EDR: Wie man auf Sicherheitsvorfälle schnell reagiert und diese behebt

Autor
Corinne Lenherr
Veröffentlicht
21. März 2019

Und schon sind wir beim dritten Blogartikel zum Thema Endpoint Detection & Response (EDR). Dieses Mal erzählen wir Ihnen, wie Unternehmen Sicherheitsvorfälle beheben können, um schnell und effektiv wieder in den Normalbetrieb zu gelangen.

Die Behebung von Sicherheitsvorfällen ist ein Schlüsselelement in der Cyber Defence. Dazu sind passende Tools notwendig, um eine Bedrohung schnell und effektiv einzudämmen und aus der Infrastruktur zu entfernen.

Das wichtigste Ziel eines Krisenplans ist die möglichst schnelle Wiederherstellung des Normalbetriebs. Klar, Ihr Team möchte den Vorfall am liebsten unmittelbar und genauestens untersuchen – aber das ist zweitrangig. Denn das Kerngeschäft hat immer Priorität. Aber natürlich ist eine genaue Analyse unerlässlich. Langfristig ist sie ein wichtiger Bestandteil, um die Cyber Security nachhaltig zu stärken. Deshalb ist es unerlässlich, mit einem geeigneten Werkzeug auf der einen Seite die Anforderungen an Ihr Kerngeschäft zu erfüllen und auf der anderen Seite die Bedürfnisse der Threat-Analysten abzudecken.

Nur wer die Details einer Cyberattacke kennt, kann richtig reagieren

Bei der Behebung eines Vorfalls muss ein schneller Zugriff auf die Ereignisinformationen, Details zu Benutzeraktivitäten oder eine Zusammenstellung von eindeutigen Systemartefakten garantiert werden. Nur so können Sie feststellen, welche Systeme resp. Endpunkte von einer Cyberattacke betroffen sind oder worauf der Angreifer Zugriff hatte.

Wenn ein Vorfall nicht vollumfänglich erfasst und analysiert wird, kann es bei der Behebung möglicherweise nicht gelingen, den Angreifer zu lokalisieren oder den Zugriff auf die Systeme zu blockieren. Umso wichtiger ist eine umfassende, detaillierte Untersuchung.

Erinnern Sie sich noch an unsere ersten Artikel zu Endpoint Detection & Response? In Teil eins und zwei haben wir die Phasen der Erkennung und Analyse von Vorfällen beschrieben. Zudem haben wir Ihnen aufgezeigt, warum ein schnelles, anpassungsfähiges Toolset notwendig ist, um einen Vorfall vollständig erfassen zu können. Aber welche Informationen sind für die Wiederherstellung überhaupt relevant? Nachfolgend sind die wichtigsten Punkte aufgeführt:

  • Die mit Malware infizierten Systeme
  • Systeme, auf welche die Angreifer Zugriff hatten
  • Standort und andere Metadaten im Zusammenhang mit der Malware oder den eingesetzten Tools
  • Kompromittierte Accounts (mit Hinweisen zu lateralen Bewegungen, Ausführung der Malware oder potenziell gestohlenen Anmeldeinformationen)
  • Schwachstellen, die zu dem Vorfall geführt haben
  • Andere Systemartefakte, die bereinigt oder entfernt werden müssen

Nachdem die erste Untersuchungsphase abgeschlossen ist, helfen Ihnen die bei der Untersuchung gesammelten Daten festzustellen, welche Massnahmen zur Behebung erforderlich sind. Sobald dies klar ist und Sie über die notwendigen Tools verfügen, können Sie loslegen. Wichtig: Der Plan sollte sowohl die kurz- als auch die langfristigen Aspekte der Beseitigung einer Bedrohung berücksichtigen.

Kurzfristig ist es von entscheidender Bedeutung, die Bedrohung zu stoppen und eine Weiterverbreitung zu verhindern. Die langfristige Aufgabe ist es sicherzustellen, dass dieselbe Bedrohung in Zukunft nicht wieder auftritt oder, wenn dies nicht vollständig ausgeschlossen werden kann, immerhin keine negativen Auswirkungen haben kann. Denn nur so kann die Cyber Security nachhaltig optimiert werden.

Kurzfristig: Beseitigen Sie die Schwachstellen!

Es gibt viele Schritte, die Sie unmittelbar nach dem Auftreten einer Bedrohung tätigen müssen. Dazu gehört die Abschottung einer Komponente (z.B. eines Computers) vom System, das Sammeln von wichtigen Systemartefakten zur Analyse oder die vorübergehende Sperrung eines Benutzerkontos.
Diese Aufgaben gehören natürlich in der Regel nicht zum normalen Tagesgeschäft. Ihr Sicherheitsteam sollte trotzdem die Möglichkeit haben, die folgenden Aktivitäten regelmässig zu üben, beispielsweise in einem simulierten Notfall:

  • Abschottung einer Komponente
  • Laufende schädliche Aktivitäten deaktivieren und eliminieren
  • Beseitigung von Malware-Persistenz-Mechanismen (z.B. in der Registry)
  • Verteilung von Out-of-Band-Patches in kritischen Situationen

Natürlich könnte man die Liste noch beliebig weiterführen. Die Beispiele sollen Sie lediglich zum Nachdenken anregen, welche Aktivitäten bei Ihnen in einer kritischen Situation zwingend durchgeführt werden und deshalb auch periodisch geübt werden müssen.

Langfristig: Erhöhen Sie Ihre Abwehr!

Parallel zur Durchführung dieser kurzfristigen Aufgaben ist es unerlässlich, die Sicherheitsmassnahmen langfristig zu optimieren, um das Risiko eines sich wiederholenden Vorfalls zu minimieren. Diese können sich von kürzeren Patching-Zyklen von risikobehafteten Systemen bis hin zum Aufbau eines umfassenden Ansatzes zur Erkennung, Untersuchung und Reaktion erstrecken.

Bei allen langfristigen Massnahmen ist es zentral, dass diese nicht nur zu Beginn, sondern auch in Zukunft überwacht und verifiziert werden. Wenn Sie beispielsweise einen neuen Patch einspielen, sollten Sie später überprüfen können, ob der Patch auch wirklich angewendet wird. Ebenso sollten Sie zum Beispiel Konten, welche deaktiviert wurden, kontinuierlich weiter überwachen. So können Sie sicherstellen, dass diese tatsächlich nicht mehr verwendet werden, zum Beispiel von einem Angreifer.

Agieren Sie proaktiv und messen Sie die Fortschritte

Der Reaktionsprozess ist entscheidend, wenn Sicherheitsmassnahmen bei einem Angriff nicht gegriffen haben. Aber es gibt darüber hinaus viel zu tun, bevor es überhaupt zu einer Cyberattacke kommt. So sollten Sie beispielsweise Ihre Patch-Richtlinien regelmässig überprüfen. Berücksichtigen Sie dabei folgende Kennzahlen:

  • Benötigte Zeit ab Beginn einer Untersuchung bis zur Behebung
  • Benötigte Zeit für die Umsetzung einer Behebungsstrategie über alle Endpunkte hinweg
  • Massnahmen, die am (zeit-)aufwendigsten sind und die grössten Schwierigkeiten bereiten
  • Rate der Neugefährdung aufgrund unvollständiger oder fehlgeschlagener Behebungsmassnahmen
  • Anzahl der Endpunkte oder Technologie-Stacks, die zur Behebung erforderlich sind

Sie sehen – es gibt auch ohne einen Sicherheitsvorfall viel Arbeit. Es stellt sich nun einfach die Frage: Bietet Ihnen Ihre aktuelle EDR-Lösung eine genügend schnelle Reaktion auf erkannte Bedrohungen? Oder noch besser: Geht sie darüber hinaus und gewährleistet Ihnen umfassende investigative Transparenz, die für die Beurteilung von Bedrohungen erforderlich ist? Ist sie flexibel genug, um bei Bedarf unterschiedlich reagieren zu können?

EDR – Erkennen Sie frühzeitig Security Incidents und reagieren Sie schnell und effektiv darauf

Sie merken: Um sich vor heutigen Cyberangriffen schützen zu können, braucht es neben den Prozessen und dem Know-how auch spezialisierte Tools. Denn wenn Ihre Cyber Security-Analysten mit Alerts überlastet sind und nicht erkennen können, welche Alarme Priorität haben, ist eine effektive Cyber Defence kaum möglich. Tanium hat genau für dieses Problem eine Lösung geschaffen, welche die Lücke zwischen Detection und Response schliesst. So kann ein kontinuierlicher Sicherheitsprozess sichergestellt sowie effizient und effektiv reagiert werden.

Das Beste? InfoGuard bieten Ihnen diese Technologie exklusiv als Service an! Unser EDR-as-a-Service wird aus dem ISO 27001 zertifizierten Cyber Defence Center von erfahrenen Experten erbracht. Interessiert? Hier erfahren Sie mehr!

 

Angebot EDR-as-a-Service

* in Kooperation mit Tanium

Artikel teilen