Digital Forensics and Incident Response (DFIR) kombiniert zwei Bereiche der Cybersicherheit, um die Reaktion auf Bedrohungen zu optimieren und gleichzeitig Beweise gegen Cyberkriminelle zu sichern.
DFIR integriert zwei diskrete Disziplinen der Cybersicherheit: Digitale Forensik, die Untersuchung von Cyber-Bedrohungen, vor allem um digitale Beweise für die Verfolgung von Cyber-Kriminellen zu sammeln; und Incident Response, die Erkennung und Eindämmung von laufenden Cyber-Angriffen. Die Kombination dieser beiden Disziplinen hilft Sicherheitsteams, Bedrohungen schneller zu stoppen und gleichzeitig Beweise zu sichern, die andernfalls in der Dringlichkeit der Bedrohungsabwehr verloren gehen könnten.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Die digitale Forensik untersucht und rekonstruiert Cybersicherheitsvorfälle, indem sie digitale Beweise sammelt, analysiert und bewahrt – Spuren, die von Bedrohungsakteuren hinterlassen wurden, wie z.B.Malware-Dateien und bösartige Skripts. Diese Rekonstruktionen ermöglichen es den Ermittlern, die Ursachen von Angriffen zu ermitteln und die Schuldigen zu identifizieren.
Bei digitalen forensischen Untersuchungen gilt eine strenge Beweiskette (Chain of Custody) bzw. ein formaler Prozess zur Nachverfolgung der Beweismittelsammlung und -behandlung. Mit Hilfe der Beweiskette können die Ermittler nachweisen, dass die Beweise nicht manipuliert wurden. Folglich können Beweise aus digitalen forensischen Untersuchungen für offizielle Zwecke wie Gerichtsverfahren, Versicherungsansprüche und behördliche Audits verwendet werden.
Das National Institute of Standards and Technology (NIST) (Link befindet sich außerhalb von ibm.com) beschreibt vier Schritte für digitale forensische Untersuchungen:
Nach einem Sicherheitsverstoß sammeln forensische Ermittler Daten von Betriebssystemen, Benutzerkonten, mobilen Geräten und anderen Hardware- und Softwarekomponenten, auf die Bedrohungsakteure zugegriffen haben könnten. Zu den gängigen Quellen für forensische Daten gehören:
- Dateisystem-Forensik: Daten, die in Dateien und Ordnern gefunden wurden, die auf Endgeräten gespeichert sind.
- Speicherforensik: Daten, die im Direktzugriffsspeicher (Random Access Memory, RAM) eines Geräts gefunden werden.
- Netzwerk-Forensik: Daten, die durch die Untersuchung von Netzwerkaktivitäten wie Web-Browsing und Kommunikation zwischen Geräten gefunden werden.
- Anwendungsforensik: Daten, die in den Protokollen von Apps und anderer Software gefunden werden.
Um die Integrität der Beweise zu bewahren, erstellen die Ermittler Kopien der Daten, bevor sie diese verarbeiten. Sie sichern die Originale, damit sie nicht verändert werden können, und der Rest der Untersuchung wird an den Kopien durchgeführt.
Die Ermittler durchkämmen die Daten nach Anzeichen für cyberkriminelle Aktivitäten, wie Phishing-E-Mails, veränderte Dateien und verdächtige Verbindungen.
Ermittler verwenden forensische Techniken, um digitale Beweise zu verarbeiten, zu korrelieren und Erkenntnisse daraus zu gewinnen. Ermittler können auch auf proprietäre und Open-Source-Threat-Intelligence-Feeds zurückgreifen, um ihre Erkenntnisse mit bestimmten Bedrohungsakteuren zu verknüpfen.
Die Ermittler erstellen einen Bericht, in dem erklärt wird, was während des Sicherheitsvorfalls passiert ist, und, wenn möglich, Verdächtige oder Schuldige identifiziert werden. Der Bericht kann Empfehlungen zur Vereitelung künftiger Angriffe enthalten. Sie können an Strafverfolgungsbehörden, Versicherer, Regulierungsbehörden und andere Behörden weitergegeben werden.
Die Reaktion auf Vorfälle konzentriert sich auf die Erkennung und Reaktion auf Sicherheitsverletzungen. Das Ziel der Incident Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.
Die Maßnahmen zur Reaktion auf Vorfälle werden durch Notfallpläne (Incident Response Plans, IRP) gesteuert, in denen beschrieben wird, wie das Notfallteam mit Cyberbedrohungen umgehen sollte. Der Incident-Response-Prozess besteht aus sechs Standardschritten:
- Vorbereitung: Unter Vorbereitung versteht man den fortlaufenden Prozess der Risikobewertung, der Identifizierung und Behebung von Schwachstellen (Schwachstellenmanagement) und der Ausarbeitung von IRPs für verschiedene Cyberbedrohungen.
- Erkennung und Analyse: Incident Responder überwachen das Netzwerk auf verdächtige Aktivitäten. Sie analysieren Daten, filtern Fehlalarme heraus und sichten Warnungen.
- Eindämmung: Wenn eine Sicherheitsverletzung entdeckt wurde, unternimmt das Notfallteam Schritte, um die Ausbreitung der Bedrohung im Netzwerk zu verhindern.
- Beseitigung: Sobald die Bedrohung eingedämmt ist, entfernen die Einsatzkräfte sie aus dem Netzwerk, indem sie beispielsweise Ransomware-Dateien zerstören oder einen Bedrohungsakteur von einem Gerät entfernen.
- Sanierung: Wenn die Einsatzkräfte alle Spuren der Bedrohung beseitigt haben, stellen sie den normalen Betrieb der beschädigten Systeme wieder her.
- Prüfung nach dem Vorfall: Die für den Vorfall zuständigen Mitarbeiter prüfen den Vorfall, um zu verstehen, wie es dazu kam, und um sich auf zukünftige Bedrohungen vorzubereiten.
Wenn digitale Forensik und Incident Response getrennt voneinander durchgeführt werden, können sie sich gegenseitig behindern. Einsatzkräfte können Beweise verändern oder zerstören, während sie eine Bedrohung aus dem Netzwerk entfernen, und forensische Ermittler können die Lösung einer Bedrohung verzögern, während sie nach Beweisen suchen. Es kann sein, dass der Informationsfluss zwischen diesen Teams nicht funktioniert, wodurch alle weniger effizient sind, als sie sein könnten.
DFIR vereinigt diese beiden Disziplinen in einem einheitlichen Prozess, der von einem gemeinsamen Team durchgeführt wird. Dadurch ergeben sich zwei wichtige Vorteile:
erfolgt die forensische Datenerfassung parallel zur Entschärfung von Bedrohungen. Während des DFIR-Prozesses verwenden die Einsatzkräfte forensische Techniken, um digitale Beweise zu sammeln und zu sichern, während sie eine Bedrohung eindämmen und beseitigen. Dadurch wird sichergestellt, dass die Aufbewahrungskette eingehalten wird und wertvolle Beweise nicht durch die Maßnahmen zur Reaktion auf einen Vorfall verändert oder zerstört werden.
Die Überprüfung nach einem Vorfall umfasst auch das Überprüfen von digitalen Nachweisen. DFIR nutzt digitale Beweise, um Sicherheitsvorfällen auf den Grund zu gehen. DFIR-Teams untersuchen und analysieren die Beweise, die sie gesammelt haben, um den Vorfall von Anfang bis Ende zu rekonstruieren. Der DFIR-Prozess endet mit einem Bericht, in dem detailliert beschrieben wird, was passiert ist, wie es passiert ist, das gesamte Ausmaß des Schadens und wie ähnliche Angriffe in Zukunft vermieden werden können.
Die daraus resultierenden Vorteile umfassen:
- Effektivere Bedrohungsprävention. DFIR-Teams untersuchen Vorfälle gründlicher als herkömmliche Notfallteams. DFIR-Untersuchungen können Sicherheitsteams helfen, Cyberbedrohungen besser zu verstehen, effektivere Reaktionspläne (Incident Response Playbooks) zu erstellen und mehr Angriffe zu stoppen, bevor sie passieren. DFIR-Untersuchungen können auch dazu beitragen, die Bedrohungsjagd zu rationalisieren, indem sie Hinweise auf unbekannte aktive Bedrohungen aufdecken.
- Bei der Auflösung der Bedrohung gehen nur wenige oder gar keine Beweise verloren. Bei einer Standardreaktion auf einen Vorfall kann es vorkommen, dass die Einsatzkräfte in der Eile, die Bedrohung einzudämmen, einen Fehler machen. Wenn die Einsatzkräfte beispielsweise ein infiziertes Gerät ausschalten, um die Ausbreitung einer Bedrohung einzudämmen, gehen alle Beweise, die im Arbeitsspeicher des Geräts gespeichert sind, verloren. DFIR-Teams, die sowohl in digitaler Forensik als auch in der Reaktion auf Vorfälle geschult sind, sind in der Lage, Beweise zu sichern und gleichzeitig Vorfälle aufzuklären.
- Verbesserte Unterstützung bei Rechtsstreitigkeiten. DFIR-Teams folgen der Beweiskette, was bedeutet, dass die Ergebnisse von DFIR-Untersuchungen mit den Strafverfolgungsbehörden geteilt und zur Verfolgung von Cyberkriminellen verwendet werden können. DFIR-Untersuchungen können auch Versicherungsansprüche und behördliche Prüfungen nach einem Verstoß unterstützen.
- Schnellere und robustere Wiederherstellung von Bedrohungen. Da forensische Untersuchungen robuster sind als Standarduntersuchungen zur Reaktion auf Vorfälle, können DFIR-Teams versteckte Malware oder Systemschäden aufdecken, die sonst übersehen worden wären. Dies hilft den Sicherheitsteams, Bedrohungen zu beseitigen und sich von Angriffen gründlicher zu erholen.
In einigen Unternehmen befasst sich ein unternehmensinternes CSIRT-Team (Computer Security Incident Response), das manchmal auch als CERT-Team (Computer Emergency Response) bezeichnet wird, mit der Bearbeitung von DFIR. Zu den CSIRT-Mitgliedern können der Chief Information Security Officer (CISO), Security Operations Center (SOC) und IT-Mitarbeiter, Führungskräfte und andere Stakeholder aus dem gesamten Unternehmen gehören.
Vielen Unternehmen fehlen die Ressourcen, um DFIR aus eigener Kraft durchzuführen. In diesem Fall können sie externe DFIR-Serviceanbieter beauftragen, die auf Honorarbasis arbeiten.
Sowohl interne als auch externe DFIR-Experten verwenden die gleichen DFIR-Tools, um Bedrohungen zu erkennen, zu untersuchen und zu beseitigen. Dazu gehören:
Security Information and Event Management (SIEM): SIEM sammelt und korreliert Sicherheitsereignisdaten von Sicherheitstools und anderen Geräten im Netzwerk.
Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR): SOAR ermöglicht es DFIR-Teams, Sicherheitsdaten zu sammeln und zu analysieren, Workflows zur Reaktion auf Vorfälle zu definieren und sich wiederholende oder einfache Sicherheitsaufgaben zu automatisieren.
Endpoint Detection and Response (EDR): EDR integriert Endgeräte-Sicherheitstools und nutzt Echtzeitanalysen und KI-gesteuerte Automatisierung, um Unternehmen vor Cyberbedrohungen zu schützen, die Antivirensoftware und andere herkömmliche Endgeräte-Sicherheitstechnologien überwinden.
Extended Detection and Response (XDR): XDR ist eine offene Cybersicherheits-Architektur, die Sicherheitstools integriert und Sicherheitsoperationen auf allen Sicherheitsebenen vereinheitlicht – Benutzer, Endgeräte, E-Mails, Anwendungen, Netzwerke, Cloud-Workloads und Daten. Durch die Beseitigung von Sichtbarkeitslücken zwischen den einzelnen Tools hilft XDR den Sicherheitsteams, Bedrohungen schneller und effizienter zu erkennen und zu beseitigen und so den Schaden zu begrenzen, den sie verursachen.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Der Weg zu einer koordinierten Vorfallsreaktion beginnt mit der Befähigung der Mitarbeiter, der Entwicklung eines konsistenten, wiederholbaren Prozesses und der Nutzung von Technologie zur Ausführung. In diesem Leitfaden werden die wichtigsten Schritte zum Aufbau einer robusten Funktion für die Reaktion auf Vorfälle beschrieben.
Ein formeller IR-Plan ermöglicht es Cybersicherheitsteams, Schäden durch Cyberangriffe oder Sicherheitsverletzungen zu begrenzen oder zu verhindern.
Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.
Threat-Intelligence sind detaillierte, umsetzbare Informationen über Bedrohungen, die zur Prävention und Bekämpfung von Cyberbedrohungen gegen ein Unternehmen dienen.
Ransomware sperrt die Geräte und Daten von Opfern, bis Lösegeld bezahlt wird. Erfahren Sie, wie Ransomware funktioniert, warum sie sich in den letzten Jahren stark verbreitet hat und wie Unternehmen sich dagegen wehren können.