gagarin
Goto Top

Was tun bei einem IT-Sicherheitsvorfall?

Eine Handreichung fuer den betroffenen IT-Verantwortlichen nebst Katalog der wichtigsten Fragen

back-to-topIncident Handling - Was tun bei einem IT-Sicherheitsvorfall?

Jeder Administrator wird diese Situation sicherlich schon einmal erlebt haben. Ein Nutzer berichtet, dass sein System ganz plötzlich merkwürdige, unerklärliche Symptome zeigt, nach dem der USB-Stick angeschlossen war. Das System wurde mit Schadsoftware infiziert.

Die folgende Anleitung soll dabei helfen, die notwendigen Fragen zu stellen, damit ein zielgerichtetes Handeln möglich ist.


back-to-topIT-Sicherheitsvorfall (Incident)
„Jede Einschränkung der Vertraulichkeit, Verfügbarkeit, Authentizität oder
Integrität von Daten oder Systemen als Folge eines Angriffs“
Quelle: DFN-CERT GmbH


back-to-topDie Phasen des Incident Handlings


back-to-top1. Vorbereitung
Die Phase der Vorbereitung ist die Grundlage für ein koordiniertes Vorgehen bei einem IT-Sicherheitsvorfall. Ohne Vorbereitung ist ein erfolgreiches Incident Handling nicht möglich. Augenmerk sollte hier ins besondere auf das Vorhanden sein der benötigten Tools und dem Ausbildungstand derjenigen gelegt werden, die später als „Incident Responder“ tätig werden. Training und Übung kann auch hier der Schlüssel zum Erfolg sein.


back-to-top2. Identifizierung
In der zweiten Phase wird der IT-Sicherheitsvorfall identifiziert und als solcher klassifiziert. Die verantwortlichen Personen werden informiert/alarmiert und eine Lagebeurteilung wird durchgeführt.


back-to-top3. Eingrenzung
Der IT-Sicherheitsvorfall wird eingegrenzt und versucht ihn auf den betroffen Systemen einzuschränken, so dass Nachbarsysteme bestenfalls nicht beeinträchtigt werden.


back-to-top4. Störungsbeseitigung
Die eigentliche Störung wird beseitigt. Falls erforderlich wird die letzte Sicherung verwendet. Wichtig hierbei ist, dass die im Angriff ausgenutzten Schwachstellen sicher erkannt und behoben worden sind.


back-to-top5. Rückkehr zum Normalbetrieb
Die notwendigen Maßnahmen zur Eingrenzung des Vorfalles werden wieder aufgehoben. Abgeschaltete Dienste werden wieder verfügbar gemacht.


back-to-top6. Abschließende Maßnahmen
Der IT-Sicherheitsvorfall und die durchgeführten Maßnahmen werden sorgfältig dokumentiert. Eine Besprechung wird durchgeführt, um eventuelle Mängel während des Incident Handling Prozesses zu identifizieren und Verbesserungen anzuregen (Manöverkritik).


back-to-topWelche Fragen sollte sich der Incident Handler nun während des Incident Handling Prozesses stellen?


back-to-top1. Überblick verschaffen
  • Um welche Art Problem handelt es sich?
  • Wie wurde das Problem entdeckt? Wann und von wem?
  • Welche Mittel der IT-Security Infrastruktur stehen im betroffenen Bereich zur Verfügung? (Firewall, IDS, IPS, Anti-Virus)
  • Wie ist die IT-Sicherheitslage der betroffenen Komponenten? Wurde eine Prüfung auf Schwachstellen durchgeführt?
  • Welche Gruppen der Organisation sind von dem Vorfall betroffen? Sind sie darüber informiert?
  • Wurden weitere IT-Sichervorfälle kürzlich in der Organisation identifiziert?


back-to-top2. Verantwortlichkeiten klären/ Kommunikation
  • Welche Personen sind über den IT-Sicherheitsvorfall informiert? Wie heißen Sie und zu welcher Organisation gehören sie?
  • Wer ist der verantwortliche Leiter des Incident Managements?
  • Wer ist berechtigt Entscheidungen zu treffen, welche den Dienstbetrieb betreffen können (Management Entscheidungen)?
  • Über welche Mittel kommuniziert das Incident Handling Team (Email, Telefonkonferenz, Handy)?
  • In welchen Abständen wird die Geschäftsleitung über den Status des Incidents informiert? Wer ist hierfür verantwortlich?
  • Wer führt die „Vor-Ort“-Ermittlungen bei der betroffenen IT-Infrastruktur durch? Sind die notwendigen Kontaktdaten vorhanden?
  • Wer ist verantwortlich für die Kommunikation mit den Organen der Polizei, Staatsanwaltschaft, Presse oder anderen Einrichtungen wie zuständige CERTS?


back-to-top3. Eingrenzung des IT-Sicherheitsvorfalles
  • Welche IT-Infrastrukturkomponenten sind direkt betroffen? (Server, Webseiten, Netzwerke...)
  • Welche Anwendungen und Dienste laufen auf der betroffenen Infrastruktur?
  • Welche Schnittstellen zu anderen Diensten/Netzwerken gibt es?
  • Welche Annahmen gibt es, wie sich der Vorfall zugetragen haben könnte?


back-to-top4. Beurteilung der Ergebnisse der ersten Maßnahmen.
  • Welche Maßnahmen wurden getroffen um den Vorfall zu beurteilen?
  • Welche Tools wurden eingesetzt?
  • Welche Maßnahmen wurden durchgeführt um den Incident einzugrenzen? (Verbindungstrennung zu anderen Netzwerken/Sperrung von bestimmten Ports in der Firewall etc..)
  • Welche Alarme wurden durch IT-Sicherheitskomponenten wie IDS oder Anti-Virus generiert?
  • Wurden Systemprotokolle ausgewertet? Welche Einträge sind verdächtig?


back-to-top5. Vorbereitung für die nächsten Schritte
  • Besitzt die betroffene Gruppe oder Organisation spezielle Handlungsanweisungen oder Richtlinien für IT-Sichervorfälle?
  • Ist es möglich eine IT-forensische Analyse durchzuführen oder müssen die System/Dienste weiterhin verfügbar bleiben?
  • Welche Mittel sind verfügbar um eine Analyse des laufenden Netzwerkverkehrs oder der einzelnen Desktopsysteme durchzuführen?
  • Wie können Daten, während der Analyse, von und zu den betroffenen Systemen transferiert werden?
  • Wo befindet sich die betroffene IT-Infrastruktur physikalisch?
  • Welche Datensicherungsmittel stehen zu Verfügung um eine Datenrücksicherung durchzuführen?
  • Welche weiteren Schritte sind geplant?

Content-ID: 113163

Url: https://administrator.de/contentid/113163

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Arch-Stanton
Arch-Stanton 03.04.2009 um 11:41:59 Uhr
Goto Top
Macht man das jetzt bei jeder Virenmeldung?

Gruß, Arch Stanton

p.s. diese "Anleitung" gilt doch wohl eher für Behörden
Gagarin
Gagarin 03.04.2009 um 12:04:36 Uhr
Goto Top
Nein, nicht unbedingt.

Gruss

Gagarin

PS: Nein diese "Anleitung" beschreibt den Prozess des Incident Handlings fuer groessere Organisationen und nicht nur fuer Behoerden. Bei einer Ich-AG wuerde ich eine andere Vorgehensweise empfehlen.

Herlzlichen Dank fuer diesen hilfreichen Input!
maretz
maretz 03.04.2009 um 12:47:08 Uhr
Goto Top
Also - die Anleitung selbst ist sehr gut für die Theorie und für die Dokumentation.

Für mich fehlt ein wenig das praktische. Wenn z.B. bei mir ein Rechner einen Virenvorfall hat wird dieser erstmal vom restlichem Netz getrennt. Denn so kann er keine weiteren Rechner infizieren - und auch keine neuen Schadroutinen nachladen. Danach erfolgt der erste Scan mittels des vorhandenen Virenscanners auf dem PC (vorher werden die DAT-Files auf die aktuelle Version gebracht). Sollte dies nicht helfen dann wird der ganze PC von einer Live-CD (Linux mit Virenscanner) gestartet und nochmal gescannt. Ebenfalls wird mittels der Live-CD geprüft ob irgendwelche Daten auf dem System sind (falls da z.B. nen Angreifer das ding als FTP-Server nutzen wollte). Falls ja wird von der gesamten Platte ein Image gemacht.

Danach wird entschieden ob ich mir sicher bin das der Virus weg ist oder die gesamte Platte noch unter der Live-CD platt gemacht. Ebenfalls wird der Server (vorallem die Datenverzeichnisse) nach Viren gescannt...

Ob man das dann nach o.g. Anleitung dokumentieren möchte oder nicht das bleibt jedem selbst und auch dem Vorfall überlassen... (wenn jemand nur nen Virus von zuhause mitgebracht hat würde ich da nicht groß soviel Alarm von machen... Da bekommt die entsprechende Person mal eben verbal kräftig was zwischen die Hörner - und der PC wird wieder in Funktion gebracht...)
Gagarin
Gagarin 03.04.2009 um 13:00:38 Uhr
Goto Top
Hm... also ich kann dir da leider nicht ganz zustimmen das ein Rechner grundsaetzlich vom Netz genommen wird falls Malware festgestellt worden ist. Damit werden viele Daten, die zb. die Zurueckverfolgen eines etwaigen Angriffes erleichtern wuerden vernichtet. Es eine Fallentscheidung und mag auch abhaengig sein von den Ressourcen und Ausbildungsstand des Incident Handlers.

Die "Anleitung" soll eigentlich nur ein Konzept darstellen. Vieleicht ist das einleitende Beispiel einfach missverstaendlich. Es wird ja nicht immer das volle Programm abgefahren nur weil mal ein infizierter USB-Stick an einen PC eingesteck worden ist.
Vieles sagt ein schon der gesunde Menschenverstand aber vieleicht ist es ja hilfreich wenn man sich einfach mal damit im Vorfeld beschaeftigt.

Das praktische folgt im uebrigen noch....
16568
16568 03.04.2009 um 13:19:23 Uhr
Goto Top
Zitat von @Gagarin:
Hm... also ich kann dir da leider nicht ganz zustimmen das ein Rechner
grundsaetzlich vom Netz genommen wird falls Malware festgestellt
worden ist. Damit werden viele Daten, die zb. die Zurueckverfolgen
eines etwaigen Angriffes erleichtern wuerden vernichtet.

Speziell den letzten Satz solltest Du mir mal versuchen, zu erklären...


Lonesome Walker
Gagarin
Gagarin 03.04.2009 um 13:35:40 Uhr
Goto Top
Sollte ich das Lonesome Walker? Ich kanns jedenfalls sehr gerne Probieren wenn du das moechtest.

Ich habe mich verschrieben. Also berichtigen wir erst einmal den Satz. Richtigerweise muesste es heissen:

"Damit werden viele Daten, die zb. die Zurueckverfolgung
eines etwaigen Angriffes erleichtern wuerden, vernichtet."

Welche Daten wuerde uns denn eine Zurueckverfolgen erleichtern? Wenn wir zum Beispiel Teile oder die Gesamtheit der Schadsoftware des befallenen Systems analysieren koennten. Daraus koennte man dann schliessen was diese Software eigentlich macht.

Um diesen Prozess der Rekunstruktion (Reverse Engineering) zu erschweren ueberwachen einige Schadsoftwaren den Linkstatus des NICs. Sobald der auf disconnected ist, entfernt die Software sich selbst. Ein Angriff waere nicht mehr Nachweisbar.

Falls du noch andere Fragen hast stehe ich dir gerne zur Verfuegung.
60730
60730 03.04.2009 um 14:56:08 Uhr
Goto Top
Servus,

Hm... also ich kann dir da leider nicht ganz zustimmen das ein Rechner grundsaetzlich vom Netz genommen wird falls Malware festgestellt worden ist.

Ist bei dem von uns verwendeten Virenscanner (CA Etrust) per se so eingestellt.

Damit werden viele Daten, die zb. die Zurueckverfolgen eines etwaigen Angriffes erleichtern wuerden vernichtet.

Logs werden doch prinzipiell nie durch herunterfahren des Systems / abklemmen des Nics vom Switch / whatever gelöscht?

Schadsoftware, die den Zustand des Nics erkennt - naja - also wenn "sowas" in das Netzwerk kommen kann - dann sind die Fehler im Netzwerk oder beim zuständigen Admin zu suchen.
Stichwort - Adminrechte / Überwachung usw....

Prinzipiell halte ich es da anders, Vorsorge treffen, das keine Fremdsysteme in das Netz kommen können. (Überwachung der Switche auf Intruder) - selbstverfreilich auch das ständige (stündliche) automatische überprüfen auf neue aktuelle .dat der Virenscanner - Unterschiedliche Virenscanner auf Mail / File und Clientsystemen usw. usf.

Und nochmal zurück zum abgeklemmten Switch - naja ein wenn / wie auch immer vermurkstes System - entweder liesst man dann relativ schnell in den einschlägigen Foren etwas über den Befall - oder man nimmt sich wirklich die Zeit und klemmt den dann an ein Dummynetz an und analysiert dort was los ist.

das ständige Überwachen / sniffen des aktivem Netzwerks ist IMHO ja auch nicht so einfach, wenn man die "deutschen Rechte" einhalten will / muß.

Gruß
Gagarin
Gagarin 03.04.2009 um 15:11:05 Uhr
Goto Top
@timobeil

Seit ihr den mit CA Etrust zufrieden? Wie hoch ist die False Positive Rate?

Warum sollte der Fehler beim Admin liegen? Wenn Schadsoftware eine 0-Day exploit ausnutzt, der Nutzer ganz normal im Netz surft und Opfer einer Drive-by Attacke wird? Da kann der Admin nicht viel tun.

Grundsaetzlich ist es ja eine keine Schlechte Idee das System vom Netz zu trennen, aber halt nicht immer. Du hast recht das Logs nicht geloescht werden, aber was ist mit den Daten in den Arbeitsspeichern? Gibt es nicht auch Malware die sich Ausschliesslich dort laeuft?

Unsere Netzwerk wird 24/07 von unserem IDS und unseren IDS-Analysts ueberwacht, selbstverstaendlich unter einhaltung der rechtlichen Bestimmungen.
16568
16568 03.04.2009 um 15:15:32 Uhr
Goto Top
Zitat von @Gagarin:
Um diesen Prozess der Rekunstruktion (Reverse Engineering) zu
erschweren ueberwachen einige Schadsoftwaren den Linkstatus des NICs.
Sobald der auf disconnected ist, entfernt die Software sich selbst.
Ein Angriff waere nicht mehr Nachweisbar.

Na das wäre doch KLASSE, wech mit dem Dreck.

Auch bei mir kommt eine infizierte (oder auch nur potentiell infizierte) Kiste erst mal wech vom Netz.
Alles andere wäre fahrlässig, und würde im Sinne der Gefahrenabwehr kontraproduktiv sein.

Es ist nicht immer das Ziel, den Angriff nachzuverfolgen, sondern vielmehr die bestehende Struktur nicht unnötig in Gefahr zu bringen...


Lonesome Walker
PS: das war eine rhetorische Frage, auf die keine "gute" Antwort kommen konnte face-wink
60730
60730 04.04.2009 um 20:17:20 Uhr
Goto Top
@Gagarin:
Seit ihr den mit CA Etrust zufrieden?
Yupp - sehr sogar face-wink

Wie hoch ist die False Positive Rate?
Null, komma Null face-wink

Bzw. Wir haben (vor einiger Zeit) eine "Firmen Tochter" geerbt - samt Serverfarm / Daten DBs usw. und "aktuellen" Virenscannern.
Als wir die das erste mal in unserem Netz angeschlossen haben, gabs sofort eine Quarantaine der Systeme - die waren allesamt - trotz aktuellen Virenpattern - verseucht.

Bisher (incl. diesem Vorfall) ist dieser Fall (System wird in Quarantaine gestellt) 3 * vorgekommen - davon 3* begründet.

Warum sollte der Fehler beim Admin liegen?
Weil der für das "Design" des Netzes zuständig ist face-wink
Wenn Schadsoftware eine 0-Day exploit ausnutzt..

Nenn mir ein Beispiel aus den letzten 5 Jahren, wo dieser Fall eingetreten ist face-wink
("i Love you" mal aussen vor) - und das war vor 9 Jahren.

Gruß
16568
16568 05.04.2009 um 09:46:12 Uhr
Goto Top
Zitat von @60730:
> Warum sollte der Fehler beim Admin liegen?
Weil der für das "Design" des Netzes zuständig
ist face-wink
Genau so sehe ich das nämlich auch.

> Wenn Schadsoftware eine 0-Day exploit ausnutzt..

Nenn mir ein Beispiel aus den letzten 5 Jahren, wo dieser Fall
eingetreten ist face-wink
("i Love you" mal
aussen vor) - und das war vor 9 Jahren.
Japp, ich denke, das ist genau die Frage, die Sinn macht...

Auch TrendMicro steckt die Kiste in Quarantäne, wenn Alarmstufe Gelb/Rot ausgelöst wird.


Dies entspricht übrigens auch dem empfohlenen Vorgehen einiger namhafter (staatlicher) Institutionen und Sicherheitsfirmen...
(von daher wäre es evtl. ratsam, Dein Vorgehen oben anzupassen...?)


Lonesome Walker
Gagarin
Gagarin 05.04.2009 um 11:51:53 Uhr
Goto Top
Ich freue mich ja das Ihr euch da so einig seit face-smile

Allerdings bin ich nicht der Meinung das der Admin für das Design einer IT-Infrastruktur einer Organisation zuständig ist. Dieses ist und bleibt eine Managemententscheidung. Desweiteren ist eine 100%ige Sicherheit nie geben und auch unter wirtschaftlichen Gesichtspunkten nie gewollt.

Eine Anitiviren Software die Null, komma Null False Positives meldet würde mir eher Sorgen machen.

Ich denke ich wiederhole mich an dieser Stelle. Es kommt immer auf die Situation an und es gibt viele bei denen die quarantäne einer befallenen Workstation die beste Entscheidung ist. Gerade wenn man nicht in der Lage zielführende Analyse durchzuführen. Meistens ist es auch einfach zu kostenintensiv. Ein einfaches Plattmachen ist sicherlich billiger.

BTW: Conficker hat auch per 0-Day Exploit verbreitet . Bis du dem Zeitpunkt als MS die Schwachstelle gefunden hatte und das entsprechende Patch bereitgestellt hat. Wie hat MS das gemacht? Sie haben die Schadsoftware per Reverse Engineering analysiert.

PS: Ich überdenke mein Vorgehen eigentlich während des ganzen Prozesses des Incident Handlings. Das nötige Know-How stellten mir zB. das SANS Institue zur Verfügung.
60730
60730 07.04.2009 um 16:56:40 Uhr
Goto Top
BTW: Conficker hat auch per 0-Day Exploit verbreitet . Bis du dem Zeitpunkt als MS die Schwachstelle gefunden hatte und das entsprechende Patch bereitgestellt hat. Wie hat MS das gemacht? Sie haben die Schadsoftware per Reverse Engineering analysiert.

[OT]
Ich glaube da verwechselt du etwas face-wink

958644 Veröffentlicht: 23. Okt 2008.

Netzwelt von 28.11.2008.
Wurm bring Sicherheitspatch gleich mit

Das Interessante bei dieser Wurm-Variante:
Ist der Server-Dienst erst einmal ausgetrickst, spielt der Wurm den benötigten Sicherheits-Patch selbst auf das System
wobei die Sicherheitslücke damit nicht geschlossen ist.
Lediglich andere Würmer werden daran gehindert, das System zu befallen.

Ergo - hat "dein Beispiel" das "Gimmick" (beherrscht das Versteckspiel) mit dem Nachinstallieren des Patches - kann der Patch nicht nach dem Wurm geschrieben worden sein face-wink
[/OT]
Allerdings bin ich nicht der Meinung das der Admin für das Design einer IT-Infrastruktur einer Organisation zuständig ist.
Dieses ist und bleibt eine Managemententscheidung

Na gut, dann bin ich halt sowohl IT Admin, als auch IT Management face-wink
Bei uns läuift das so - Cheffe will z.B einen FTP Server haben und der bekommt er auch.

"wie" der installiert/verkabelt / abgesichert wird - ist "unser" beiden Entscheidung - wenn es Alternativen gibt - die evtl. Oversized aber zukunftssicherer sind - oder nur ein interner "Testballon".
Und überall, wo das anders geregelt wird, macht mindestens einer was falsch.
Ergo - für das aussuchen der Geräte/Software ist der Admin zuständig - genauso für den Preisvergleich. (Kosten/nutzen abwägung)
Das Abnicken und das auswählen der Alternativen - eine Management Entscheidung.

Gruß
Gagarin
Gagarin 07.04.2009 um 17:33:34 Uhr
Goto Top
Early accounts of the exploit used by Conficker arose in September of 2008. The patch for this exploit
was released by Microsoft on October 23 2008 , and those Windows PCs that receive automated
security updates have not been vulnerable to this exploit. Nevertheless, nearly a month later, in mid-
November, Conficker would utilize this exploit to scan and infect millions of unpatched PCs worldwide.
Quelle: http://mtc.sri.com/Conficker/

Das kann man sich auch im Law Enforcement Portal von MS durchlesen.

Wenn du moechtest kann ich auch noch mal beim MS Incident Response Team nachfragen damit du eine qulifizierte Aussage bekommst.

Euer Vorgehen bei dem Aufbau und Weiterentwicklung der IT-Infrastruktur passt sicher perfekt fuer ein kleineres Unternehmen.
aqui
aqui 08.04.2009 um 16:11:29 Uhr
Goto Top
So so...und bei großen Firmen wo das Management in der Regel aus Volljuristen, Kaufleuten und BWLern besteht die designen bei euch ein redundantes Unternehmensnetzwerk inkl. Telefonie und kümmern sich auch um den Aufbau einer ausfallsicheren Serverfarm inkl. SAN ???
Mit Verlaub, das ist doch etwas weltfremd, oder ??
Gagarin
Gagarin 08.04.2009 um 16:37:03 Uhr
Goto Top
Warum habe ich eigentlich das Gefuehl das ich mich hier fuer alles was ich Schreibe rechtfertigen muss? Es geht schon lange nicht mehr um die Diskussion ueber den von mir hier veroeffentlichen Beitrag.

Diese typisch deutsche Noergelei vergaellt es mir, dass ich hier in Zukunft noch mal aktiv waere.

Und nein es ist nicht Weltfremd das, dass Managment Unternehmensstrategische Entscheidungen trifft. Wozu gibt es eigentlich einen CIO oder CTO??? Der ist sicherlich kein einfacher Administrator der ansonsten Drucker austauscht.
16568
16568 08.04.2009 um 20:56:44 Uhr
Goto Top
Hallo Gagarin,

Du mußt Dich deswegen für alles rechtfertigen, was Du geschrieben hast, WEIL Du es geschrieben hast.
Die Diskussion geht sehr wohl um Deinen Beitrag.

Mit Verlaub, Timo und aqui sind beides "gestandene" Admins, die wissen, was sie schreiben.
Der Posten CIO ist meist fehlbesetzt, dies können Dir hier sicher noch einige andere Admins bestätigen.
(denn dort sitzt oft kein IT'ler, sondern ein BWL'er!)

Wenn es in Deiner Firma anders ist, pardon.
Bei uns hier ist es OFT so, daß diese Schlüsselposition qualitativ mangelhaft ist face-smile
(und nicht nur bei uns hier in DE, ich kenne hier aus dem Forum auch andere Mitglieder aus AT und CH, die das so unterschreiben...)

Nimm' Dir nicht immer alles so zu Herzen; habe ich früher gemacht, bis ich dann hier mal gegangen bin...
Nachdem ich meine Einstellung zu "Linux-Gurus", die wissen was eine Bash ist, aber putty als DOS-Fenster ansehen, geändert habe, sehe ich hier sehr viele Sachen etwas lockerer face-wink


Grüßle

Lonesome Walker
CeMeNt
CeMeNt 09.04.2009 um 07:52:20 Uhr
Goto Top
Nimm' Dir nicht immer alles so zu Herzen; habe ich früher
gemacht, bis ich dann hier mal gegangen bin...
Nachdem ich meine Einstellung zu "Linux-Gurus", die wissen
was eine Bash ist, aber putty als DOS-Fenster ansehen, geändert
habe, sehe ich hier sehr viele Sachen etwas lockerer face-wink

Oh ja, das kann ich bestätigen.
Früher hätte schon der erste Kommentar von Lonesome Walker (LSW) dazu führen können, dass Du Deine Mitgliedschaft sofort gekündigt hättest. face-wink

Mittlerweile ist LSW ja regelrecht handzahm geworden...

face-smile