Weshalb jedes Unternehmen ein Incident Response Playbook braucht

Notwendigkeit eines Incident Response Playbooks

Mittlerweile sind viele Unternehmen im Bereich Internetkriminalität und staatlich gesteuerter Attacken einer an Umfang und Komplexität zunehmenden Bedrohungssituation ausgesetzt. Täglich werden neue Versuche gestartet, Firmen anzugreifen, um Finanzmittel, Geschäftsgeheimnisse oder Wissen abzugreifen oder das Unternehmen anderweitig zu schädigen.

Die schnelle und teilweise disruptive Entwicklung der organisierten Internetkriminalität, kombiniert mit den Entwicklungen der fortschreitenden Digitalisierung in Wirtschaft und Gesellschaft, führt zu steigenden Risiken, was sowohl die Wahrscheinlichkeit von Ereignissen betrifft wie auch das Schadensausmass.

Vor diesem Hintergrund ist es unerlässlich, mehr in die Erkennung, Reaktion und Wiederherstellbarkeit von Cybervorfällen zu investieren, beispielsweise durch die Erstellung eines Incident Response Playbooks inklusive deren kontinuierliche Überprüfung. Das Incident Response Playbook kann man auch als Reaktionsplan während eines Cybervorfalles oder als Notfallplan bezeichnen.

Dazu gesellt sich das Phänomen der Theorie des schwarzen Schwans: Es tauchen in jeder Cyberkrise unerwartete Dinge auf. Umso wichtiger ist die Existenz eines Incident Response Playbooks, das jedem Unternehmen mit komplexer IT-Infrastruktur ein schrittweises Vorgehen vorschlägt.

Um nicht ein leichtes Opfer eines Cyberangriffs zu werden, ist Prävention in all ihren Facetten ein elementarer Faktor. Es sollte ein Reaktionsplan existieren, der durch regelmässige Iterationen und Feedbacks aktualisiert und in die jeweiligen Notfallprozesse der Unternehmung integriert werden muss.

NIST Special Publication

Gemäss der NIST Special Publication 800-61 soll das Incident Response Playbook vier Phasen beinhalten: "preparation, detection and analysis, contain/eradicate/recover, and post-incident activity". In der nachfolgenden Betrachtung soll der Schwerpunkt auf einen internen Malware- oder Ransomware-Vorfall gelegt werden.

Michael Fuchs, Senior Information & Cyber Security Consultant, Switch. (Source: Netzmedien)

Der Vollständigkeit halber sei an dieser Stelle erwähnt, dass es durchaus sinnvoll ist, für weitere Typen von Cybervorfällen oder Angriffen ebenfalls ein dediziertes Playbook zu erstellen: Datendiebstahl inklusive Erpressung durch Veröffentlichung, Distributed Denial of Service (DDoS), Phishing, unbefugtes Eindringen und Lateral Movement.

Incident Response Playbook - Ausprägung Malware Breakout

Vorbereitung auf einen Angriff, "preparation"

Unternehmen sollen die Verantwortlichkeiten und Zuständigkeiten einer Notfallorganisation schon vor einem Angriff festlegen und schriftlich festhalten. Dazu gehört auch die Festlegung der internen und externen Kommunikation im Falle einer Krise. Insbesondere sollten die Zuständigkeiten im Vorfeld so ausgestaltet sein, dass im Ernstfall "kompetent" und in kurzer Zeit folgende technischen Sofortmassnahmen umgesetzt werden können:

• Isolierung von potenziell infizierten Endgeräten oder Server.

• Deaktivierung von VPN-Verbindungen (Lieferanten, Kunden, Mitarbeiter, etc.).

• Isolierung eines gesamten Netzwerksegments.

• Deaktivierung der Internetverbindung.

Darüber hinaus sollten im Vorfeld folgende Vorbereitungen getroffen werden:

• Verfügbarkeit eines separaten VLANs für die Endpunktisolierung von infizierten Komponenten.

• Definition eines Prozesses für regelmässige Aktualisierungen des Inventars.

• Existenz eines getesteten Deployment-Systems (Client-Engineering, Server-Aufbau und Konfiguration via Ansible/Puppet).

• Überprüfung des AV-Status inklusive Verarbeitung von AV-Warnungen an einer zentralen AV-Verwaltungskonsole.

• Verifikation von internen aber auch externen Eskalationspfaden (Rechtsabteilung, Kommunikationsabteilung, Einbezug ISP, externer SOC-Dienstleister, externes CERT).

• Im Vorfeld kann ein Cyber Risk Assessment (ISO 27005) inklusive einer Businessimpact Analyse helfen, die Priorität auf die relevanten Assets zu legen. Eine nachvollziehbare Bewertung und Dokumentation von Risiken kann in einer Risiko-Berichterstattung erfolgen.

• Einbezug von Drittparteien in die Risikobetrachtung (Partner, Dienstleister, Lieferanten von Hard- und Software, Outsourcing-Anbieter oder Cloud-Service-Anbieter). Durch die Implementation von Anforderungen an die Cybersecurity in formale Verträge können Risiken bereits gezielt minimiert werden.

Ein Modell, dasbeim Aufbau der eigenen Cyberabwehr helfen kann, ist die Cyber Kill Chain. Was sie ist und was sie eben nicht ist, erfahren Sie hier.

Während des Angriffs, "detection and analysis"

• Bei bekannter Malware: Überprüfung, ob die AV auf dem neusten Stand sind und anschliessende Durchführung eines vollständigen Scans auf allen Systemen.

• Es muss überwacht werden können, wenn Malware vorhandene AV/Endpunkt-Sicherheitslösungen deaktiviert.

• Identifikation von unbekannten oder unerwarteten Diensten oder Anwendungen, die beim Systemstart automatisch gestartet werden und unerwarteten ausgehenden Internet- oder Netzwerkverkehr. Indikatoren: Netflow Analyse der ausgehenden Datenpakete, erhöhte Ressourcenauslastung (CPU, Netzwerk) oder Prozessmonitoring.

• Identifikation der Infektionsquelle (SOC/Netzwerksicherheit: E-Mail-, Proxy-, Firewall- oder IDS Protokolle).

• Erste Validierung von IOCs (Indicator of compromise) durch beispielsweise: Überprüfung der URL, IP oder HASH via "exchange.xforce.ibmcloud.com", Überprüfung der URL, IP oder HASH via "virustotal.com/gui" oder Überprüfung mit weiteren Tools wie alienvault.com etc.

• Identifikation von ungewöhnlichen Logins oder "lateral movement": erfolgreiche oder fehlgeschlagene Anmeldungen mit Konten auf Systemen, die sich normalerweise nicht auf diesen Systemen anmelden.

• Identifikation von kompromittierten Daten (Indikatoren oder externe Unterstützung: grosse Anzahl geänderter Files oder fehlgeschlagener Anmeldungen, Überprüfung der "Kronjuwelen", Konsultation eines CERTs oder anderen externen Providers für Dark Web Monitoring nach "leaked credentials", Opensource Intelligence Tools).

• Identifikation der betroffenen IT-Dienste (ungewöhnlicher ein- und ausgehender Netzwerkverkehr, Anomalien in der Aktivität privilegierter Benutzerkonten).

• Identifikation und Überprüfung von Schwachstellen, die zum aktuellen Zeitpunkt ausgenutzt werden.

• Extrahieren und zweite Validierung von IOC Daten via Sandbox-Analyse, forensischer Analyse oder beispielsweise externen CERT Provider.

Während des Angriffs, "contain/eradicate/recover"

• Isolation der involvierten Client Geräte. Wenn Server betroffen sind, sollten diese nach Einbezug der Geschäftsleitung (Risikoabwägung laufender Betrieb) ebenfalls sofort vom Netz genommen werden.

• Impact Analyse: wurden Daten gelöscht oder verändert, wurden Daten unbefugt von oder auf ein anderes System übertragen oder verschlüsselt?

• Verhinderung der weiteren Verbreitung: Blockieren von "Lateral Movements" über SMB, RDP, PsExec oder PowerShell; Netzwerktrennung oder Anpassung der Firewall Regeln (SMB, RDP blockieren); Deaktivieren von Ports auf den Switches oder physische Trennung.

• Beseitigung der Malware durch Quarantäne oder Malware Removal Tool bzw. manuelles Eingreifen.

• Überprüfung aller Rechner mit der gleichen potenziellen Schwachstelle.

• Überprüfung der Registry auf unbekannte Einträge und Vergleich mit "known good state".

• Systemwiederherstellung durch Backup Prozess, "Reimage oder Rebuild" oder Datenwiederherstellung durch Cloud-Synchronisierung.

• "Incident Remediation": Host mit aktualisierter Signatur scannen, Scannen von Dateifreigaben mit hochgeladener Signatur, Schwachstellen beseitigen und Router aktualisieren, AV-Update koordinieren.

• Hinzufügen der extrahierten IOC-Daten innerhalb einer SIEM und Sperren von bekannten C&C IPs auf der Firewall.

Nach dem Angriff, "Post-Incident"

Zur Wiederherstellung nach dem Vorfall gehört zwingend dazu, alle Konto-, Netzwerk- und Systemkennwörter zu ändern, nachdem die Malware vollständig aus dem Netzwerk entfernt wurde. Strafverfolgungsbehörden und andere Einrichtungen wie das NCSC sind zu informieren. Je nach Branche existieren unterschiedliche Meldepflichten, die ebenfalls in ein Incident Response Playbook aufgenommen werden sollten (Aufsichtsbehörden, Regulatoren).

Des Weiteren soll die Wiederherstellung der Backups überprüft werden, inklusive einem Policy- oder Konfigurationsupdate. Insbesondere die folgenden Aspekte sind zwingend zu berücksichtigen, um die Resilienz der IT-Infrastruktur zu erhöhen:

• Entfernung unnötiger lokaler Administratorrechte, Beschränkung der Anzahl Administratorkonten.

• Konsequente Verwendung eines (zentralisierten) Passwort-Managers und Erzwingen von starken und eindeutigen Passwörtern.

• Implementation einer mehrstufigen Authentifizierung, auch für die technischen Konten.

• Strikte Trennung von Client-Admin-Rechte, Server-Admin-Rechte, Domänen-Admin-Rechte.

• Getrennte Arbeitsstationen (keine Mail, Internet) für AD-Administratoren; "privilegierter Zugriffsarbeitsplatz".

Switch-CERT: Vertrauenspartner für Cybersicherheit

Das Computer Emergency Response Team (CERT) von SWITCH ist ein führendes, unabhängiges Kompetenzzentrum für Informationssicherheit. Es wurde ab 1994 aufgebaut und 1996 als eines der ersten CERTs der Schweiz international anerkannt. Das Ziel: die Schweizer Hochschulen bei der Bekämpfung von Cyberbedrohungen zu unterstützen.

Heute erbringt das Team als Multisektor-CERT Dienstleistungen für Hochschulen, die Domain Registry, Banken, Industrie & Logistik sowie den Energie-Sektor. Die Kompetenzbereiche umfassen Incident Response, Threat Intelligence, Detection und Trusted Community Building.

SWITCH-CERT ist Teil eines globalen Netzwerks für den Austausch von Warnmeldungen und Wissen über Cyberbedrohungen. Es arbeitet eng mit dem Nationalen Zentrum für Cybersicherheit (NCSC) des Bundes zusammen. SWITCH-CERT ist eines der beiden nationalen CERTs und zählt gemäss Bundesamt für Bevölkerungsschutz (BABS) zur kritischen Infrastruktur der Schweiz.

Mehr zum CERT von Switch erfahren Sie hier. Im Gespräch mit der Redaktion sagt Michael Fuchs, was ein CERT genau macht und für wen das CERT von Switch von Bedeutung ist.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.