Nach einem erfolgreichen Angriff auf die IT-Infrastruktur steht die Wiederaufnahme des regulären IT-Betriebs an erster Stelle. Wird der genaue Tathergang nicht aufgeklärt, kann der Normalbetrieb jedoch nur von kurzer Dauer sein. Erarbeiten Sie deshalb ihre „Lessons Learned“.
Der Inhalt im Überblick
Nur Backup einspielen reicht nicht
Wird in IT-Systeme eingebrochen, Daten verschlüsselt oder gestohlen, gilt es das betroffene System wieder in einem sauberen Zustand zu versetzten, ggf. die Daten wiederherzustellen und das Ausmaß des Angriffs zu ermitteln. Nach Einspielen eines Backups sind i.d.R. die verschlüsselten Daten wieder vorhanden und das System befindet sich vermeintlich in einem Zustand, in welchem es sich vor dem Angriff befand. Jedoch lauert hier die erste Gefahr: Woher weiß man eigentlich wie lange ein Angreifer schon auf dem System war?
Eine weitere Frage die sich zwangsläufig stellt, ist die Frage nach dem „Wie“? Wie konnte das System infiltriert werden. Nicht unbeachtet sollte außerdem die Möglichkeit sein, dass das infizierte System möglicherweise nicht das Einzige ist.
Aufklärung des Angriffs
Die genannten Fragen sollten geklärt werden, bevor die betroffenen Systeme aus dem Backup wiederhergestellt werden. Nichts ist ärgerlicher, als ein erneuter Befall des Systems direkt nach der Wiederherstellen der Daten. Dies kann sowohl durch einen neuen Angriff von innen ausgehend von einem weiteren infizierten Gerät von außen durch Ausnutzen einer nicht geschlossene Sicherheitslücke von außen geschehen.
Zur Aufklärung des Sachverhaltes sollte zuerst das auffällige System forensisch analysiert werden. Wichtige Erkenntnisse aus dieser Untersuchung können die Eingrenzung des Zeitraums sein, seit wann das System befallen ist und ob es Netzwerkaktivitäten zu anderen Systemen im Netzwerk gab. Diese werden als nächstes in die Untersuchungen einbezogen. Während die Analyse der Systeme durchgeführt wird, werden die Erkenntnisse zum Zeitraum genutzt, um Logdateien und andere Spuren von Netzwerkgeräten wie Firewalls, Proxys und ähnlichem zu sammeln und auszuwerten. Ist ein SIEM vorhanden, sollten hier alle Protokolle zum festgestellten Zeitraum analysiert werden.
Schließen der Sicherheitslücke
Ein solches Szenario ist immer eine gute Gelegenheit Konfigurationen und Sicherheitsrichtlinien zu überprüfen. Nutzen Sie diese. Oft treten hier verschiedene organisatorische oder technische Schwachstellen hervor. Sei es, dass sich keiner für die Gruppenrichtlinien und deren Konfiguration verantwortlich fühlt oder, dass ein geöffneter Port an der Firewall oder gar ganze Regeln alt oder schlecht konfiguriert sind. Viele Dinge in der IT sind oft „historisch gewachsen“ und bedürfen einer Überprüfung. Durch Hinterfragen der eigenen Sicherheitseinstellungen treten möglicherweise Sicherheitslücken zu Tage, welche behoben werden müssen.
Verschleiern des Hintergrunds
Um die eigentlichen Absichten des Angreifers zu verdecken, versucht ein Angreifer häufig mit auffälligeren Maßnahmen von diesen abzulenken. Eine wirksame Methode ist die Verwendung von Ransomware. Diese biete zwei Vorteile:
- Die Betroffenen sind oft mit der Wiederherstellung der Daten beschäftigt. Weitere Aktivitäten auf dem System werden nicht untersucht. Das System wird meist einfach aus einem Backup wiederhergestellt. Dadurch bleiben weitere Handlungen des Hackers unentdeckt.
- Ransomware vernichtet Spuren des Angreifers. Durch die Verschlüsselung der Daten sind auch viele Spuren betroffen, die für die forensische Auswertung wichtig sind. Dadurch wird es schwieriger den genauen Tathergang zu ermitteln. Der Täter verschafft sich damit mehr Zeit und die Möglichkeit, dass ein Einfallstor nicht entdeckt und geschlossen wird.
Das Opfer wiegt sich nach Wiederherstellen des Ursprungszustands in falscher Sicherheit, da es sich scheinbar „nur“ um einen Erpressungstrojaner handelte.
Chancen und Risiken
Abseits von dem Risiko des Daten- und Imageverlusts, bietet ein Sicherheitsvorfall immer auch die Chance grundlegende IT Themen neu anzugehen, Prozesse zu optimieren und die eigene Sicherheit nachhaltig zu erhöhen. Nicht selten hat die IT-Abteilung spätestens dann ein offenes Ohr für IT-Sicherheit bei ihrem Vorgesetzten. IT-Sicherheit ist ein laufender Prozess der ständig Dinge hinterfragt, überprüft und optimiert. Wird ein Angriff nicht vollständig aufgeklärt und ggf. die Sicherheitslücken nicht geschlossen, besteht ein hohes Risiko, dass sich der Angriff wiederholt. Rekapitulieren Sie deshalb zum Schluss alle Vorgänge und ziehen ihre „Lessons Learned“ daraus.
Danke für diesen tollen Blog. Macht weiter so.