Cyber Incident Response Plan

Konstantin Ziouras • 14. März 2023

Informationssicherheit

Incident Response Plan / Informationssicherheitsvorfallsbehandlungsprozess


Ist das nicht ein großartiges Wort?


Spaß beiseite: Wie gehen Sie vor, wenn es einen Vorfall gibt?

Sehr viele beteiligte kommen aus der IT, kennen und benutzen den klassischen Incident Management Prozess.

Der Incident Management Prozess für normale technische Fehler, Benutzer Fehler etc. unterscheidet sich vom Incident Management Prozess für Cyber-Attacken-Vorfälle.


Natürlich gibt es Gemeinsamkeiten, allerdings auch Unterschiede!

Es gilt sich diese zu vergegenwärtigen.


Ein bewährter Ansatz für die Behandlung von Informations-Sicherheits-Vorfällen ist folgender Incident Response Plan (auch Incident Response Life Cycle)

 

  1. Preparation
  2. identification
  3. Containment
  4. Eradication
  5. Recovery
  6. Lessons learned

 

Preparation / Vorbereitung

 

  • Sicherstellen, dass Sie ausgebildete Mitarbeiter/innen haben, für Ihr Incident Response Team (angestellte eigene Mitarbeiter oder vertraglich geregelte zugekaufte Dienstleister):
  • Sicherstellen, dass Sie mögliche Vorfall Indikatoren regelmäßig beobachten, um Vorfälle zu erkennen.
  • Methoden beherrschen, z.B. Analyse, Backup

 

Identification / Identifizieren des Vorfalles

Sobald Sie einen Vorfall feststellen, starten Sie unverzüglich Ihren Incident Response Plan:

 

  • Analyse des Vorfalls (Schadensanalyse, schnellstmöglich, Investigation)
  • Evtl. Logging erhöhen,
  • Feststellung der Schadensart, des Schadensortes und der Schadensquelle,
  • Feststellung des Erfolges oder Misserfolges des Angriffs,
  • Achten Sie darauf, wenn möglich keine Spuren oder Beweise zu verwischen oder zerstören!
  • Spuren / Nachweise / Logfiles etc. sichern
  • Beteiligte informieren.

 

Containment / Schadensbegrenzung

Eingrenzen des Schadens, isolieren des physischen oder digitalen Assets:

 

  • Fokus auf kurzfristiges schnelles Handeln,
  • z.B. Trennung der Infiltrierten Rechner von der Außenwelt,
  • beschädigte Assets aus der Produktiven Umgebung nehmen und isolieren,
  • Kompromittierte Accounts sperren,
  • Vermeidung / Behinderung weiteren Schadens,
  • Beteiligte informieren.

 

Eradication / Schadensbehebung

Entfernen oder reparieren jedes beschädigten Assets, welches in der Identifizierungsphase als beteiligt erkannt wurde:

 

  • Fokus auf langfristiges zukunftsorientiertes Handeln
  • z.B. Backups einspielen,
  • z.B. Standard Images der Systeme einspielen,
  • z.B. Geschädigte Systeme, zum Zweck der weiteren Analyse erhalten (z.B.: Image ziehen, kopieren, behalten und ersetzen),
  • Ursachenanalyse (dauert Zeit, forensische Analyse)
  • Beteiligte informieren.

 

Recovery / Wiederherstellung

Systeme für den produktiven betrieb vorbereiten und freigeben:

 

  • Testen der wiederhergestellten Systeme nach den erfolgten Maßnahmen,
  • Assets wurden repariert
  • Für Accounts wurden Passwörter geändert, 
  • Freigabe und Übergang in den Normalbetrieb,
  • Intensives Monitoring (eine Zeit lang)
  • Beteiligte informieren.

 

P.S: an geeigneter Stelle, ihre Informationspflicht an Behörden, Kunden, Partner, Öffentlichkeit und andere Beteiligten einhalten!


Lessons learned / Dazu lernen

Review der Vorfallbehandlung, Schritt für Schritt

 

  • Analyse, Abschlussbericht,
  • Ohne Schuldzuweisungen, sachlich, prozessbezogen
  • Verbesserung der Incident Response Fähigkeit
  • Verbesserung der umgesetzten Informations-Sicherheits-Prozesse und -Maßnahmen
  • Verbesserung des Informations-Sicherheits-Systems (ISMS)
  • Beteiligte informieren.

 

Fazit?

Stellen Sie sicher, dass Sie für jeden Prozess die jeweilige Zielsetzung definiert und kommuniziert haben. (Siehe Inhalte einer Idealen Prozessbeschreibung )

Erinnern Sie sich an den PDCA Zyklus, und prüfen Sie noch mal ob Sie diese Ansätze implementieren.

Beschäftigen Sie sich mit der Unternehmensstrategie zur Informationssicherheit

Beschäftigen Sie sich mit den Strategien der organisierten Cyber-Kriminellen.hcse

Beschäftigen Sie sich mit den Angriffsmodellen



Viel Erfolg!

Vielen Dank für Ihren Besuch, 

Ihr Konstantin Ziouras


Quellen:

SANS - Cyber Security Trainings "https://www.sans.org/emea/"

NIST - National Institute of Standards and Technology  "https://www.nist.gov/cybersecurity"

Lockhead Martin - The Cyber Kill Chain "https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html"

Sinn und Unsinn - Managementsysteme und Zertifizierung

von Konstantin Ziouras 8. Februar 2024
Fragen Sie sich manchmal wofür machen Sie den ganzen Aufwand mit einem Qualitätsmanagement System, oder schlimmer, mit einem Informationssicherheitsmanagement System? Finden Sie zurück zurück zu Sinn und Zweck. Entdecken Sie worum es geht, Mein Zauberwort ist "Sicherstellen". Was ist ihnen so wichtig, dass Sie es nicht der Tagesform ihrer Selbst oder Ihrer Mitarbeiter überlassen? Was ist ihnen so wichtig, dass Sie es nicht dem Zufall überlassen wollen?

Plan und Strategie - Wo ist der Unterschied?

von Konstantin Ziouras 31. Januar 2024
Zu Management Systemen gehören Planungsdokumente, es gibt oft Pläne, Konzepte Strategie-Papiere. Manch Dokument ist besser, manches dürftiger, deshalb ein paar Gedanken dazu, in beliebiger Reihenfolge: Was ist ein Plan? Was ist eine Strategie? Zuerst kommt die Strategie, das ist der Blick auf das ganze, diese enthält was wir wollen, was wir steuern können und die ganzen Ungewissheiten und Abhängigkeiten. Dann kommt der Plan (oder Pläne) mit dem Konkretem was planen zu tun, also unser Beitrag, Schritt für Schritt! Am besten finde ich, Sie müssen gar nicht einverstanden sein, mit meinen weiteren Darlegungen! Hoffentlich finden Sie für sich, was Sie jeweils darunter verstehen. Eine Strategie… beschreibt eine Theorie, beschreibt unseren Wunsch, als ein zu erreichendes Ziel, und den Weg, den wir gehen wollen, den Weg den wir zu gehen bereit sind, um dieses Ziel war werden zu lassen! Eine Strategie… Ist langfristig, enthält eine kohärente zielorientierte Logik, enthält kohärente Ziele, enthält aufeinander abgestimmte Aktivitäten, Fähigkeiten, zu erzielende Ergebnisse enthält Aktivitäten welche zusammen als Ganzes, die Erreichung von Unternehmenszielen verfolgen, verfolgt Ziele, welche für das Unternehmen erstrebenswert sind, orientiert sich an ein bestimmtes Ergebnis, welches wir erreichen wollen, berücksichtigt vorhandene und neue Kunden, die unsere Produkte oder Dienstleistung haben wollen, erlaubt leider nicht das Kundenverhalten zu kontrollieren oder zu steuern, aber gibt den Weg vor, den WIR gehen wollen, und zu gehen bereit sind, Berücksichtigt, interessierte Parteien, und eine konsistente Kommunikation zueinander / miteinander, intern, extern. Strategien bringen in der Regel eine emotionale Sorge mit sich „wird es so wie wir uns das Vorstellen?" Akzeptieren wir diese „Ängste und Sorgen“, Strategien führen NICHT zu „Vorhersagen“, sondern zu einem Wunschszenario, Strategien laufen entlang der zugrundeliegenden Logik, solange die äußeren Einflussfaktoren mitspielen, Strategien bedürfen der Anpassung im Verlauf der Umsetzung! Strategie – kurz gefasst: Das ist unser Spielplatz / unsere Umgebung, die uns bekannten Rahmenbedingungen und Randbedingungen (unser Markt)! was wollen wir erreichen, (Ziel)! wie wollen wir es erreichen, (Plan)! welche Fähigkeiten setzen wir ein, (wir und unsere Kollegen/innen)! Das ist unser Management System, das ist unser Versuch sicherzustellen, dass wir unser Ziel erreichen! Eine gute Strategie enthält… eine Chancen- und Risikobetrachtung / Risikobewertung, eine Erfolgskontrolle, um unser Verhalten den laufenden Gegebenheiten anzupassen, einen Kommunikationsplan, und einiges mehr... Ein Plan ist in der Praxis unvollständig… ist leider oft eine Liste von Aktivitäten, Maßnahmen, enthält oft Aktivitäten welche nicht zwingend in sich zusammen kohärent sind, enthält oft Aktivitäten welche nicht zwingend ein gemeinsames Ziel verfolgen, berücksichtigt oft keine konsistente Kommunikation (intern, extern) zielt in der Regel auf die Ressourceneinteilung und Ressourcen Zuordnung ab. Pläne bringen in der Regel eine emotionale Gemütsruhe „wir haben es geplant, wir wissen was wir tun“, Planen ermöglicht meist eine Kostenkontrolle, Planen führt zu „Vorhersagen“ können kurz, mittel, oder langfristig sein, enthalten meist Aktivitäten die wir kontrollieren und steuern können, das ist sehr gut, regeln in der Regel die Ressourceneinteilung und Ressourcen Zuordnung etc.... Ein Plan sollte mehr sein als eine Liste von Aktivitäten, ein Plan sollte obige Versäumnisse vermeiden, eine Einführung haben, Ziele definieren, auf die Ziele angepasste konkrete Arbeitsergebnisse definieren (Deliverables / Output), einen Zeitplan und Meilensteine enthalten, Ressourcen festlegen, Verantwortung und Aufgabenverteilung regeln, interne / externe Mitwirkungspflichten definieren, Kommunikationswege und konsistente Kommunikations-Inhalte enthalten (intern / extern), Evtl. auch ein Risikomanagement enthalten oder mindestens berücksichtigen, eine Erfolgskontrolle enthalten! und ja, das komplizierteste sind dann ganze Projektpläne, davon kann man viel lernen, aber es kann auch zu viel des Guten sein! Ein Konzept... enthält eine konkrete Beschreibung einer Aufgabe und des Lösungsweges, Ein Konzept beantwortet: Warum Wie Wann Ein Konzept enthält einen verständlichen Titel, eine Zusammenfassung / Einleitung, eine Einführung, ein Ziel/Ziele, eine Begründung und Vorteile / Nachteile, eine Beschreibung über eingesetzte Methoden, Ressourcen, Materialien, den Weg / Plan / Umsetzungsschritte, die Zeitachse, Verantwortlichkeiten (und denken Sie an Vertretungsregelungen), Evtl. auch eine Risikobewertung / Risikobetrachtung, Notwendige Dokumentation, Qualifikation / Schulungsmaßnahmen, und falls nötig referenziert es auf weitere mit geltende Dokumente... Lessons learned: Es gibt Überschneidungen, es gibt Unterschiede, Sie sehen es so, oder nicht, sorgen Sie für sich für die Klarheit die Sie benötigen! Definieren Sie was das, was für Sie wichtig ist! Legen Sie den Zweck/Umfang/Inhalt Ihrer Dokumente in ihrem Management System fest, sodass Ihre Dokumente Ihrem Unternehmen einen maximalen Wert bringen. Beschreiben Sie in jedem Dokument, an erster Stelle nach dem Titel, den Zweck eines Dokuments, legen Sie per Inhaltsverzeichnis im jeweiligen Template den Umfang fest. (Lesen Sie auch: Inhalte einer Idealen Prozessbeschreibung https://www.ziouras-consulting.com/inhalte-einer-idealen-prozessbeschreibung ) Schon sind diese Hilfsmittel und Dokumente wertvoller, und können nur noch mit der Zeit besser werden. Viele Erfolg Ihr Konstantin Ziouras
Risk-Bowtie

Die Bowtie Methode für die Risiko Betrachtung

von Konstantin Ziouras 29. Januar 2024
Tun Sie sich manchmal etwas schwer in die Risikoanalyse einzutauchen? Manchmal brauchen wir eine neue Betrachtungsweise! Manchmal ist es schwierig Bücher oder Normen zu verstehen, manchmal ist es schwierig einen gemeinsamen Blickwinkel mit Kollegen oder Beratern zu finden. Manchmal sieht man den Wald vor lauter Bäumen nicht. Risikoanalyse einmal anders? Vielleicht bringt Sie dieser Ansatz auf neue Ideen! Die Bowtie Methode für die Risiko Betrachtung (Bowtie = Die Fliege zum Anzug) Dieser Betrachtungsansatz lässt sich breit benutzen, für Prozesse, Produkte, FMEA, Benutzung gefährlicher Substanzen, Automotive, Medizintechnik, Informationssicherheit, Qualitätsmanagement etc. Ein Bild spricht mehr als Tausend Worte! Auf einen Blick: im Zentrum die mögliche Gefahr, Welche Ursachen kann es dafür geben? Was können wir im Vorfeld tun? Schulungen, Technische, organisatorische Maßnahmen, etc.? Was können wir, oder müssen wir tun, wenn es doch passiert? Wie reagieren wir? Welche Konsequenzen sind möglich?

Fragen die sich eine Organisation zur Benutzung von künstlicher Intelligenz (KI) stellen sollte.

von Konstantin Ziouras 28. Juni 2023
Artificial Intelligence ist keine Modeerscheinung mehr! Es sind neue Angebote auf dem Markt, die sich etablieren, die vieles verändern werden. Es sind machtvolle Tools, und die Versuchung ist groß, diese zu benutzen. Warum auch nicht? Nur, welche Risiken ergeben sich? Welche Chancen können genutzt werden? Was sollte davor geregelt und geklärt werden?
Information Bias. Confirmation Bias

Information Bias - Confirmation Bias - Befangenheit - Bestätigungsfehler

von Konstantin Ziouras 17. April 2023
Wenn wir ein Thema untersuchen oder erarbeiten, sind wir immer voreingenommen! Auch wenn es im bestmöglichen Sinn gemeint ist, überhaupt nicht negativ, wir sind voreingenommen, und vorgeprägt, durch... unsere Persönlichkeit - ICH denke also bin ICH unsere Art Dinge anzugehen - ICH mach das so unsere bewusste Erfahrungen - ICH habe das x Mal so gemacht… unser bewusstes Training – Ich habe das so gelernt, mein Meister hat es mir so gezeigt unsere unbewussten antrainierten Denkmuster, Motorik und Reaktionen Wir fangen ziemlich alles mit einer ersten Meinung an. Die Frage ist, ob wir an dieser Meinung zwanghaft festhalten müssen, oder ob wir einsichtig neue Erkenntnisse, und neue Wege zulassen, wenn es sich als nötig oder sinnvoll erweist? Erkennen wir überhaupt, dass es sinnvoll oder nötig wäre eine existierende Meinung zu ändern?

Wo fängt ein ISMS an? Aller Anfang ist leicht!

von Konstantin Ziouras 15. April 2023
Sie tun sich anfangs schwer? Wo und wie beginnen Sie mit einem neuen Information-Sicherheitsmanagement-System (ISMS)? Gehen wir das zusammen Schritt für Schritt durch. Wir finden Orientierung in der Norm (egal welche Version, am besten immer die aktuellste :-) z.B. ISO27001, Kapitel 4 4.1 Kontext: Was ist die Strategische Ausrichtung des Unternehmens? Welche Interne und externe Einflussfaktoren sehen Sie? Welche positive Aspekte erkennen Sie, und welche negative Aspekte befürchten Sie mit einem ISMS? 4.2 Interesierte Parteien Welche interne und externe Parteien sehen Sie in Ihrem Umfeld? Was sind deren Anforderungen? 4.3 Scope des ISMS Was wollen Sie mit Ihrem ISMS beschützen? Wofür soll Ihr ISMS gelten? Was sind Ihre Produkte bzw. Dienstleistungen? Welche Standorte haben Sie? Wer sind Ihre Mitarbeiter und Abteilungen? Was sind die bei Ihnen eingesetzte Technologien? Wie ist Ihr Netzwerk aufgesetzt? Welche Prozesse haben Sie in Ihrem Unternehmen (Kernprozesse, Unterstützungsprozesse, ausgelagerte Prozesse, Management Prozesse) Was sind die Schnittstellen zwischen Ihren Prozessen? Wie lenken Sie ausgelagerte Prozesse? So geht es weiter, Schritt für Schritt! Ist es kompliziert? Nein! Nicht, wenn es transparent ist, und verständlich gemacht wird! Ist es komplex? Ja! Deshalb unterstütze ich Sie gerne! Ich führe Sie mit den richtigen Fragen, und unterstütze Sie dabei die Antworten zu finden! Umfassend, bis zur Zertifizierung, mit Fachwissen, Erfahrung und die Fähigkeit in den Normen zwischen den Zeilen zu lesen... Detaillierte Analyse, Prozess-Dokumentation, Optimierung, Ergänzung, Neuentwicklung, Entwurf und Dokumentation von Richtlinien, Awareness-Training für Mitarbeiter, Risiko Management Training für die ISMS verantwortlichen Personen, Implementierung von Maßnahmen (Controls) Audit. Verständlich, nachhaltig, entwicklungsfähig, menschlich, auf Augenhöhe, für Sie! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras

Der Industriespion der keiner sein will – Künstliche Intelligenz und ChatGPT als Spion!

von Konstantin Ziouras 8. April 2023
Der Industriespion der keiner sein will – Künstliche Intelligenz und ChatGPT als Spion! Spätestens jetzt ist es für Unternehmen und Organisationen nötig ihre Haltung zu K ünstlicher I ntelligenz (KI) bzw. ChatGPT zu überdenken und festzulegen. Warum sollte das für Sie relevant sein, auch wenn scheinbar keine Berührungspunkte bestehen? Vorfall 1: Samsung Kürzlich wurde in diversen Medien berichtet, dass Entwickler des koreanischen Unternehmens Samsung, Software Code mit dem Sie Probleme hatten, in ChatGPT eingegeben haben, um Hilfe zu bekommen. Eigentlich eine wundervolle Idee könnte man meinen, da doch viele Tutorials im Internet rumgeistern, wie ChatGPT beim Programmieren und bei der Fehlersuche hervorragend unterstützen kann. Ja, ABER: Die Mitarbeiter haben unbedacht „proprietären Software-Code“ in ChatGPT eingegeben. Ohne Non Disclosure Agreements, ohne Beratungs-Vertrag, ohne interne Klärung der Konsequenzen, ohne Risiko Management! Unter Missachtung der Warnung im Kleingedruckten von ChatGPT "keine geheimen Informationen einzugeben" haben Sie eigenmächtig gehandelt, um Probleme zu lösen. ChatGPT ist eine lernfähige KI, die aus allen Eingaben weiter lernt. Dies gilt für alle öffentlich zugängliche Varianten, die derzeit im Umlauf sind, und Begeisterungsstürme auslösen. Nun sind die benannten Code Bestandteile nicht mehr geheim, sondern evtl. öffentlich zugänglich, oder nur mit viel Aufwand wieder löschbar. Vorfall 2: Lerninstitute Begeisterte Schüler bzw. Studenten experimentieren und lassen sich Texte schreiben. Auch andere Personen! Ist das nicht herrlich, was die KI alles schneller und besser kann? Wir erleben ein Stück Science-Fiction live mit! Wir sind dabei! JA, ABER: Grundsätzlich spricht nichts dagegen, zu experimentieren. Auch hier gilt. Bitte an mögliche Konsequenzen und Regeln für alle denken! Es sollte klare Spielregeln geben, für alle Beteiligte, bzgl. Nutzungsmodelle: Es gibt Themen die womöglich zu Streitigkeiten, Disqualifizierung oder späterer Rufschädigung führen können. Regeln zu Quellenangaben, Plagiarismus, Benotungen, Aufsätze, Diplomarbeiten, Doktorarbeiten! Bisherige Regeln decken nicht die Benutzung einer KI akademischer Ausbildung und Arbeit! Wie steht es mit geistigem Eigentum etc.? Die Skandale mit diversen plagiierenden Politikern waren und sind nur eine mögliche Konsequenz. Lessons learned: Es gibt sicherlich gute und legitime Anwendungen einer KI, es gibt sicher auch unerwünschte. Spätestens jetzt ist es Zeit für Organisationen darüber nachzudenken, und zu solchen Themen klare Spielregeln zu definieren, z.B. a) mit einer „Richtlinie zur Benutzung von Künstlicher Intelligenz“ (Policy), oder b) mit entsprechenden Ergänzungen Ihrer existierenden Richtlinien, z.B. Richtlinie zur Internet-Nutzung Nachtrag: Andere unabsehbare Konsequenzen müssen wir weiterhin beobachten, z.B. "verbesserte Cyber Attacken" unter Mitwirkung von KI. Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras

Der personalisierte Cyber Angriff, per Excellence – ein Meisterstück!

von Konstantin Ziouras 1. April 2023
Wie kann ein Cyber Angriff noch persönlicher werden als ein persönliches Scam-Email, bezüglich Ihres "Amazon Kontos", "Google Kontos", "Strom", oder "Telefon Kontos"? Geht es noch glaubhafter, noch perfider? JA, es geht! z.B. mit öffentlich zugänglichen kostenlosen Informationen aus dem Handelsregister, aus öffentlichen Auktionen, öffentlichen Gerichtsverhandlungen usw.

Begriffe für Tools im Einsatz in der Informationssicherheit

von Konstantin Ziouras 20. März 2023
Begriffe für Tools im Einsatz in der Informationssicherheit Der wichtigste Effekt den Sicherheitstools bieten ist „ Visibilität “. Die Verteidiger der Informationssicherheit, müssen sehen können , sehen was im Verborgenen passiert. Je nach Tool, unterscheiden und definiert der Hersteller, wo Licht ins Dunkle gebracht werden kann, in welche Hardware-Komponenten, in welche digitalen Komponenten, welche Zustände und welche Zustandsänderungen erfasst, erkannt, in Bezug gebracht, gemeldet und visualisiert werden können; welche Filter und Feineinstellungmöglichkeiten angeboten werden. Nun zur Übersicht einige Begriffe: SOC: Security Operations Center ISOC: Information Operations Center GSOC: Global Security Operations Center Die Schaltzentrale, das Cyber Security Team, welches die Cybersecurity Vorfälle (Security-Incidents) überwacht, identifiziert, analysiert, und hoffentlich behebt; wenn möglich 365 Tage pro Jahr, 24 Stunden pro Tag. Dies sind die Helden, die sich um die Überwachung und Bearbeitung der Alarme, und das Cyber Incident Management kümmern. Für das SOC sind wichtig: Strategie, technische Lösungen, Prozesse, Schulungen, Kontinuierliche Verbesserung NOC: Network Operations Center Ein Team welches sich um die Netzwerk Leistung und Geschwindigkeit kümmert. SEM: Security Event Management Ein Tool, welches Echtzeitanalysen und Echtzeitberichte erstellt und dem SOC zur Verfügung stellt. Ein Event ist alles, was in den Systemen und im Netzwerk passiert, die normalen Aktivitäten und die „unerlaubten“. Wir interessieren uns um die "schlechten". SIM: Security Information Management Ein Tool, welches für die Erfassung und Verwaltung von Logfiles und weiteren sicherheits-relevanten Daten benutzt wird. Die protokolierten Daten werden analysiert. Wenn Events gewisse voreingestellte „Grenzwerte“ überschreiten, werden Meldungen ausgegeben. Hier liegt die Kunst der Einstellungen, um sinnvolle Filter und Grenzwerte zu generieren. Ein Event welches gemeldet wird, kann als Warnung oder als Alarm eingestuft sein. Es kann falsch Positive und falsch Negative Alarme geben. SIEM: Security Incident and Event Management Ein einzelnes Sicherheitsmanagement-System, welches Aktivitäten im Netzwerk sichtbar und transparent macht, welches beide Aufgaben übernimmt, als SEM und als SIM. Hier werden Maschinendaten in Echtzeit aus vielen Quellen (Endpoints) gesammelt, analysiert, kategorisiert und bewertet! Je nach Trigger werden Alarme ausgegeben. Das SOC Team arbeitet mit diesen Alarmen, Daten und Berichten, versucht Vorfälle möglichst frühzeitig zu erkennen, von den falschen Alarmen zu trennen, und reagiert auf die Vorfälle. Je moderner das SIEM Tool, desto fortschrittlichere Fähigkeiten hat es. (Modernere haben extravagante Bezeichnungen wie „Next Gen SIEM“ o.ä. Ein SIEM kann Daten aus verschiedensten Quellen aggregieren, z.B. Server : Webserver, Proxyserver, Mailserver, Fileserver, FTP-Server Netzwerkgeräte: Router, Switches, Wireless Access Points, Modems, Leitungstreiber, Hubs Sicherheitsgeräte: IDP/IPS (Intrusion Detection und Intrusion Prevention System), Firewalls, Antivirus-Software, Content-Filter... Applikationen / Programme: Sehr vielfältig, um nicht alle zu sagen. Ein SIEM kann auf viele Metadaten bzw. Attribute achten, und diese auswerten: Benutzerkonten, Prozesse, Events, IP Adressen, Speicher… Dabei werden Änderungen erkannt (Prozessstart, Stop, Anlegen eines Benutzerkontos, Benutzen eines Benutzerkontos, um sich einzuloggen, Berechtigungsänderungen eines Benutzerkontos etc. EDR: Endpoint detection and Response Systeme die Bedrohungen innerhalb der definierten Endpunkte erkennt und darauf reagiert. Prinzipielle ähnlich wie ein SIEM, aber fokusiert auf Endpoint Geräte, als Clients, Computer, Server, Mobile Devices. In der Regel arbeiten diese Systeme mit „Endpoint Agents“, also Applikationen am Endgerät. Diese Agieren wie bessere Antivirus Software, schützen gegen Malware, Dateien und Programmattacken, und erkennen auch Verhaltensmuster. Wegen der Verhaltensmustererkennung sind sie besser als Anti Virus Software die „nur“ bekannte Signaturen detektiert, und besser als SIEM nur im Einsatz auf Endgeräten. EDR ergänzt SIEM, liefert wertvolle Logfiles (Protokolle) für das SIEM, und kann auch durch Automatismen bestimmte Angriffe abwehren. XDR: Extended Detection and Response Dieses sind modernere EDR-Systeme, welche Daten aus immer mehr Endgeräten erfassen, auswerten und korrelieren. Das wichtigste sind die Korrelationen und Zusammenfassungen von "scheinbar unabhängigen Alerts" zu einem zusammenhängenden Vorfall. Sie wirken automatisch und clients, Applications, auf mehreren Sicherheitsebenen, vollständiger, z.B. Endpunkte wie EDR, und E-Mail, Benutzerkonten, Server, Cloud, SaaS, Netzwerk, Datenbanken, und generell alles Assets. Dies ermöglicht eine schnellere Erkennung von Bedrohungen und verbesserte Untersuchungs- und Reaktionszeiten und Abwehrmechanismen durch das SOC Team. Es konzentriert die Aufwände, anstatt vielen kleinen einzelnen Alerts nachzujagen, auf wenigere, aber zusammenhängende. MDR: Management Detection and Response Hier handelt es sich um eine Dienstleistung in Kombination mit oben beschriebener Technik. Dies ist für Unternehmen die kein eigenes SOC Team 24/7 parat haben, interessant! Hier teilen sich Menschen und Technik die Erkennung, Filterung und Auswertung und Feinjustierung von Alarmen, und „Verhinderung von Bedrohungen“, als Dienstleistung! Diese Spezialisten-Teams helfen auch bei „Reparatur“ Aufgaben falls nötig. SOAR: Security, Orchestration, Automation and Response SOAR ist eine vollständige Plattform, eine Schaltzentrale um SOC Teams zu managen und zu unterstützen. Hier werde diverse Cyber-Sicherheits-Tools z.B. SIEM, DER; Firewalls, über Schnittstellen eingebunden. Es können große Mengen an Informationen verarbeitet werden, Alarme priorisiert und bearbeitet werden. SOAR beinhaltet Automation und vordefinierte Szenarien, Workflows etc., um Entscheidungen zu erleichtern und Reaktionen zu beschleunigen. Workflows können auch zur Überprüfung in Einsatz kommen, um Alarme abzuarbeiten, und falsche Alarme herauszufiltern. Ebenfalls sind in der Regel Incident Ticket Protokollierung, Nachbearbeitung, Berichtswesen und Wissensdatenbanken integriert. Als Mechanismen haben wir also: Präventiver Schutz vor einer "Infektion", Erkennung und Verhinderung von Malware vor einer "Infektion" durch Erkennung bekannter Dateitypen, digitaler Signaturen, digitaler "Antikörper" Manche Malware ist neu, oder alte wurde verändert um einer Erkennung zu entgehen. Hier ist wichtig: Reaktive Detektion nach einer "Infektion", durch Erkennung von Verhaltensmuster. Malware, wenn einmal drin, muss etwas tun, die nächsten Schritte sind oft typisch für verschiedene Angriffsarten. Je nach hinterlegten Regeln, Workflows, Logikbäumen, Vergleichs-Algorithmen, können Benutzerkonten/Systemkonten Prozesse, Dateien, Kommunikation etc. analysiert werden, Alarme gegeben werden und automatische Reaktionen ausgeführt werden. Response und Recovery... Lessons Learned: Mesch: Es bedarf wie immer, Menschen und Technik. Die Menschen müssen Ihre eigesetzte Technik kennen, verstehen, und beherrschen, sowohl die Technik für die Geschäftsprozesse als auch die Technik für die Sicherheitsüberwachung. Maschine: Namen sind Schall und Rauch: Es kommt darauf an, was genau die eingesetzte Lösung kann, was sie nicht kann, wie sie eingestellt ist, wie modern, und wie anpassungsfähig auf neue Gefahren sie ist, wie sie kombiniert werden kann. ISMS: Mensch, Maschinen, Strategien und tolle Konzepte und Richtlinien dokumentiert auf Papier. Letztendlich kommt es darauf an, wie lernfähig das gesamte Informationssicherheitsmanagement System ist und bleibt, welche Strategie es verfolgt, wie diese umgesetzt wird... Vieles hängt davon ab, wie "Risiken bewertet" werden, wie Logikfehler durchrutschen oder vermieden werden, und wie Sie am Ball bleiben! Alles Gute, viel Erfolg! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras P.S. Tools in der Übersicht: https://www.gartner.com/reviews/market/security-information-event-management und Suchen Sie nach den Stichworten: magic quadrant for siem 2022

Cyber Kill Chain - Anatomie einer Cyber Attacke

von Konstantin Ziouras 19. März 2023
Lockheed Martin, das US amerikanisches Militärunternehmen, hat vor einigen Jahren Cyber Attacken nach militärischen Erfahrungen in ein Angriffs Modell gegossen. Dieses ist in 7 Phasen unterteilt. Es dient dazu sowohl die Schritte des Cyberkriminellen als auch der Verteidigung besser zu sortieren und zu verstehen. Reconnaissance Weaponization Delivery Exploitation Installation Command and Control (C2) Action on Objectives Manche würden auch ergänzen: 8. Get the money and run or do it again Dieses Modell ist eine Vereinfachung. Natürlich gibt es Varianten, Variationen, und kein Krimineller muss sich daran halten! Die Cyber Welt wird immer komplexer, es werden neue Wege gesucht und gefunden. Artificial Inteligence ist angekommen. Trotzdem sind Modelle hilfreich: für den Strategie-Tisch, für Schulungen, für Struktur, für das Lernen. Ja es gibt auch augenscheinliche Schwächen, z.B. ein Insider kann erste Schritte scheinbar überspringen, hat diese aber im stillen Kämmerlein durch gemacht, und sich einen Plan zurecht gelegt! Nach diesem Modell muss ein Angriff alle diese 7 Phasen durchlaufen, um an sein Ziel zu gelangen und erfolgreich zu sein. Das bedeutet, wir haben die ersten 6 Schritte lang die Gelegenheit den Angriff zu vereiteln, um den letzten Schritt zu verhindern. Schauen wir uns diese Schritte einzeln an, und überlegen auch potentielle Taktiken als Gegenmaßnahmen (ohne Anspruch auf Vollständigkeit). 1. Reconnaissance / Aufklärungsarbeit (Mögliche Ziele identifizieren und auskundschaften) Planungsphase des Angreifers. Suche nach öffentlich zugänglichen Informationen, z.B. Email Adressen sammeln Angestellte / Personen / Rollen identifizieren Informationen sammeln aus dem Web, den Nachrichten, den Sozialen Medien, Konferenzlisten, Informationen im Darknet kaufen Möglichkeiten der Verteidigung: Vor der Tür können wir wenig tun! Begrenzen Sie und kontrollieren Sie die öffentlich zugängliche Information, z.B. mit einer Social Media Richtlinie (Sowohl für Social Media, als auch für eigene Webseiten des Unternehmens Wieviel können Sie an den eigenen Webservern loggen, nach Mustern durchsuchen, und als Historie für Analysen aufbewahren? 2. Weaponization / Bewaffnung aussuchen (Angriff vorbereiten) Automatisierte Tools werden „in Ruhe“ für den ausgesucht, zusammengestellt, und deren Einsatz wird vorbereitet, z.B. USB Stick, evtl. in Kombination mit einem Köder / Angebot z.B. in einem Modemagazin und einem Aufkleber „Sommerkollektion YSL“ auf dem USB Stick, oder einem Ford Mustang Magazin, und einem Ferrari Ettiket? Dateibasierte Angriffe werden vorbereitet, z.B. mit einem Köder, kaschierte Emails bzw. Webseiten mit „Fangangeboten“ Die entsprechende Malware, z.B.: eine Backdoor, oder Exploit wird vorbereitet. Möglichkeiten der Verteidigung: Die Vorbereitung des Gegners kann nicht verhindert werden! Aber in der Zeit kann und muss sich das Unternehmen ebenfalls vorbereiten, aus der Vergangenheit lernen, sich mental und digital vorbereiten: Sicherheitsstrategie, System und Controls aufsetzen und in der Tat umsetzen. Detektoren / Scanner aktiv und aktuell halten Awareness Schulungen durchführen Angriff / Verteidigung Trainings Incident Response Plan ausarbeiten, und trainieren Erkennung bekannter Muster einstellen (Viren, Malware, Trojaner) Analysen und Trends beobachten, allgemein informiert bleiben Sparten- und Branchen-Spezifische Information einholen über Angriffe beobachten 3. Delivery / Lieferung (Platzierung des Cyber-Schädlings) Der Angreifer verschickt sein getarntes Paket. Der Angriff hat begonnen, z.B. USB Stick liegt im Hof, oder auf einem Firmen-Parkplatz, oder Ein USB Stick liegt in einem Paket einer Material-Lieferung, als Dankeschön, oder Werbegeschenk dabei. Dateibasierte Angriffe werden losgeschickt, mit Köder, Spam Emails, Persönliche Emails, gefälschte Emails bzw. Webseiten mit „Ködern/Fangangeboten“, gefakte Webseiten, etc. Direkter kontrollierter Angriff über Webserver / Datenbanken Penetrationsversuch über offene Ports und Protokolle Interaktionen über Social Media, Uploads, Einladungen, Honigtöpfchen/Köder. Die Phantasie hat keine Grenzen. Möglichkeiten der Verteidigung: Die erste und wichtigste Möglichkeit einen Angriff zu vereiteln, z.B. Sperrung der USB Ports für Datenspeicher Rollen, Verantwortung, Zugriffsrechte verstehen, planen, kontrollieren, aufzeichnen (Logging), einschränken auf das nötige Maß Server und Infrastrukturtrennen, kennen, überwachen. Standardkonfigurationen und Settings vermeiden Technik Einsetzen die Indizien überwacht und meldet Analyse der physikalischen und der digitalen Lieferungen Micro-Demilitarisierte Zonen einsetzen. Doppelte Firewalls einsetzen Scanner einsetzen, aktuell halten Logging sammeln, für laufende Analysieren, und für forensische Analysen falls es mal nötig sein sollte. Daten analysieren und Trends und unübliche Aktionen beobachten (z.B. Start von Programmen zur „Unzeiten“, Start von Programmen die „nicht gelistet sind“… Neue Benutzerkonten, die nicht freigegeben wurden erkennen und sperren Gestartete Prozesse die „nicht gestartet sein sollten", erkennen und genauer anschauen... 4. Exploitation / Ausbeutung (Zugriff erlangen) Der Angriff muss nun eine Schwäche ausnutzen, eine Hardware-, Software-, oder Menschliche Schwäche. Starten des Angriffs aus der Ferne Starten des Angriffs durch ein „Opfer“ eines Köders (Email Anhang, Link klicken…) Möglichkeiten der Verteidigung: Menschliches Verhalten kennen, beobachten, und stärken. Digitale Verteidigungsmöglichkeiten einsetzen. Aufmerksamkeit-Schulungen und Tests nach Schulungen durchführen Secure Coding Ausbildung für Entwickler einsetzen, und prüfen Vulnerability scaning durchführen Penetration Test (Pen Test)... Endpoints stärken / Endpoint hardening (individuell) Administrationsrechte beschränken Ausführungsrechte, und Automatische Startups beschränken / kontrollieren / überwachen Schellcode-, Script- Beschränkungen Digitale Audits, scanns ... 5. Installation / Installation (Festsetzen um einen geheimen Kommunikationskanal zu öffnen) Hier werden normalerweise durch den Angreifer Backdoors geöffnet (Kommunikationskanäle) um sich beim Opfer System einzunisten, und langfristig zu agieren, z.B. Webshell auf Webserver Backdoors auf clients Services hinzufügen, die selbstständig laufen (Autorun, Registry Schlüssel…) Hinzuaddierte Komponenten werden getarnt. Möglichkeiten der Verteidigung: Hier sind digitale Erkennungstools (Detection) essentiell, für Überwachung, Erkennung, Protokollierung und Analyse, z.B. Überwachung von typischen installationspfaden, Services und Registry Analyse von Berechtigungen zur Installation / zum Start von Prozessen (auch temporäre) Überwachung von Filesystemen bezüglich „anlegen abnormaler Dateien“ Zertifikate und Programme überwachen Zeitstempel von Programmen / Dateien / Skripten überwachen (z.B. Installationsdatum / Patch Datum) 6. Command & Control (C2) / Zugriffskontrolle bekommen (Fernkontrolle etablieren) Hier passiert die Kommunikation mit dem Angreifer, um das Opfer System zu verändern, z.B. Zweiwege Kommunikation / Fernkontrolle zur Kommando-Infrastruktur des Angreifers etablieren. Meist über Web, DNS, Emailprotokolle Die Kommandostruktur des Angreifers ist evtl. auf einem anderen „gekapertem und missbrauchten System, oder Netzwerk“ Möglichkeiten der Verteidigung: Hier ist die letzte Möglichkeit der Verteidigung, indem die Kommunikation unterbunden wird. Kennen der erlaubten Kommunikationen Entdecken der „unerlaubten Kommunikation Entdecken der Malware Wege in die Außenwelt limitiert halten, kennen und überwachen Proxies einsetzen, überall wo möglich (http, DNS) Standardkonfigurationen und Settings vermeiden Kreativität einsetzen, Analytische Fähigkeiten trainieren Echtzeitanalyse trainieren Sperrmechanismen trainieren und bereit halten 7. Action on Objectives / Das Ziel des Angriffs erreichen (der Schadensfall ist eingetreten, das Ziel des Angriffs wurde erreicht) Der Angreifer sendet das „Kill“ Kommando. Er/sie drückt auf dem Roten Knopf. Was nun passiert hängt vom Endziel der kriminellen Gegner ab: Benutzer Daten sammeln / klauen / kopieren und rausschicken Berechtigungen fälschen für weitere Schritte, Gehen Sie zurück zu Schritt Nr 4 Weitere interne Erkundungsausflüge unternehmen (*) Aus der gesicherten Position, innerhalb des Netzwerks fortpflanzen. Daten / Informationen zerstören Daten / Informationen verschlüsseln und Opfer erpressen (Ransomware) Evtl. sollte noch ein Schritt 8 hinzugezählt werden, falls es um Geld geht 8. 8. Get the money and run or do it again / Geld kassieren nach der Erpressung Möglichst versteckt, mit Kryptowährungen etc. Die Angreifer freuen sich und die Sektkorken knallen Verteidigung: Einschalten der Polizei / BKA Zahlen oder nicht, wie, wo, wann, womit? Versuchen den Schaden zu begrenzen Scherbenhaufen aufräumen, Kunden, Partner, Reputation, Öffentlichkeit, Behörden Neu beginnen, weiter machen, oder ... Lessons learned: Diese Methodik kann behilflich sein die eigenen Maßnahmen zu hinterfragen, umgesetzte Maßnahmen zu bestätigen, Lücken zu entdecken. Indem dieses Modell selbst hinterfragt wird, hilf es die eigene Strategie und Techniken auf den Prüfstand zu stellen. Wer dieses Modell gemeistert hat, ist im Anschluß daran reif für die Oberklasse, das Studium der Mitre Attack Datenbank, oder NIST Vulnerability Database mit viel mehr Details, vielen Angriffsstrategien , noch viel mehr Taktiken, Techniken und Details. Gehen Sie mal folgendes Gedankenexperiment durch: Der Täter ist schon mittendrin im System, nicht draußen vor der Tür! Was ergibt sich daraus? Wie geht Ihre Organisation im Konkreten Fall vor ? Quellen: a) Lockhead Martin - The Cyber Kill Chain " https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html " b) Mitre Attack Organisation und Datenbank: https://attack.mitre.org/ c) NIST Vulnerability Database (NVD): https://nvd.nist.gov/vuln (*) Nach einer IBM Analyse, betrug die durchschnittliche Verweildauer ca. 9 Monate, bevor es zum final count down kam. Es gibt viele solche Werte, von 50 Tagen, bis 270 Tage, alles erschreckend viel! IBM: In 2022, it took an average of 277 days—about 9 months—to identify and contain a breach. https://www.ibm.com/reports/data-breach Vielen Dank für Ihren Besuch. Sofern Sie das strategische Gespräch suchen, bitte gerne! Ihr Konstantin Ziouras
Weitere Beiträge