Digital Forensics and Incident Response (DFIR) kombiniert zwei Bereiche der Cybersicherheit, um die Reaktion auf Bedrohungen zu optimieren und gleichzeitig Beweise gegen Cyberkriminelle zu sichern.
DFIR integriert zwei diskrete Disziplinen der Cybersicherheit: Digitale Forensik, die Untersuchung von Cyber-Bedrohungen, vor allem um digitale Beweise für die Verfolgung von Cyber-Kriminellen zu sammeln; und Incident Response, die Erkennung und Eindämmung von laufenden Cyber-Angriffen. Die Kombination dieser beiden Disziplinen hilft Sicherheitsteams, Bedrohungen schneller zu stoppen und gleichzeitig Beweise zu sichern, die andernfalls in der Dringlichkeit der Bedrohungsabwehr verloren gehen könnten.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Die digitale Forensik untersucht und rekonstruiert Cybersicherheitsvorfälle, indem sie digitale Beweise sammelt, analysiert und bewahrt – Spuren, die von Bedrohungsakteuren hinterlassen wurden, wie z.B.Malware-Dateien und bösartige Skripts. Diese Rekonstruktionen ermöglichen es den Ermittlern, die Ursachen von Angriffen zu ermitteln und die Schuldigen zu identifizieren.
Bei digitalen forensischen Untersuchungen gilt eine strenge Beweiskette (Chain of Custody) bzw. ein formaler Prozess zur Nachverfolgung der Beweismittelsammlung und -behandlung. Mit Hilfe der Beweiskette können die Ermittler nachweisen, dass die Beweise nicht manipuliert wurden. Folglich können Beweise aus digitalen forensischen Untersuchungen für offizielle Zwecke wie Gerichtsverfahren, Versicherungsansprüche und behördliche Audits verwendet werden.
Das National Institute of Standards and Technology (NIST) (Link befindet sich außerhalb von ibm.com) beschreibt vier Schritte für digitale forensische Untersuchungen:
Nach einem Sicherheitsverstoß sammeln forensische Ermittler Daten von Betriebssystemen, Benutzerkonten, mobilen Geräten und anderen Hardware- und Softwarekomponenten, auf die Bedrohungsakteure zugegriffen haben könnten. Zu den gängigen Quellen für forensische Daten gehören:
Um die Integrität der Beweise zu bewahren, erstellen die Ermittler Kopien der Daten, bevor sie diese verarbeiten. Sie sichern die Originale, damit sie nicht verändert werden können, und der Rest der Untersuchung wird an den Kopien durchgeführt.
Die Ermittler durchkämmen die Daten nach Anzeichen für cyberkriminelle Aktivitäten, wie Phishing-E-Mails, veränderte Dateien und verdächtige Verbindungen.
Ermittler verwenden forensische Techniken, um digitale Beweise zu verarbeiten, zu korrelieren und Erkenntnisse daraus zu gewinnen. Ermittler können auch auf proprietäre und Open-Source-Threat-Intelligence-Feeds zurückgreifen, um ihre Erkenntnisse mit bestimmten Bedrohungsakteuren zu verknüpfen.
Die Ermittler erstellen einen Bericht, in dem erklärt wird, was während des Sicherheitsvorfalls passiert ist, und, wenn möglich, Verdächtige oder Schuldige identifiziert werden. Der Bericht kann Empfehlungen zur Vereitelung künftiger Angriffe enthalten. Sie können an Strafverfolgungsbehörden, Versicherer, Regulierungsbehörden und andere Behörden weitergegeben werden.
Die Reaktion auf Vorfälle konzentriert sich auf die Erkennung und Reaktion auf Sicherheitsverletzungen. Das Ziel der Incident Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.
Die Maßnahmen zur Reaktion auf Vorfälle werden durch Notfallpläne (Incident Response Plans, IRP) gesteuert, in denen beschrieben wird, wie das Notfallteam mit Cyberbedrohungen umgehen sollte. Der Incident-Response-Prozess besteht aus sechs Standardschritten:
Wenn digitale Forensik und Incident Response getrennt voneinander durchgeführt werden, können sie sich gegenseitig behindern. Einsatzkräfte können Beweise verändern oder zerstören, während sie eine Bedrohung aus dem Netzwerk entfernen, und forensische Ermittler können die Lösung einer Bedrohung verzögern, während sie nach Beweisen suchen. Es kann sein, dass der Informationsfluss zwischen diesen Teams nicht funktioniert, wodurch alle weniger effizient sind, als sie sein könnten.
DFIR vereinigt diese beiden Disziplinen in einem einheitlichen Prozess, der von einem gemeinsamen Team durchgeführt wird. Dadurch ergeben sich zwei wichtige Vorteile:
erfolgt die forensische Datenerfassung parallel zur Entschärfung von Bedrohungen. Während des DFIR-Prozesses verwenden die Einsatzkräfte forensische Techniken, um digitale Beweise zu sammeln und zu sichern, während sie eine Bedrohung eindämmen und beseitigen. Dadurch wird sichergestellt, dass die Aufbewahrungskette eingehalten wird und wertvolle Beweise nicht durch die Maßnahmen zur Reaktion auf einen Vorfall verändert oder zerstört werden.
Die Überprüfung nach einem Vorfall umfasst auch das Überprüfen von digitalen Nachweisen. DFIR nutzt digitale Beweise, um Sicherheitsvorfällen auf den Grund zu gehen. DFIR-Teams untersuchen und analysieren die Beweise, die sie gesammelt haben, um den Vorfall von Anfang bis Ende zu rekonstruieren. Der DFIR-Prozess endet mit einem Bericht, in dem detailliert beschrieben wird, was passiert ist, wie es passiert ist, das gesamte Ausmaß des Schadens und wie ähnliche Angriffe in Zukunft vermieden werden können.
Die daraus resultierenden Vorteile umfassen:
In einigen Unternehmen befasst sich ein unternehmensinternes CSIRT-Team (Computer Security Incident Response), das manchmal auch als CERT-Team (Computer Emergency Response) bezeichnet wird, mit der Bearbeitung von DFIR. Zu den CSIRT-Mitgliedern können der Chief Information Security Officer (CISO), Security Operations Center (SOC) und IT-Mitarbeiter, Führungskräfte und andere Stakeholder aus dem gesamten Unternehmen gehören.
Vielen Unternehmen fehlen die Ressourcen, um DFIR aus eigener Kraft durchzuführen. In diesem Fall können sie externe DFIR-Serviceanbieter beauftragen, die auf Honorarbasis arbeiten.
Sowohl interne als auch externe DFIR-Experten verwenden die gleichen DFIR-Tools, um Bedrohungen zu erkennen, zu untersuchen und zu beseitigen. Dazu gehören:
Security Information and Event Management (SIEM): SIEM sammelt und korreliert Sicherheitsereignisdaten von Sicherheitstools und anderen Geräten im Netzwerk.
Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR): SOAR ermöglicht es DFIR-Teams, Sicherheitsdaten zu sammeln und zu analysieren, Workflows zur Reaktion auf Vorfälle zu definieren und sich wiederholende oder einfache Sicherheitsaufgaben zu automatisieren.
Endpoint Detection and Response (EDR): EDR integriert Endgeräte-Sicherheitstools und nutzt Echtzeitanalysen und KI-gesteuerte Automatisierung, um Unternehmen vor Cyberbedrohungen zu schützen, die Antivirensoftware und andere herkömmliche Endgeräte-Sicherheitstechnologien überwinden.
Extended Detection and Response (XDR): XDR ist eine offene Cybersicherheits-Architektur, die Sicherheitstools integriert und Sicherheitsoperationen auf allen Sicherheitsebenen vereinheitlicht – Benutzer, Endgeräte, E-Mails, Anwendungen, Netzwerke, Cloud-Workloads und Daten. Durch die Beseitigung von Sichtbarkeitslücken zwischen den einzelnen Tools hilft XDR den Sicherheitsteams, Bedrohungen schneller und effizienter zu erkennen und zu beseitigen und so den Schaden zu begrenzen, den sie verursachen.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Der Weg zu einer koordinierten Vorfallsreaktion beginnt mit der Befähigung der Mitarbeiter, der Entwicklung eines konsistenten, wiederholbaren Prozesses und der Nutzung von Technologie zur Ausführung. In diesem Leitfaden werden die wichtigsten Schritte zum Aufbau einer robusten Funktion für die Reaktion auf Vorfälle beschrieben.
Ein formeller IR-Plan ermöglicht es Cybersicherheitsteams, Schäden durch Cyberangriffe oder Sicherheitsverletzungen zu begrenzen oder zu verhindern.
Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.
Threat-Intelligence sind detaillierte, umsetzbare Informationen über Bedrohungen, die zur Prävention und Bekämpfung von Cyberbedrohungen gegen ein Unternehmen dienen.
Ransomware sperrt die Geräte und Daten von Opfern, bis Lösegeld bezahlt wird. Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie Unternehmen sich dagegen wehren können.