntage mit Incident Response verbracht, vom Mittelstand bis zum Großkonzernen (DAX40) und einen großen Erfahrungsschatz aufgebaut. In Friedenszeiten unterstützen wir Sie bei der Optimierung Ihrer Cyber Defense und im Ernstfall mit Koordination, forensischen Analysen und internen und externer Kommunikation.

Incident Response

Wollen Sie im Ernstfall professionell reagieren können?

Lassen Sie uns gegenseitig in einem Webmeeting kennenlernen und über mögliche Ansätze sprechen.
Ja, ich bin interessiert

Incident Response: die Analyse Phase

Durch die forensische Analyse der betroffenen Systeme erhalten wir wertvolle Informationen über den Angriff. Wie sind die Angreifer vorgegangen? Welche "Tactics, Techniques and Procedures" (TTPs) haben sie verwendet? Welche "Indicators of Compromise" (IoCs), also Hinweise für Hackingaktivitäten haben sie dabei hinterlassen, die uns helfen kompromittierte Assets zu identifizieren. Was ist der sogenannte "Entry Vector" und welche Schwachstellen wurden ausgenutzt, die behoben werden müssen, um ein Wiederauftreten des Vorfalls zu vermeiden? Die während der Analyse gesammelten Informationen können am Ende Aufschluss über den entstandenen Schaden, unf das Motiv der Angreifer geben und erlauben mitunter sogar eine Attribuierung zu einer bekannten Tätergruppe. Je nach der Anzahl der Systeme, der Dringlichkeit und der gewünschten Analysetiefe verwenden wir unterschiedliche Ansätze:
Triage Assessment
Triage
Zunächst analysieren wir potentiell betroffene Systeme - wie die Triage in der Medizin - mit einem reduzierten, aber angemessenen Umfang. Wir sammeln und analysieren von jedem verdächtigen System nur bestimmte Artefakte. Das ist natürlich ungenauer als eine vollständige forensischen Analyse, liefert aber genug Material für weitere Entscheidungen und spart enorm Zeit, Geld und Aufwand. Auf dieser Basis planen wir die angemessenen weiteren Schritte und priorisieren diese.
Disk Ram Analysis
Detailanalysen
Die "klassische" Form der forensischen Analyse. Wir analysieren eine identische Kopie eines Datenträgers mit modernen forensischen Programmen und Techniken. Diese Analysetechnik liefert oft detaillierte Ergebnisse, ist aber sehr zeitintensiv. Zusätzlich kann ein RAM-Dump eines laufenden Systems analysiert werden, um flüchtige Informationen wie laufende Prozesse und offene Verbindungen des Zielsystems zu untersuchen. Dies ist besonders am Anfang wichtig, um das Vorgehen der Angreifer zu verstehen.
Compromise Assessments
Flächenanalyse
In manchen Incidents sind sehr viele Systeme potenziell betroffen, mehrere 100 oder sogar 1000. Oft gibt es zunächst gar keine Anhaltspunkte für den ursprünglichen Eintrittsvektor (dem Patient "Zero") oder ein Domain Controller ist kompromittiert und somit kann kein System mehr ausgeschlossen werden. In diesen Fällen führen wir flächendeckenden Analysen hinsichtlich der bekannten Spuren des Angriffs durch, in einem Compromise Assessment mit unserem IOC Scanner Thor.
Compromise Assessment

Bei Auffälligkeiten in der flächendeckenden Analyse wird wiederum eine Triage eingeleitet und die verschiedenen Phasen solange iterativ durchlaufen, bis sich keine neuen Erkenntnisse mehr ergeben.

Die Ergebnisse der verschiedenen Analyseansätze werden in einer Timeline konsolidiert und weiter analysiert, um die Angreifer-Aktivitäten über mehrere Systeme hinweg zu korrelieren und die Interaktionen zwischen diesen Systemen zu erkennen. Die Schritte/Phasen des Angriffs klassifizieren wir auf der Grundlage des MITRE ATT&CK Frameworks. Das hilft dabei, das Vorgehen der Angreifer und das Motiv zu erkennen, sowie Abhilfemaßnahmen zu ergreifen und solche Angriffe in Zukunft zu verhindern.

Welche Systeme können wir analysieren

Windows

Da die meisten Unternehmen eine Microsoft-Umgebung betreiben, werden Windows-Systemen (Server & Clients) auch am häufigsten analysiert. Wir verwenden spezialisierte Tools für die Beweissicherung und forensische Analyse.

Linux

Obwohl Incidents häufiger auf Windows-Systemen auftreten, können wir auch forensische Analysen von Linux-Systemen durchführen und verfügen über entsprechende Spezial-Tools und Know-how.

Mac

Auch wenn Macs in Unternehmen noch eher exotisch sind... auch sie werden kompromittiert und deshalb können wir auch Apple Systeme forensisch analysieren.

Cloud Assets

Da sich die Cloud-Umgebungen stark von On-Premise-Umgebungen unterscheiden, sind hier auch andere Ansätze und Methoden für Incident Response erforderlich. Unser Team hat bereits eine Vielzahl unterschiedlicher Cloud-Incidents in der Azure und AWS Cloud bearbeitet.

Endpoint Detection and Response (EDR)

Ehrlich gesagt ist uns eine Analyse Ihrer Infrastruktur über EDR Lösungen am liebsten. Warum? Über das zentrale Management lassen sich schnell Artefakte für weitere Analysen einsammeln, die Telemetriedaten offenbaren oft das genaue Vorgehen der Angreifer und wir können schnell ein effektives Monitoring auf weitere Aktivtäten implementieren.

Logdaten

Insbesondere Logdaten von zentralen Systemen helfen ebenfalls bei der Analyse, wenn erste Fakten bekannt sind. So lassen sich Verdachtsmomente schnell eingrenzen, ausschließen oder erhärten. Zudem sind zentral gespeicherte Logdaten nur schwer durch Angreifer zu manipulieren.

Incident Response: die Remediation-Phase

Jede Incident Response hat als abschließendes Ziel die souveräne Kontrolle über die IT-Infrastruktur wieder zurückzuerlangen, das erneute Auftreten eines ähnlich gelagerten Angriffes zu verhindern und alle Spuren auf den Systemen zu beseitigen, um wieder eine saubere Ausgangslage zu schaffen.

Typische Maßnahmen sind, kompromittierte Systeme neu aufzusetzen und alle Passwörter von kompromittierten Konten zu ändern. All das sollte in einem kurzen Zeitraum, in der Regel innerhalb eines Tages, stattfinden, damit die Angreifer möglichst keine Chance haben, bereits neu aufgesetzte Systeme wieder zu kompromittieren.

Das ist oft harte Arbeit und erfordert viele Beteiligte, bis hin zur obersten Führungsebene, da ein solcher "D-Day" in den meisten Fällen Auswirkungen auf den Geschäftsbetrieb haben wird. Zudem benötigen Sie unbedingt professionelle Projektmanager, die einen sauberen und realistischen Zeitplan erstellen, Rollen und Verantwortlichkeiten verteilen, die Kommunikation zwischen den Beteiligten sicherstellen und und die Qualität an Hand von KPIs unter Kontrolle haben.