Reaktion auf Sicherheitsvorfälle

Transkript

1

2 SPEAKER Ulf Riechen Dipl.-Ing. Informationstechnik Microsoft Certified Trainer Microsoft Certified Solutions Expert Prince II Practitioner 2

3 Agenda Definition Sicherheitsvorfall Erkennung (Detektion) Reaktion Beweissicherung Analyse Fehlerbehebung / Bereinigung 3

4 Sicherheitsvorfall (Incident) Vertraulichkeit / Integrität / Verfügbarkeit Priorisierung: Schaden normal : Störung Schaden hoch : Notfall Schaden sehr hoch : Krise Beispiele Ransomware (Verfügbarkeit) Firmendaten werden im Darknet gehandelt (Vertraulichkeit) Die IT spinnt oder verhält sich komisch (Integrität) 4

5 Detektion Organisatorische Vorsorge Sicherheitsrichtlinie zur Detektion von sicherheitsrelevanten Ereignissen Rechtliche Bedingungen zur Auswertung von Protokolldaten Datenschutz Mitbestimmungsrechte Organisationsstruktur, Verantwortliche, Meldewege Einbindung in Service-, Sicherheits- und Notfallmanagement Eskalationsstrategie Sensibilisierung der Mitarbeiter Ausdrucken, üben! 5

6 Detektion Technische Vorsorge Schadcode-Scanner Virenscanner IDS Verhaltensbasierte Erkennung Netz-Segmentierung an Grenzen netzbasierte IDS/IPS Protokollierung Auswertung der Protokolle Zentralisiert (SIEM), digitaler Fahrtenschreiber Demo: Microsoft ATA Demo: Microsoft ATP 6

7 Reaktion Organisatorische Vorbereitung Sicherheitsrichtlinie zur Behandlung von Sicherheitsvorfällen Sofortmaßnahmen Etablierung sicherer Kommunikationskanäle Leitfaden für Beweissicherung / IT-Forensik Informationsbeschaffung intern/extern Dokumentation Benachrichtigung Betroffener, Meldepflichten (IT- Sicherheitsgesetz für KRITIS) Leitungsgremium entscheidet über Bereinigungs-Strategie insbesondere bei APT-Vorfällen 7

8 Soft Skills Chicken Headless Mode vermeiden! Keine Suche nach Schuldigen Keine Rache Admins freistellen für Fehlersuche! Die Admins sind die einzigen, die das Netzwerk wirklich kennen. Unterstützung Administrative Routinetätigkeiten weglassen oder auslagern Spezialwissen einkaufen CSIRT (Computer Security Incident Response Team), CERT, BSI Computer-Forensiker 8

9 9

10 Beweissicherung Live oder Post-Mortem? flüchtige/nichtflüchtige Daten 10

11

12 Beweissicherung Live oder Post-Mortem? flüchtige/nichtflüchtige Daten Forensische Duplikation Physische Kopie, Fehlerbehandlung, Vollständigkeit, Unverändertheit Zu klären: Was ist geschehen? Wo ist es passiert? Wann ist es passiert? Wie ist es passiert? Wer hat es getan? Was kann gegen eine Wiederholung getan werden? 12

13 Beweissicherung Es kann keinen Kontakt zwischen zwei Objekten geben, ohne dass dieser Kontakt wechselseitig Spuren hinterlässt Aus Spuren lesen Keine Spuren hinterlassen IT-Forensik ist keine perfekte Wissenschaft Ungenauigkeiten, Ungewissheiten Mit mehreren Tools probieren Angreifer verwischen Spuren, legen falsche Spuren (Antiforensics) Gerichtsfest? Dokumentation Aufbewahrung 13

14 Spurensuche Netzwerk Logs durchwühlen - sofern (noch)vorhanden Proxy, DNS, VPN, Firewall, Netflow, AD, Serverlogs, Captures Host Dateisystem -Historie Eventlogs Dokumente Browserverläufe Meta-Informationen im Dateisystem, leerer Speicherplatz 14

15 Spurensuche 15

16 Spurensuche Snapshots Registry gestartete Programme Zuletzt geöffnete Dateien USB-Datenträger 16

17 Demo 17

18 Reaktion Bereinigung Isolierung betroffener Netzabschnitte Sperrung und Änderung von Zugangsdaten und kryptographischen Schlüsseln Schließen des initialen Einbruchsweges Gezielte Systemhärtung Hardware-Tausch Umbauten zur Erschwerung eines erneuten Angriffs Rückführung in den Produktivbetrieb 18

19 Learn IT. Watch IT. Do IT! Angebote zu IT-Security B e r a t u n g s u n t e r s t ü t z u n g P r o j e k t u n t e r s t ü t z u n g T r a i n i n g s w w w. s o f t e d. d e / i t - s e c u r i t y