Cyber Incident Response Plan

Konstantin Ziouras • 14. März 2023

Informationssicherheit

Incident Response Plan / Informationssicherheitsvorfallsbehandlungsprozess


Ist das nicht ein großartiges Wort?


Spaß beiseite: Wie gehen Sie vor, wenn es einen Vorfall gibt?

Sehr viele beteiligte kommen aus der IT, kennen und benutzen den klassischen Incident Management Prozess.

Der Incident Management Prozess für normale technische Fehler, Benutzer Fehler etc. unterscheidet sich vom Incident Management Prozess für Cyber-Attacken-Vorfälle.


Natürlich gibt es Gemeinsamkeiten, allerdings auch Unterschiede!

Es gilt sich diese zu vergegenwärtigen.


Ein bewährter Ansatz für die Behandlung von Informations-Sicherheits-Vorfällen ist folgender Incident Response Plan (auch Incident Response Life Cycle)

 

  1. Preparation
  2. identification
  3. Containment
  4. Eradication
  5. Recovery
  6. Lessons learned

 

Preparation / Vorbereitung

 

  • Sicherstellen, dass Sie ausgebildete Mitarbeiter/innen haben, für Ihr Incident Response Team (angestellte eigene Mitarbeiter oder vertraglich geregelte zugekaufte Dienstleister):
  • Sicherstellen, dass Sie mögliche Vorfall Indikatoren regelmäßig beobachten, um Vorfälle zu erkennen.
  • Methoden beherrschen, z.B. Analyse, Backup

 

Identification / Identifizieren des Vorfalles

Sobald Sie einen Vorfall feststellen, starten Sie unverzüglich Ihren Incident Response Plan:

 

  • Analyse des Vorfalls (Schadensanalyse, schnellstmöglich, Investigation)
  • Evtl. Logging erhöhen,
  • Feststellung der Schadensart, des Schadensortes und der Schadensquelle,
  • Feststellung des Erfolges oder Misserfolges des Angriffs,
  • Achten Sie darauf, wenn möglich keine Spuren oder Beweise zu verwischen oder zerstören!
  • Spuren / Nachweise / Logfiles etc. sichern
  • Beteiligte informieren.

 

Containment / Schadensbegrenzung

Eingrenzen des Schadens, isolieren des physischen oder digitalen Assets:

 

  • Fokus auf kurzfristiges schnelles Handeln,
  • z.B. Trennung der Infiltrierten Rechner von der Außenwelt,
  • beschädigte Assets aus der Produktiven Umgebung nehmen und isolieren,
  • Kompromittierte Accounts sperren,
  • Vermeidung / Behinderung weiteren Schadens,
  • Beteiligte informieren.

 

Eradication / Schadensbehebung

Entfernen oder reparieren jedes beschädigten Assets, welches in der Identifizierungsphase als beteiligt erkannt wurde:

 

  • Fokus auf langfristiges zukunftsorientiertes Handeln
  • z.B. Backups einspielen,
  • z.B. Standard Images der Systeme einspielen,
  • z.B. Geschädigte Systeme, zum Zweck der weiteren Analyse erhalten (z.B.: Image ziehen, kopieren, behalten und ersetzen),
  • Ursachenanalyse (dauert Zeit, forensische Analyse)
  • Beteiligte informieren.

 

Recovery / Wiederherstellung

Systeme für den produktiven betrieb vorbereiten und freigeben:

 

  • Testen der wiederhergestellten Systeme nach den erfolgten Maßnahmen,
  • Assets wurden repariert
  • Für Accounts wurden Passwörter geändert, 
  • Freigabe und Übergang in den Normalbetrieb,
  • Intensives Monitoring (eine Zeit lang)
  • Beteiligte informieren.

 

P.S: an geeigneter Stelle, ihre Informationspflicht an Behörden, Kunden, Partner, Öffentlichkeit und andere Beteiligten einhalten!


Lessons learned / Dazu lernen

Review der Vorfallbehandlung, Schritt für Schritt

 

  • Analyse, Abschlussbericht,
  • Ohne Schuldzuweisungen, sachlich, prozessbezogen
  • Verbesserung der Incident Response Fähigkeit
  • Verbesserung der umgesetzten Informations-Sicherheits-Prozesse und -Maßnahmen
  • Verbesserung des Informations-Sicherheits-Systems (ISMS)
  • Beteiligte informieren.

 

Fazit?

Stellen Sie sicher, dass Sie für jeden Prozess die jeweilige Zielsetzung definiert und kommuniziert haben. (Siehe Inhalte einer Idealen Prozessbeschreibung )

Erinnern Sie sich an den PDCA Zyklus, und prüfen Sie noch mal ob Sie diese Ansätze implementieren.

Beschäftigen Sie sich mit der Unternehmensstrategie zur Informationssicherheit

Beschäftigen Sie sich mit den Strategien der organisierten Cyber-Kriminellen.hcse

Beschäftigen Sie sich mit den Angriffsmodellen



Viel Erfolg!

Vielen Dank für Ihren Besuch, 

Ihr Konstantin Ziouras


Quellen:

SANS - Cyber Security Trainings "https://www.sans.org/emea/"

NIST - National Institute of Standards and Technology  "https://www.nist.gov/cybersecurity"

Lockhead Martin - The Cyber Kill Chain "https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html"

von Konstantin Ziouras 8. Juli 2024
Haben Sie es schon mitbekommen? IAF und ISO haben die ISO Normen für Management Systeme des Typs A jeweils um einen Anhang erweitert, welcher die Auswirkungen des Klimawandels auf Ihre Management Systeme adressiert. d.h. Unternehmen mit einem Management System nach der Norm ISO 9001 oder der ISO / IEC 27001, müssen folgendes berücksichtigen: (lesen Sie weiter)
von Konstantin Ziouras 8. Februar 2024
Fragen Sie sich manchmal wofür machen Sie den ganzen Aufwand mit einem Qualitätsmanagement System, oder schlimmer, mit einem Informationssicherheitsmanagement System? Finden Sie zurück zurück zu Sinn und Zweck. Entdecken Sie worum es geht, Mein Zauberwort ist "Sicherstellen". Was ist ihnen so wichtig, dass Sie es nicht der Tagesform ihrer Selbst oder Ihrer Mitarbeiter überlassen? Was ist ihnen so wichtig, dass Sie es nicht dem Zufall überlassen wollen?
von Konstantin Ziouras 31. Januar 2024
Zu Management Systemen gehören Planungsdokumente, es gibt oft Pläne, Konzepte Strategie-Papiere. Manch Dokument ist besser, manches dürftiger, deshalb ein paar Gedanken dazu, in beliebiger Reihenfolge: Was ist ein Plan? Was ist eine Strategie? Zuerst kommt die Strategie, das ist der Blick auf das ganze, diese enthält was wir wollen, was wir steuern können und die ganzen Ungewissheiten und Abhängigkeiten. Dann kommt der Plan (oder Pläne) mit dem Konkretem was planen zu tun, also unser Beitrag, Schritt für Schritt! Am besten finde ich, Sie müssen gar nicht einverstanden sein, mit meinen weiteren Darlegungen! Hoffentlich finden Sie für sich, was Sie jeweils darunter verstehen. Eine Strategie… beschreibt eine Theorie, beschreibt unseren Wunsch, als ein zu erreichendes Ziel, und den Weg, den wir gehen wollen, den Weg den wir zu gehen bereit sind, um dieses Ziel war werden zu lassen! Eine Strategie… Ist langfristig, enthält eine kohärente zielorientierte Logik, enthält kohärente Ziele, enthält aufeinander abgestimmte Aktivitäten, Fähigkeiten, zu erzielende Ergebnisse enthält Aktivitäten welche zusammen als Ganzes, die Erreichung von Unternehmenszielen verfolgen, verfolgt Ziele, welche für das Unternehmen erstrebenswert sind, orientiert sich an ein bestimmtes Ergebnis, welches wir erreichen wollen, berücksichtigt vorhandene und neue Kunden, die unsere Produkte oder Dienstleistung haben wollen, erlaubt leider nicht das Kundenverhalten zu kontrollieren oder zu steuern, aber gibt den Weg vor, den WIR gehen wollen, und zu gehen bereit sind, Berücksichtigt, interessierte Parteien, und eine konsistente Kommunikation zueinander / miteinander, intern, extern. Strategien bringen in der Regel eine emotionale Sorge mit sich „wird es so wie wir uns das Vorstellen?" Akzeptieren wir diese „Ängste und Sorgen“, Strategien führen NICHT zu „Vorhersagen“, sondern zu einem Wunschszenario, Strategien laufen entlang der zugrundeliegenden Logik, solange die äußeren Einflussfaktoren mitspielen, Strategien bedürfen der Anpassung im Verlauf der Umsetzung! Strategie – kurz gefasst: Das ist unser Spielplatz / unsere Umgebung, die uns bekannten Rahmenbedingungen und Randbedingungen (unser Markt)! was wollen wir erreichen, (Ziel)! wie wollen wir es erreichen, (Plan)! welche Fähigkeiten setzen wir ein, (wir und unsere Kollegen/innen)! Das ist unser Management System, das ist unser Versuch sicherzustellen, dass wir unser Ziel erreichen! Eine gute Strategie enthält… eine Chancen- und Risikobetrachtung / Risikobewertung, eine Erfolgskontrolle, um unser Verhalten den laufenden Gegebenheiten anzupassen, einen Kommunikationsplan, und einiges mehr... Ein Plan ist in der Praxis unvollständig… ist leider oft eine Liste von Aktivitäten, Maßnahmen, enthält oft Aktivitäten welche nicht zwingend in sich zusammen kohärent sind, enthält oft Aktivitäten welche nicht zwingend ein gemeinsames Ziel verfolgen, berücksichtigt oft keine konsistente Kommunikation (intern, extern) zielt in der Regel auf die Ressourceneinteilung und Ressourcen Zuordnung ab. Pläne bringen in der Regel eine emotionale Gemütsruhe „wir haben es geplant, wir wissen was wir tun“, Planen ermöglicht meist eine Kostenkontrolle, Planen führt zu „Vorhersagen“ können kurz, mittel, oder langfristig sein, enthalten meist Aktivitäten die wir kontrollieren und steuern können, das ist sehr gut, regeln in der Regel die Ressourceneinteilung und Ressourcen Zuordnung etc.... Ein Plan sollte mehr sein als eine Liste von Aktivitäten, ein Plan sollte obige Versäumnisse vermeiden, eine Einführung haben, Ziele definieren, auf die Ziele angepasste konkrete Arbeitsergebnisse definieren (Deliverables / Output), einen Zeitplan und Meilensteine enthalten, Ressourcen festlegen, Verantwortung und Aufgabenverteilung regeln, interne / externe Mitwirkungspflichten definieren, Kommunikationswege und konsistente Kommunikations-Inhalte enthalten (intern / extern), Evtl. auch ein Risikomanagement enthalten oder mindestens berücksichtigen, eine Erfolgskontrolle enthalten! und ja, das komplizierteste sind dann ganze Projektpläne, davon kann man viel lernen, aber es kann auch zu viel des Guten sein! Ein Konzept... enthält eine konkrete Beschreibung einer Aufgabe und des Lösungsweges, Ein Konzept beantwortet: Warum Wie Wann Ein Konzept enthält einen verständlichen Titel, eine Zusammenfassung / Einleitung, eine Einführung, ein Ziel/Ziele, eine Begründung und Vorteile / Nachteile, eine Beschreibung über eingesetzte Methoden, Ressourcen, Materialien, den Weg / Plan / Umsetzungsschritte, die Zeitachse, Verantwortlichkeiten (und denken Sie an Vertretungsregelungen), Evtl. auch eine Risikobewertung / Risikobetrachtung, Notwendige Dokumentation, Qualifikation / Schulungsmaßnahmen, und falls nötig referenziert es auf weitere mit geltende Dokumente... Lessons learned: Es gibt Überschneidungen, es gibt Unterschiede, Sie sehen es so, oder nicht, sorgen Sie für sich für die Klarheit die Sie benötigen! Definieren Sie was das, was für Sie wichtig ist! Legen Sie den Zweck/Umfang/Inhalt Ihrer Dokumente in ihrem Management System fest, sodass Ihre Dokumente Ihrem Unternehmen einen maximalen Wert bringen. Beschreiben Sie in jedem Dokument, an erster Stelle nach dem Titel, den Zweck eines Dokuments, legen Sie per Inhaltsverzeichnis im jeweiligen Template den Umfang fest. (Lesen Sie auch: Inhalte einer Idealen Prozessbeschreibung https://www.ziouras-consulting.com/inhalte-einer-idealen-prozessbeschreibung ) Schon sind diese Hilfsmittel und Dokumente wertvoller, und können nur noch mit der Zeit besser werden. Viele Erfolg Ihr Konstantin Ziouras
Risk-Bowtie
von Konstantin Ziouras 29. Januar 2024
Tun Sie sich manchmal etwas schwer in die Risikoanalyse einzutauchen? Manchmal brauchen wir eine neue Betrachtungsweise! Manchmal ist es schwierig Bücher oder Normen zu verstehen, manchmal ist es schwierig einen gemeinsamen Blickwinkel mit Kollegen oder Beratern zu finden. Manchmal sieht man den Wald vor lauter Bäumen nicht. Risikoanalyse einmal anders? Vielleicht bringt Sie dieser Ansatz auf neue Ideen! Die Bowtie Methode für die Risiko Betrachtung (Bowtie = Die Fliege zum Anzug) Dieser Betrachtungsansatz lässt sich breit benutzen, für Prozesse, Produkte, FMEA, Benutzung gefährlicher Substanzen, Automotive, Medizintechnik, Informationssicherheit, Qualitätsmanagement etc. Ein Bild spricht mehr als Tausend Worte! Auf einen Blick: im Zentrum die mögliche Gefahr, Welche Ursachen kann es dafür geben? Was können wir im Vorfeld tun? Schulungen, Technische, organisatorische Maßnahmen, etc.? Was können wir, oder müssen wir tun, wenn es doch passiert? Wie reagieren wir? Welche Konsequenzen sind möglich?
von Konstantin Ziouras 28. Juni 2023
Artificial Intelligence ist keine Modeerscheinung mehr! Es sind neue Angebote auf dem Markt, die sich etablieren, die vieles verändern werden. Es sind machtvolle Tools, und die Versuchung ist groß, diese zu benutzen. Warum auch nicht? Nur, welche Risiken ergeben sich? Welche Chancen können genutzt werden? Was sollte davor geregelt und geklärt werden?
Information Bias. Confirmation Bias
von Konstantin Ziouras 17. April 2023
Wenn wir ein Thema untersuchen oder erarbeiten, sind wir immer voreingenommen! Auch wenn es im bestmöglichen Sinn gemeint ist, überhaupt nicht negativ, wir sind voreingenommen, und vorgeprägt, durch... unsere Persönlichkeit - ICH denke also bin ICH unsere Art Dinge anzugehen - ICH mach das so unsere bewusste Erfahrungen - ICH habe das x Mal so gemacht… unser bewusstes Training – Ich habe das so gelernt, mein Meister hat es mir so gezeigt unsere unbewussten antrainierten Denkmuster, Motorik und Reaktionen Wir fangen ziemlich alles mit einer ersten Meinung an. Die Frage ist, ob wir an dieser Meinung zwanghaft festhalten müssen, oder ob wir einsichtig neue Erkenntnisse, und neue Wege zulassen, wenn es sich als nötig oder sinnvoll erweist? Erkennen wir überhaupt, dass es sinnvoll oder nötig wäre eine existierende Meinung zu ändern?
von Konstantin Ziouras 15. April 2023
Sie tun sich anfangs schwer? Wo und wie beginnen Sie mit einem neuen Information-Sicherheitsmanagement-System (ISMS)? Gehen wir das zusammen Schritt für Schritt durch. Wir finden Orientierung in der Norm (egal welche Version, am besten immer die aktuellste :-) z.B. ISO27001, Kapitel 4 4.1 Kontext: Was ist die Strategische Ausrichtung des Unternehmens? Welche Interne und externe Einflussfaktoren sehen Sie? Welche positive Aspekte erkennen Sie, und welche negative Aspekte befürchten Sie mit einem ISMS? 4.2 Interesierte Parteien Welche interne und externe Parteien sehen Sie in Ihrem Umfeld? Was sind deren Anforderungen? 4.3 Scope des ISMS Was wollen Sie mit Ihrem ISMS beschützen? Wofür soll Ihr ISMS gelten? Was sind Ihre Produkte bzw. Dienstleistungen? Welche Standorte haben Sie? Wer sind Ihre Mitarbeiter und Abteilungen? Was sind die bei Ihnen eingesetzte Technologien? Wie ist Ihr Netzwerk aufgesetzt? Welche Prozesse haben Sie in Ihrem Unternehmen (Kernprozesse, Unterstützungsprozesse, ausgelagerte Prozesse, Management Prozesse) Was sind die Schnittstellen zwischen Ihren Prozessen? Wie lenken Sie ausgelagerte Prozesse? So geht es weiter, Schritt für Schritt! Ist es kompliziert? Nein! Nicht, wenn es transparent ist, und verständlich gemacht wird! Ist es komplex? Ja! Deshalb unterstütze ich Sie gerne! Ich führe Sie mit den richtigen Fragen, und unterstütze Sie dabei die Antworten zu finden! Umfassend, bis zur Zertifizierung, mit Fachwissen, Erfahrung und die Fähigkeit in den Normen zwischen den Zeilen zu lesen... Detaillierte Analyse, Prozess-Dokumentation, Optimierung, Ergänzung, Neuentwicklung, Entwurf und Dokumentation von Richtlinien, Awareness-Training für Mitarbeiter, Risiko Management Training für die ISMS verantwortlichen Personen, Implementierung von Maßnahmen (Controls) Audit. Verständlich, nachhaltig, entwicklungsfähig, menschlich, auf Augenhöhe, für Sie! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras
von Konstantin Ziouras 8. April 2023
Der Industriespion der keiner sein will – Künstliche Intelligenz und ChatGPT als Spion! Spätestens jetzt ist es für Unternehmen und Organisationen nötig ihre Haltung zu K ünstlicher I ntelligenz (KI) bzw. ChatGPT zu überdenken und festzulegen. Warum sollte das für Sie relevant sein, auch wenn scheinbar keine Berührungspunkte bestehen? Vorfall 1: Samsung Kürzlich wurde in diversen Medien berichtet, dass Entwickler des koreanischen Unternehmens Samsung, Software Code mit dem Sie Probleme hatten, in ChatGPT eingegeben haben, um Hilfe zu bekommen. Eigentlich eine wundervolle Idee könnte man meinen, da doch viele Tutorials im Internet rumgeistern, wie ChatGPT beim Programmieren und bei der Fehlersuche hervorragend unterstützen kann. Ja, ABER: Die Mitarbeiter haben unbedacht „proprietären Software-Code“ in ChatGPT eingegeben. Ohne Non Disclosure Agreements, ohne Beratungs-Vertrag, ohne interne Klärung der Konsequenzen, ohne Risiko Management! Unter Missachtung der Warnung im Kleingedruckten von ChatGPT "keine geheimen Informationen einzugeben" haben Sie eigenmächtig gehandelt, um Probleme zu lösen. ChatGPT ist eine lernfähige KI, die aus allen Eingaben weiter lernt. Dies gilt für alle öffentlich zugängliche Varianten, die derzeit im Umlauf sind, und Begeisterungsstürme auslösen. Nun sind die benannten Code Bestandteile nicht mehr geheim, sondern evtl. öffentlich zugänglich, oder nur mit viel Aufwand wieder löschbar. Vorfall 2: Lerninstitute Begeisterte Schüler bzw. Studenten experimentieren und lassen sich Texte schreiben. Auch andere Personen! Ist das nicht herrlich, was die KI alles schneller und besser kann? Wir erleben ein Stück Science-Fiction live mit! Wir sind dabei! JA, ABER: Grundsätzlich spricht nichts dagegen, zu experimentieren. Auch hier gilt. Bitte an mögliche Konsequenzen und Regeln für alle denken! Es sollte klare Spielregeln geben, für alle Beteiligte, bzgl. Nutzungsmodelle: Es gibt Themen die womöglich zu Streitigkeiten, Disqualifizierung oder späterer Rufschädigung führen können. Regeln zu Quellenangaben, Plagiarismus, Benotungen, Aufsätze, Diplomarbeiten, Doktorarbeiten! Bisherige Regeln decken nicht die Benutzung einer KI akademischer Ausbildung und Arbeit! Wie steht es mit geistigem Eigentum etc.? Die Skandale mit diversen plagiierenden Politikern waren und sind nur eine mögliche Konsequenz. Lessons learned: Es gibt sicherlich gute und legitime Anwendungen einer KI, es gibt sicher auch unerwünschte. Spätestens jetzt ist es Zeit für Organisationen darüber nachzudenken, und zu solchen Themen klare Spielregeln zu definieren, z.B. a) mit einer „Richtlinie zur Benutzung von Künstlicher Intelligenz“ (Policy), oder b) mit entsprechenden Ergänzungen Ihrer existierenden Richtlinien, z.B. Richtlinie zur Internet-Nutzung Nachtrag: Andere unabsehbare Konsequenzen müssen wir weiterhin beobachten, z.B. "verbesserte Cyber Attacken" unter Mitwirkung von KI. Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras
von Konstantin Ziouras 1. April 2023
Wie kann ein Cyber Angriff noch persönlicher werden als ein persönliches Scam-Email, bezüglich Ihres "Amazon Kontos", "Google Kontos", "Strom", oder "Telefon Kontos"? Geht es noch glaubhafter, noch perfider? JA, es geht! z.B. mit öffentlich zugänglichen kostenlosen Informationen aus dem Handelsregister, aus öffentlichen Auktionen, öffentlichen Gerichtsverhandlungen usw.
von Konstantin Ziouras 20. März 2023
Begriffe für Tools im Einsatz in der Informationssicherheit Der wichtigste Effekt den Sicherheitstools bieten ist „ Visibilität “. Die Verteidiger der Informationssicherheit, müssen sehen können , sehen was im Verborgenen passiert. Je nach Tool, unterscheiden und definiert der Hersteller, wo Licht ins Dunkle gebracht werden kann, in welche Hardware-Komponenten, in welche digitalen Komponenten, welche Zustände und welche Zustandsänderungen erfasst, erkannt, in Bezug gebracht, gemeldet und visualisiert werden können; welche Filter und Feineinstellungmöglichkeiten angeboten werden. Nun zur Übersicht einige Begriffe: SOC: Security Operations Center ISOC: Information Operations Center GSOC: Global Security Operations Center Die Schaltzentrale, das Cyber Security Team, welches die Cybersecurity Vorfälle (Security-Incidents) überwacht, identifiziert, analysiert, und hoffentlich behebt; wenn möglich 365 Tage pro Jahr, 24 Stunden pro Tag. Dies sind die Helden, die sich um die Überwachung und Bearbeitung der Alarme, und das Cyber Incident Management kümmern. Für das SOC sind wichtig: Strategie, technische Lösungen, Prozesse, Schulungen, Kontinuierliche Verbesserung NOC: Network Operations Center Ein Team welches sich um die Netzwerk Leistung und Geschwindigkeit kümmert. SEM: Security Event Management Ein Tool, welches Echtzeitanalysen und Echtzeitberichte erstellt und dem SOC zur Verfügung stellt. Ein Event ist alles, was in den Systemen und im Netzwerk passiert, die normalen Aktivitäten und die „unerlaubten“. Wir interessieren uns um die "schlechten". SIM: Security Information Management Ein Tool, welches für die Erfassung und Verwaltung von Logfiles und weiteren sicherheits-relevanten Daten benutzt wird. Die protokolierten Daten werden analysiert. Wenn Events gewisse voreingestellte „Grenzwerte“ überschreiten, werden Meldungen ausgegeben. Hier liegt die Kunst der Einstellungen, um sinnvolle Filter und Grenzwerte zu generieren. Ein Event welches gemeldet wird, kann als Warnung oder als Alarm eingestuft sein. Es kann falsch Positive und falsch Negative Alarme geben. SIEM: Security Incident and Event Management Ein einzelnes Sicherheitsmanagement-System, welches Aktivitäten im Netzwerk sichtbar und transparent macht, welches beide Aufgaben übernimmt, als SEM und als SIM. Hier werden Maschinendaten in Echtzeit aus vielen Quellen (Endpoints) gesammelt, analysiert, kategorisiert und bewertet! Je nach Trigger werden Alarme ausgegeben. Das SOC Team arbeitet mit diesen Alarmen, Daten und Berichten, versucht Vorfälle möglichst frühzeitig zu erkennen, von den falschen Alarmen zu trennen, und reagiert auf die Vorfälle. Je moderner das SIEM Tool, desto fortschrittlichere Fähigkeiten hat es. (Modernere haben extravagante Bezeichnungen wie „Next Gen SIEM“ o.ä. Ein SIEM kann Daten aus verschiedensten Quellen aggregieren, z.B. Server : Webserver, Proxyserver, Mailserver, Fileserver, FTP-Server Netzwerkgeräte: Router, Switches, Wireless Access Points, Modems, Leitungstreiber, Hubs Sicherheitsgeräte: IDP/IPS (Intrusion Detection und Intrusion Prevention System), Firewalls, Antivirus-Software, Content-Filter... Applikationen / Programme: Sehr vielfältig, um nicht alle zu sagen. Ein SIEM kann auf viele Metadaten bzw. Attribute achten, und diese auswerten: Benutzerkonten, Prozesse, Events, IP Adressen, Speicher… Dabei werden Änderungen erkannt (Prozessstart, Stop, Anlegen eines Benutzerkontos, Benutzen eines Benutzerkontos, um sich einzuloggen, Berechtigungsänderungen eines Benutzerkontos etc. EDR: Endpoint detection and Response Systeme die Bedrohungen innerhalb der definierten Endpunkte erkennt und darauf reagiert. Prinzipielle ähnlich wie ein SIEM, aber fokusiert auf Endpoint Geräte, als Clients, Computer, Server, Mobile Devices. In der Regel arbeiten diese Systeme mit „Endpoint Agents“, also Applikationen am Endgerät. Diese Agieren wie bessere Antivirus Software, schützen gegen Malware, Dateien und Programmattacken, und erkennen auch Verhaltensmuster. Wegen der Verhaltensmustererkennung sind sie besser als Anti Virus Software die „nur“ bekannte Signaturen detektiert, und besser als SIEM nur im Einsatz auf Endgeräten. EDR ergänzt SIEM, liefert wertvolle Logfiles (Protokolle) für das SIEM, und kann auch durch Automatismen bestimmte Angriffe abwehren. XDR: Extended Detection and Response Dieses sind modernere EDR-Systeme, welche Daten aus immer mehr Endgeräten erfassen, auswerten und korrelieren. Das wichtigste sind die Korrelationen und Zusammenfassungen von "scheinbar unabhängigen Alerts" zu einem zusammenhängenden Vorfall. Sie wirken automatisch und clients, Applications, auf mehreren Sicherheitsebenen, vollständiger, z.B. Endpunkte wie EDR, und E-Mail, Benutzerkonten, Server, Cloud, SaaS, Netzwerk, Datenbanken, und generell alles Assets. Dies ermöglicht eine schnellere Erkennung von Bedrohungen und verbesserte Untersuchungs- und Reaktionszeiten und Abwehrmechanismen durch das SOC Team. Es konzentriert die Aufwände, anstatt vielen kleinen einzelnen Alerts nachzujagen, auf wenigere, aber zusammenhängende. MDR: Management Detection and Response Hier handelt es sich um eine Dienstleistung in Kombination mit oben beschriebener Technik. Dies ist für Unternehmen die kein eigenes SOC Team 24/7 parat haben, interessant! Hier teilen sich Menschen und Technik die Erkennung, Filterung und Auswertung und Feinjustierung von Alarmen, und „Verhinderung von Bedrohungen“, als Dienstleistung! Diese Spezialisten-Teams helfen auch bei „Reparatur“ Aufgaben falls nötig. SOAR: Security, Orchestration, Automation and Response SOAR ist eine vollständige Plattform, eine Schaltzentrale um SOC Teams zu managen und zu unterstützen. Hier werde diverse Cyber-Sicherheits-Tools z.B. SIEM, DER; Firewalls, über Schnittstellen eingebunden. Es können große Mengen an Informationen verarbeitet werden, Alarme priorisiert und bearbeitet werden. SOAR beinhaltet Automation und vordefinierte Szenarien, Workflows etc., um Entscheidungen zu erleichtern und Reaktionen zu beschleunigen. Workflows können auch zur Überprüfung in Einsatz kommen, um Alarme abzuarbeiten, und falsche Alarme herauszufiltern. Ebenfalls sind in der Regel Incident Ticket Protokollierung, Nachbearbeitung, Berichtswesen und Wissensdatenbanken integriert. Als Mechanismen haben wir also: Präventiver Schutz vor einer "Infektion", Erkennung und Verhinderung von Malware vor einer "Infektion" durch Erkennung bekannter Dateitypen, digitaler Signaturen, digitaler "Antikörper" Manche Malware ist neu, oder alte wurde verändert um einer Erkennung zu entgehen. Hier ist wichtig: Reaktive Detektion nach einer "Infektion", durch Erkennung von Verhaltensmuster. Malware, wenn einmal drin, muss etwas tun, die nächsten Schritte sind oft typisch für verschiedene Angriffsarten. Je nach hinterlegten Regeln, Workflows, Logikbäumen, Vergleichs-Algorithmen, können Benutzerkonten/Systemkonten Prozesse, Dateien, Kommunikation etc. analysiert werden, Alarme gegeben werden und automatische Reaktionen ausgeführt werden. Response und Recovery... Lessons Learned: Mesch: Es bedarf wie immer, Menschen und Technik. Die Menschen müssen Ihre eigesetzte Technik kennen, verstehen, und beherrschen, sowohl die Technik für die Geschäftsprozesse als auch die Technik für die Sicherheitsüberwachung. Maschine: Namen sind Schall und Rauch: Es kommt darauf an, was genau die eingesetzte Lösung kann, was sie nicht kann, wie sie eingestellt ist, wie modern, und wie anpassungsfähig auf neue Gefahren sie ist, wie sie kombiniert werden kann. ISMS: Mensch, Maschinen, Strategien und tolle Konzepte und Richtlinien dokumentiert auf Papier. Letztendlich kommt es darauf an, wie lernfähig das gesamte Informationssicherheitsmanagement System ist und bleibt, welche Strategie es verfolgt, wie diese umgesetzt wird... Vieles hängt davon ab, wie "Risiken bewertet" werden, wie Logikfehler durchrutschen oder vermieden werden, und wie Sie am Ball bleiben! Alles Gute, viel Erfolg! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras P.S. Tools in der Übersicht: https://www.gartner.com/reviews/market/security-information-event-management und Suchen Sie nach den Stichworten: magic quadrant for siem 2022
Weitere Beiträge
Share by: