DFIR vereint zwei getrennte Disziplinen der Cybersicherheit: Digitale Forensik, die Untersuchung von Cyberbedrohungen, in erster Linie um digitale Nachweise für die Verfolgung von Cyberkriminellen zu sammeln, und Incident-Response, die Erkennung und Entschärfung von laufenden Cyberangriffen. DFIR hilft Sicherheitsteams, Bedrohungen schneller zu stoppen und gleichzeitig Nachweise zu sichern, die andernfalls in der Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten.
Digitale Forensik untersucht und rekonstruiert Cybersicherheitsvorfälle durch das Sammeln, Analysieren und Aufbewahren digitaler Nachweis – Spuren, die von Bedrohungsakteuren hinterlassen wurden, wie z. B. Malware-Dateien und bösartige Scripts. Diese Rekonstruktionen ermöglichen Ermittlern, die Ursache von Angriffen zu ermitteln und die Täter zu identifizieren.
Digitale forensische Untersuchungen folgen einer strikten Beweismittelkette oder einem formalen Prozess zur Verfolgung, wie Nachweise gesammelt und gehandhabt werden. Mit der Beweismittelkette können Ermittler nachweisen, dass Nachweise nicht manipuliert wurden. Als Ergebnis können Nachweise aus digitalen forensischen Untersuchungen für offizielle Zwecke wie Gerichtsverfahren, Versicherungsansprüche und behördliche Prüfungen verwendet werden.
Das National Institute of Standards and Technology (NIST) (PDF, 2,7 MB) (Link befindet sich außerhalb von ibm.com) beschreibt vier Schritte für digitale forensische Untersuchungen:
Nach einem Verstoß sammeln forensische Ermittler Daten von Betriebssystemen, Benutzerkonten, mobilen Geräten und anderen Hardware- und Softwarekomponenten, auf die Bedrohungsakteure zugegriffen haben könnten. Allgemeine Quellen für forensische Daten umfassen:
Um die Integrität der Nachweise zu erhalten, erstellen die Ermittler Kopien der Daten vor der Verarbeitung. Sie sichern die Originale, damit sie nicht geändert werden können, und der Rest der Untersuchung wird an den Kopien durchgeführt.
Die Ermittler untersuchen die Daten nach Anzeichen für cyberkriminelle Aktivitäten, wie Phishing-E-Mails, veränderte Dateien und verdächtige Verbindungen.
Ermittler verwenden forensische Techniken, um Erkenntnisse aus digitalen Nachweisen zu verarbeiten, korrelieren und extrahieren. Ermittler können auch auf proprietäre und quelloffene Bedrohungsdaten zurückgreifen, um ihre Erkenntnisse mit bestimmten Bedrohungsakteuren zu verknüpfen.
Die Ermittler erstellen einen Bericht, der die Ereignisse während des Sicherheitsvorfalls erklärt und Verdächtige oder, falls möglich, Täter identifiziert. Das Bericht kann Empfehlungen zum Verhindern von zukünftigen Angriffen enthalten. Er kann an Strafverfolgungsbehörden, Versicherer, Aufsichtsbehörden und andere Behörden weitergegeben werden.
Incident-Response konzentriert sich auf das Erkennen und Reagieren auf Sicherheitsverstöße. Das Ziel der Incident-Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.
Incident-Response-Maßnahmen werden durch Incident-Response-Pläne (IRP) geleitet, in denen beschrieben wird, wie das Notfallteam mit Cyberbedrohungen umgehen sollte. Der Incident-Response-Prozess hat sechs standardmäßige Schritte:
Wenn digitale Forensik und Incident-Response getrennt durchgeführt werden, können sie sich gegenseitig beeinträchtigen. Incident-Responder können Nachweise verändern oder zerstören, während sie eine Bedrohung aus dem Netzwerk entfernen. Forensische Ermittler können die Lösung der Bedrohung verzögern, während sie nach Nachweisen suchen. Es kann sein, dass Informationen zwischen diesen Teams nicht fließen, was alle etwas weniger effizient macht, als sie sein könnten.
DFIR verschmilzt diese beiden Disziplinen zu einem einzigen Prozess, der von einem Team durchgeführt wird. Daraus ergeben sich zwei wichtige Vorteile:
Forensische Datenerfassung findet parallel zur Entschärfung von Bedrohungen statt. Während des DFIR-Prozesses verwenden Incident-Responder forensische Techniken zur Erfassung und Erhaltung von digitalen Nachweisen, während sie eine Bedrohung entschärfen und beseitigen. Dadurch wird sichergestellt, dass die Beweismittelkette befolgt wird und wertvolle Angaben nicht durch Incident-Response-Maßnahmen verändert oder gelöscht werden.
Die Überprüfung nach dem Vorfall umfasst die Überprüfung des digitalen Nachweises. DFIR nutzt digitale Nachweise, um tiefer in Sicherheitsvorfälle einzutauchen. DFIR-Teams untersuchen und analysieren die gesammelten Nachweise, um den Vorfall von Anfang bis Ende zu rekonstruieren. Der DFIR-Prozess endet mit einem Bericht, der detailliert das volle Ausmaß des Schadens beschreibt, außerdem was passiert ist, wie es passiert ist und wie ähnliche Angriffe in Zukunft vermieden werden können.
Die Vorteile, die sich daraus ergeben, sind:
In einigen Unternehmen wird DFIR von einem internen IT-Sicherheitsteam zur Fehlerbehebung (Computer Security Incident Response Team, CSIRT), manchmal auch Computer Emergency Response Team (CERT) genannt, durchgeführt. Zu den CSIRT-Mitgliedern können der Chief Information Security Officer (CISO), das Security Operations Center (SOC) und IT-Mitarbeiter, Führungskräfte und andere Beteiligte aus dem gesamten Unternehmen gehören.
Vielen Unternehmen fehlen die Ressourcen, um DFIR selbst durchzuführen. In diesem Fall können sie externe DFIR-Dienste beauftragen, die auf Auftragsbasis arbeiten.
Sowohl interne als auch externe DFIR-Experten verwenden die gleichen DFIR-Tools, um Bedrohungen zu erkennen, zu untersuchen und zu beheben. Diese umfassen:
Sicherheitsinformationen und Ereignismanagement (SIEM): SIEM sammelt und korreliert Sicherheitsereignisdaten von Sicherheitstools und anderen Geräten im Netzwerk.
Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR): SOAR ermöglicht DFIR-Teams, Sicherheitsdaten zu erfassen und zu analysieren, Incident-Response-Workflows zu definieren und sich wiederholende oder einfache Sicherheitsaufgaben zu automatisieren.
Endpunkterkennung und -Antwort (Endpoint Detection and Response, EDR): EDR integriert Endpunkt-Sicherheitstools und nutzt Echtzeitanalysen und KI-gesteuerte Automatisierung, um Unternehmen vor Cyberbedrohungen zu schützen, die Antivirensoftware und andere herkömmliche Endpunkt-Sicherheitstechnologien umgehen.
Erweiterte Erkennung und Reaktion (XDR): XDR ist eine offene Cybersicherheits-Architektur, die Sicherheitstools integriert und Sicherheitsabläufe über alle Sicherheitsebenen hinweg vereinheitlicht – Benutzer, Endpunkte, E-Mail, Anwendungen, Netze, Cloud-Workloads und Daten. Durch die Beseitigung von Sichtbarkeitslücken zwischen verschiedenen Tools hilft XDR den Sicherheitsteams, Bedrohungen schneller und effizienter zu erkennen und zu beheben, und den Schaden den sie verursachen, einzuschränken.
Angriffe erkennen, eindämmen und Systeme wiederherstellen durch Vorbereitung auf Incident-Response (IR) und rund um die Uhr verfügbare IR-Notfallservices zur Reduzierung der Auswirkungen von Verstößen.
Schwerwiegende Schwachstellen und Bedrohungen aufdecken und verhindern, noch bevor sie sich auf Betriebsabläufe auswirken können.
Fangen Sie mit Netztransparenz und erweiterten Analysen an, bevor es zu spät ist.