Erlangt ein Angreifer Zugriff auf das Netzwerk, stellt sich zu Beginn der Aufklärung immer dieselbe Frage: Wo fängt man an? Denn die Bewegungsmöglichkeiten des Angreifers sind vielfältig. Es ist daher ratsam, geeignete Vorbereitung mittels präventiver IT-Forensik zu treffen, um im Nachhinein die Bewegungen von Angreifern besser nachvollziehen zu können. Aller Anfang ist schwer Ein Angriff auf die Intrastruktur eines Unternehmens richtet wirtschaftlichen Schaden an. Um ihn genauer einschätzen zu können, muss eine Analyse des Netzwerkes durchgeführt werden. Folgende zwei Fragen zu Beginn zu beantworten, erleichtert den Start in die Analyse: Welche Daten müssen gesichert werden? Diese Frage ist nicht pauschal zu beantworten. Angriffe unterscheiden sich oft in ihrem Verhalten und ihrer Intensität. IT-Forensiker müssen sich dabei in den Vorfall hineindenken, mögliche Bewegungsmuster des Angreifers erkennen und überprüfen, ob diese Bewegungen durch hierauf bezogene Einstellungen in dem System protokolliert wurden. Beispielweise können legitime Tools zweckentfremdet werden, um einen unberechtigten Zugriff auf weitere Server zu erlangen. Was hat das kompromittierte System vor, während und nach dem Angriff im Netzwerk gemacht? Dabei müssen IT-Forensiker mithilfe der zuständigen IT-Administratoren identifizieren, welche Bewegungen im Netzwerk legitim sind und welche dem Angriff zugeordnet werden können. Im Zuge dessen kann die zuvor genannte Frage wieder an Relevanz gewinnen, da ggf. Auffälligkeiten zu weiteren Systemen führen und weitere Daten gesichert werden müssen. Hoher oder niedriger Schaden? Das ist hier die Frage Ist absehbar, was das kompromittierte System im Netzwerk gemacht hat, kann auch die durch den Angriff verursachte Schadenssumme geschätzt werden. Diese setzt sich dabei aus verschiedenen Punkten zusammen. Unter anderem ist relevant, ob Daten abgeflossen sind und wenn ja, welcher Qualität und in welcher Quantität. Besteht eine Pflicht zur Meldung des Vorfalls bei Behörden und/ oder Kunden und Geschäftspartnern? Entsteht dadurch möglicherweise ein Imageverlust? All diese Informationen lassen sich aus den gesicherten Daten bzw. Beweisen ermitteln. Logdateien: Entscheidend für den Erfolg Es gibt mehrere Typen von Beweisen, welche bei der Aufklärung des Vorfalls helfen können. Zu nennen wären u.a. Pcap-Dateien, also Netzwerkmitschnitte. Ein sogenannter Sniffer erfasst dabei Daten aus den bestehenden Netzwerkverbindungen und schreibt diese in eine Datei. Gleiches können übrigens auch Angreifer zur Informationsgewinnung nutzen. IT-Forensiker bedienen sich dieser Technik allerdings, um dem Angreifer auf die Schliche zu kommen und um einen möglichen Datenabfluss festzustellen. Dabei ist es wichtig, dass der Analyst den Typ der Schnittstelle und damit die Datei versteht und richtig interpretiert. Er muss verstehen, wie eine Pcap-Datei entstanden ist und welche Informationen diese beinhaltet. Er muss zwischen normalem und unnormalem Netzwerkverhalten differenzieren können. Auch Logs vom betroffenen System und anderen Netzwerkgeräten können die vorhandenen Informationen hinsichtlich eines Angriffes anreichern und Hinweise auf laterale Bewegungen geben. Diese Dateien lassen sich jedoch sehr leicht absichtlich oder unabsichtlich modifizieren bzw. löschen. Gut für den Angreifer, schlecht für den IT-Forensiker. Es ist daher wichtig, die Integrität dieser Dateien zu verifizieren. Das kann durch Hashwertabgleich und Zugriffsbeschränkungen erfolgen. Ein durchdachtes Backup-Konzept von Logdateien kann sich an dieser Stelle auf die Aufklärung eines Vorfalls positiv auswirken. Die Dauer der Aufbewahrung von Logdateien stellt immer wieder einen Konflikt zwischen den Bereichen IT-Forensik und Datenschutz dar. In Logdateien werden mitunter personenbezogene Daten gespeichert, weshalb oft von einer längeren Speicherung abgesehen wird. Das ist fatal und widerspricht zumeist Art. 32 DSGVO. Ohne Logdateien fehlen IT-Forensikern bei der Aufklärung eines Incident-Response-Vorfalls wichtige Spuren, welche die Analyse entscheidend unterstützen und beschleunigen können. Mithilfe von Logdateien können die Spuren des Angreifers detaillierter nachverfolgt werden. Ohne Logdateien lässt sich möglicherweise das Einfallstor nicht identifizieren und schließen. Dies ist für die Lessons Learned sehr wichtig, um einen erneuten Angriff vermeiden zu können. Das Ende vom Lied Aufgrund der vielen Möglichkeiten in ein Netzwerk einzudringen, gibt es keinen Königsweg zur Sammlung von Hinweisen. Die Erstellung von Netzwerkmitschnitten, die erst nach Bekanntwerden des Angriffs vorgenommen wird, ist nur sinnvoll, wenn sich der Angreifer noch im Netzwerk bewegt. Das wird er in aller Regel nur tun, wenn er sich in Sicherheit wähnt. Vorsorge ist daher besser als Nachsorge. Die richtigen Logdatei-Einstellungen führen dabei nicht nur zu einer schnelleren Identifizierung von Angriffen, sondern auch zu einer umfassenderen Aufklärung. Daher werden wir auch nicht müde auf die Faustformel für Logdateien hinzuweisen: So viel wie möglich mitloggen, so wenig Zugriff wie möglich zulassen. Beitrag hier kommentieren |