DFIR vereint zwei getrennte Disziplinen der Cybersicherheit: Digitale Forensik, die Untersuchung von Cyberbedrohungen, in erster Linie um digitale Nachweise für die Verfolgung von Cyberkriminellen zu sammeln, und Incident-Response, die Erkennung und Entschärfung von laufenden Cyberangriffen. DFIR hilft Sicherheitsteams, Bedrohungen schneller zu stoppen und gleichzeitig Nachweise zu sichern, die andernfalls in der Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten.
Digitale Forensik untersucht und rekonstruiert Cybersicherheitsvorfälle durch das Sammeln, Analysieren und Aufbewahren digitaler Nachweis – Spuren, die von Bedrohungsakteuren hinterlassen wurden, wie z. B. Malware-Dateien und bösartige Scripts. Diese Rekonstruktionen ermöglichen Ermittlern, die Ursache von Angriffen zu ermitteln und die Täter zu identifizieren.
Digitale forensische Untersuchungen folgen einer strikten Beweismittelkette oder einem formalen Prozess zur Verfolgung, wie Nachweise gesammelt und gehandhabt werden. Mit der Beweismittelkette können Ermittler nachweisen, dass Nachweise nicht manipuliert wurden. Als Ergebnis können Nachweise aus digitalen forensischen Untersuchungen für offizielle Zwecke wie Gerichtsverfahren, Versicherungsansprüche und behördliche Prüfungen verwendet werden.
Das National Institute of Standards and Technology (NIST) (PDF, 2,7 MB) (Link befindet sich außerhalb von ibm.com) beschreibt vier Schritte für digitale forensische Untersuchungen:
Nach einem Verstoß sammeln forensische Ermittler Daten von Betriebssystemen, Benutzerkonten, mobilen Geräten und anderen Hardware- und Softwarekomponenten, auf die Bedrohungsakteure zugegriffen haben könnten. Allgemeine Quellen für forensische Daten umfassen:
- Dateisystem-Forensik: Daten in Dateien und Ordnern, die auf Endpunkten gespeichert sind.
- Speicher-Forensik: Daten, die im Arbeitsspeicher (RAM) eines Geräts gefunden wurden.
- Netzwerk-Forensik: Daten, die durch die Untersuchung von Netzaktivitäten wie dem Surfen im Internet und der Kommunikation zwischen Geräten gefunden wurden.
- Anwendungs-Forensik: Daten, die in den Protokollen von Apps und anderer Software gefunden wurden.
Um die Integrität der Nachweise zu erhalten, erstellen die Ermittler Kopien der Daten vor der Verarbeitung. Sie sichern die Originale, damit sie nicht geändert werden können, und der Rest der Untersuchung wird an den Kopien durchgeführt.
Die Ermittler untersuchen die Daten nach Anzeichen für cyberkriminelle Aktivitäten, wie Phishing-E-Mails, veränderte Dateien und verdächtige Verbindungen.
Ermittler verwenden forensische Techniken, um Erkenntnisse aus digitalen Nachweisen zu verarbeiten, korrelieren und extrahieren. Ermittler können auch auf proprietäre und quelloffene Bedrohungsdaten zurückgreifen, um ihre Erkenntnisse mit bestimmten Bedrohungsakteuren zu verknüpfen.
Die Ermittler erstellen einen Bericht, der die Ereignisse während des Sicherheitsvorfalls erklärt und Verdächtige oder, falls möglich, Täter identifiziert. Das Bericht kann Empfehlungen zum Verhindern von zukünftigen Angriffen enthalten. Er kann an Strafverfolgungsbehörden, Versicherer, Aufsichtsbehörden und andere Behörden weitergegeben werden.
Incident-Response konzentriert sich auf das Erkennen und Reagieren auf Sicherheitsverstöße. Das Ziel der Incident-Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.
Incident-Response-Maßnahmen werden durch Incident-Response-Pläne (IRP) geleitet, in denen beschrieben wird, wie das Notfallteam mit Cyberbedrohungen umgehen sollte. Der Incident-Response-Prozess hat sechs standardmäßige Schritte:
- Vorbereitung: Vorbereitung ist der fortlaufende Prozess der Risikobewertung, Identifizierung und Behebung von Schwachstellen (Schwachstellenmanagement) und Erstellung von IRPs für verschiedene Cyberbedrohungen.
- Erkennung und Analyse: Incident-Responder überwachen das Netz auf verdächtige Aktivitäten. Sie analysieren Daten, filtern Falschalarme heraus und ordnen Alarme zu.
- Abgrenzung: Wenn ein Verstoß festgestellt wurde, unternimmt das Notfallteam Schritte, um zu verhindern, dass sich die Sicherheitsbedrohung über das Netz ausbreitet.
- Beseitigung: Sobald die Bedrohung eingedämmt wurde, entfernen Incident-Responder diese aus dem Netz – z. B. durch die Vernichtung von Ransomware-Dateien oder durch Booten eines Bedrohungsakteurs von einem Gerät.
- Wiederherstellung: Sobald Incident-Responder alle Spuren der Bedrohung beseitigt haben, stellen sie beschädigte Systeme für den normalen Betrieb wieder her.
- Überprüfung nach dem Vorfall: Incident-Responder überprüfen den Verstoß, um zu verstehen, wie er passiert ist, und bereiten auf zukünftige Bedrohungen vor.
Wenn digitale Forensik und Incident-Response getrennt durchgeführt werden, können sie sich gegenseitig beeinträchtigen. Incident-Responder können Nachweise verändern oder zerstören, während sie eine Bedrohung aus dem Netzwerk entfernen. Forensische Ermittler können die Lösung der Bedrohung verzögern, während sie nach Nachweisen suchen. Es kann sein, dass Informationen zwischen diesen Teams nicht fließen, was alle etwas weniger effizient macht, als sie sein könnten.
DFIR verschmilzt diese beiden Disziplinen zu einem einzigen Prozess, der von einem Team durchgeführt wird. Daraus ergeben sich zwei wichtige Vorteile:
Forensische Datenerfassung findet parallel zur Entschärfung von Bedrohungen statt. Während des DFIR-Prozesses verwenden Incident-Responder forensische Techniken zur Erfassung und Erhaltung von digitalen Nachweisen, während sie eine Bedrohung entschärfen und beseitigen. Dadurch wird sichergestellt, dass die Beweismittelkette befolgt wird und wertvolle Angaben nicht durch Incident-Response-Maßnahmen verändert oder gelöscht werden.
Die Überprüfung nach dem Vorfall umfasst die Überprüfung des digitalen Nachweises. DFIR nutzt digitale Nachweise, um tiefer in Sicherheitsvorfälle einzutauchen. DFIR-Teams untersuchen und analysieren die gesammelten Nachweise, um den Vorfall von Anfang bis Ende zu rekonstruieren. Der DFIR-Prozess endet mit einem Bericht, der detailliert das volle Ausmaß des Schadens beschreibt, außerdem was passiert ist, wie es passiert ist und wie ähnliche Angriffe in Zukunft vermieden werden können.
Die Vorteile, die sich daraus ergeben, sind:
- Wirksamere Vorbeugung von Bedrohungen. DFIR-Teams überprüfen Vorfälle gründlicher als traditionelle Notfallteams es tun. DFIR-Untersuchungen können Sicherheitsteams dabei helfen, Cyberbedrohungen besser zu verstehen, effektivere Incident-Response-Pläne zu erstellen und mehr Angriffe zu stoppen, bevor sie passieren. DFIR-Untersuchungen können auch dazu beitragen, die Suche nach Bedrohungen zu optimieren, indem sie Hinweise auf unbekannte aktive Bedrohungen aufdecken.
- Wenige oder keine Nachweise gehen bei der Bedrohungsauflösung verloren. Bei einem standardmäßigen Incident-Response-Prozess haben es Incident-Responder vielleicht eilig, die Bedrohung einzudämmen. Wenn die Einsatzkräfte beispielsweise ein infiziertes Gerät ausschalten, um die Ausbreitung einer Bedrohung einzudämmen, gehen alle Nachweise im RAM des Geräts verloren. DFIR-Teams, die sowohl in digitaler Forensik als auch in der Reaktion auf Vorfälle geschult sind, besitzen die erforderliche Kompetenz, Nachweise zu sichern und gleichzeitig Vorfälle aufzuklären.
- Verbesserte Unterstützung bei Rechtsstreitigkeiten. DFIR-Teams folgen der Beweismittelkette, was bedeutet, dass die Ergebnisse von DFIR-Untersuchungen mit der Strafverfolgung geteilt und zur Verfolgung von Cyberkriminellen verwendet werden können. DFIR-Untersuchungen können auch Versicherungsansprüche und behördliche Prüfungen nach Verstößen unterstützen.
- Schnellere, stabilere Wiederherstellung nach einer Bedrohung. Da forensische Untersuchungen robuster sind als standardmäßige Incident-Response-Untersuchungen, können DFIR-Teams versteckte Malware oder Systemschäden aufdecken, die sonst übersehen worden wären. Dies hilft den Sicherheitsteams, Bedrohungen zu beseitigen und die Wiederherstellung nach Angriffen gründlicher vorzunehmen.
In einigen Unternehmen wird DFIR von einem internen IT-Sicherheitsteam zur Fehlerbehebung (Computer Security Incident Response Team, CSIRT), manchmal auch Computer Emergency Response Team (CERT) genannt, durchgeführt. Zu den CSIRT-Mitgliedern können der Chief Information Security Officer (CISO), das Security Operations Center (SOC) und IT-Mitarbeiter, Führungskräfte und andere Beteiligte aus dem gesamten Unternehmen gehören.
Vielen Unternehmen fehlen die Ressourcen, um DFIR selbst durchzuführen. In diesem Fall können sie externe DFIR-Dienste beauftragen, die auf Auftragsbasis arbeiten.
Sowohl interne als auch externe DFIR-Experten verwenden die gleichen DFIR-Tools, um Bedrohungen zu erkennen, zu untersuchen und zu beheben. Diese umfassen:
Sicherheitsinformationen und Ereignismanagement (SIEM): SIEM sammelt und korreliert Sicherheitsereignisdaten von Sicherheitstools und anderen Geräten im Netzwerk.
Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR): SOAR ermöglicht DFIR-Teams, Sicherheitsdaten zu erfassen und zu analysieren, Incident-Response-Workflows zu definieren und sich wiederholende oder einfache Sicherheitsaufgaben zu automatisieren.
Endpunkterkennung und -Antwort (Endpoint Detection and Response, EDR): EDR integriert Endpunkt-Sicherheitstools und nutzt Echtzeitanalysen und KI-gesteuerte Automatisierung, um Unternehmen vor Cyberbedrohungen zu schützen, die Antivirensoftware und andere herkömmliche Endpunkt-Sicherheitstechnologien umgehen.
Erweiterte Erkennung und Reaktion (XDR): XDR ist eine offene Cybersicherheits-Architektur, die Sicherheitstools integriert und Sicherheitsabläufe über alle Sicherheitsebenen hinweg vereinheitlicht – Benutzer, Endpunkte, E-Mail, Anwendungen, Netze, Cloud-Workloads und Daten. Durch die Beseitigung von Sichtbarkeitslücken zwischen verschiedenen Tools hilft XDR den Sicherheitsteams, Bedrohungen schneller und effizienter zu erkennen und zu beheben, und den Schaden den sie verursachen, einzuschränken.
Angriffe erkennen, eindämmen und Systeme wiederherstellen durch Vorbereitung auf Incident-Response (IR) und rund um die Uhr verfügbare IR-Notfallservices zur Reduzierung der Auswirkungen von Verstößen.
Schwerwiegende Schwachstellen und Bedrohungen aufdecken und verhindern, noch bevor sie sich auf Betriebsabläufe auswirken können.
Fangen Sie mit Netztransparenz und erweiterten Analysen an, bevor es zu spät ist.
Entdecken Sie die neuesten Bedrohungsdaten und Trends in der Cloud-Sicherheit und erfahren Sie, wie Sie Ihre Sicherheit verbessern können – mit Erkenntnissen aus IBM Security X-Force.
Der Weg zu einer orchestrierten Incident-Response-Reaktion beginnt mit der Personalschulung, der Entwicklung eines konsistenten und wiederholbaren Prozesses und dem Einsatz von Technologie bei der Umsetzung. In diesem Leitfaden werden wichtige Schritte für die Erstellung einer robusten Incident-Response-Funktion erläutert.
Ein formeller Incident-Response-Plan ermöglicht es Cybersicherheitsteams, Schaden durch Cyberangriffe oder Sicherheitsverletzungen zu begrenzen oder zu verhindern.
Sicherheitsinformationen und Ereignismanagement (SIEM) bietet Echtzeitüberwachung und -analyse von Ereignissen sowie die Verfolgung und Protokollierung von Sicherheitsdaten für Compliance- oder Auditzwecke.
Bedrohungsdaten sind detaillierte, verlässliche Informationen über Bedrohungen zur Vorbeugung und Bekämpfung von Cyberbedrohungen, die auf ein Unternehmen abzielen.
Ransomware hält die Geräte und Daten der Opfer als Geiseln, bis ein Lösegeld gezahlt wird. Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie sich Unternehmen gegen sie verteidigen.