Vorbereitung auf zukünftige Angriffe. Lösungsbeschreibung Implementieren der richtigen...

Vorbereitung auf

zukünftige Angriffe

www.emea.symantec.com/cyber-resilience

Stärkerer Fokus, weniger Risiko.

Lösungs-

beschreibung

Implementieren

der richtigen

Sicherheitsstrategie

für die Zukunft

Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft

Einführung

Jüngste Malware-Zwischenfälle haben

gezeigt, wie hoch die Kosten und der

Schaden sein können, die durch Cyber-

Angriffe entstehen.

Der Stuxnet-Wurm hat nach allgemeinem Kenntnisstand das iranische

Nuklearprogramm nachhaltig geschädigt und gilt allgemein als erste

funktionsfähige Cyber-Waffe.1 Shamoon gelang es, 30.000 Arbeitsstationen in

einem Erdölkonzern zu infizieren und außer Gefecht zu setzen.2 Ein weiterer

gezielter Malware-Angriff auf ein großes Unternehmen führte dazu, dass das

Unternehmen einen Verlust in Höhe von 66 Millionen US-Dollar als direkte Folge

des Angriffs zu verzeichnen hatte.3

Diese Angriffe sind möglicherweise nicht immer erfolgreich. Doch wenn Angreifer

ein Schlupfloch in das System eines Unternehmens finden, kann eine unmittelbare

und gut vorbereitete Reaktion den Schaden schnell begrenzen und Systeme

wiederherstellen, bevor größere Schäden entstehen.

Doch um eine solche Reaktion vorzubereiten, müssen Unternehmen wissen,

wie Angriffe verlaufen können, eine Gegenstrategie entwerfen, entscheiden,

wer für welche Maßnahmen zuständig ist, und anschließend den Plan testen

und weiter optimieren.


Verlauf von Angriffen Ein Angriff startet mit einem Eintrittspunkt in das Unternehmen. Dies kann

ein ungeschütztes System sein, auf das sich Hacker Zugriff verschaffen, ein

anfälliger Rechner, auf dem Malware ausgeführt wird, oder ein Benutzer,

der sich dazu verleiten ließ, Malware zu installieren. Dieser Eintrittspunkt

kann dann dazu genutzt werden, weitere Angriffe im gesamten Netzwerk

zu starten. Dies kann beispielsweise durch Eindringen in andere Systeme

oder den Einsatz von Malware, die nicht mit einem Patch geschlossene

Sicherheitslücken in Systemen ausnutzt und sich automatisch auf anderen

Systemen installiert, erfolgen.

Sobald ein System infiziert ist, können Angreifer weitere Malware installieren

oder die Kontrolle über das System übernehmen und Befehle übertragen.

Angreifer können auch versuchen, Informationen wie vertrauliche Dateien

oder Benutzernamen und Kennwörter, die auf dem System gespeichert sind,

auszuschleusen.

Schutz vor Angriffen Die meisten Angriffe lassen sich durch Implementieren grundlegender

Informationssicherheitsmaßnahmen abwehren. So kam das australische

Verteidigungsministerium zu dem Ergebnis, dass die Implementierung von

vier Minderungsstrategien ausreicht, um 85 Prozent der gezielten Angriffe

zu verhindern.4 Die britische Regierung weist darauf hin, dass es ausreicht,

sich auf zehn kritische Bereiche zu konzentrieren, um die meisten Cyber-

Bedrohungen abzuwehren.5

Als Mindestmaßnahme sollte ein Unternehmen sicherstellen, dass der

Netzwerkverkehr und Systeme auf Malware gescannt sowie Protokolle der

System- und Netzwerkaktivitäten aufbewahrt werden, um sie bei Bedarf zu

einem späteren Zeitpunkt analysieren zu können. Regelmäßig durchgeführte

Backups sind eine weitere wichtige Maßnahme, um sicherzustellen, dass die

normale Funktionsfähigkeit beschädigter Systeme wiederhergestellt werden kann.


Eintritt Ausbreitung

des Angriffs

Ausschleusung von

Informationen

Angreifer

Benutzer

Angreifer

Ausgeben von Befehlen



Mit angemessenen Informationssicherheitsmaßnahmen lässt sich die

Wahrscheinlichkeit, dass Angriffe erfolgreich sind, deutlich verringern. Doch

hinter jeder Schlagzeile über einen Cyber-Angriff verbirgt sich ein Unternehmen,

das fälschlicherweise davon ausgegangen war, ausreichend geschützt zu sein.

Größere Zwischenfälle passieren. Das muss bei der Planung berücksichtigt werden,

um Störungen des Geschäftsbetriebs zu reduzieren, Schäden einzudämmen

sowie die Zeit, die für die Wiederherstellung notwendig ist, zu verkürzen.

Vorbereitung auf Zwischenfälle Unternehmen sollten davon ausgehen, dass komplexe Angriffe gegen ihre

Systeme gestartet werden und sich entsprechend auf diese Möglichkeit

vorbereiten. In der Praxis ist diese Art von Angriffen eher selten. Doch um mit

den neuesten Entwicklungen bei Angriffen und Angriffstechniken Schritt zu

halten, sollten Unternehmen testen, ob ihre Systeme in der Lage sind, diese

Bedrohungen zu erkennen und abzuwehren.

Eine sorgfältige Vorbereitung stellt sicher, dass ein Angriff – wenn er tatsächlich

stattfindet – schnell erkannt werden kann. Viele identifizierte Vorfälle können

sich nach eingehender Analyse als Falschmeldungen (False Positives)

herausstellen. Andere wiederum können unbedeutend sein und keine massiven

Reaktionsmaßnahmen erfordern. Unternehmen sollten dennoch sicher sein,

dass sie sämtliche Vorfälle erfassen und aufzeichnen. Nur so können Angriffe,

die ein Eingreifen erforderlich machen, schnell identifiziert und eskaliert

werden. Dazu müssen zunächst die Eskalationskriterien und Mechanismen

festgelegt werden, nach denen ein erkannter Zwischenfall zur Aktivierung

eines Plans für die Reaktion auf Sicherheitsvorfälle führt.

Der erste Schritt des Plans sollte eine Bewertung der Situation sein. Als nächstes

sollten die Maßnahmen aufgeführt werden, die verhindern, dass sich der Angriff

auf andere Systeme ausbreitet und weitere Schäden verursacht. Bereits infizierte

Systeme müssen isoliert werden, um den Angriff einzudämmen. Systeme, die

bisher noch nicht infiziert wurden, müssen eventuell vorübergehend deaktiviert

werden, um zu verhindern, dass sich der Angriff innerhalb des Unternehmens

ausbreitet, und der Netzwerkzugriff muss eingeschränkt werden.

Auf Angriffe vorbereiten Reaktionsplan implementieren Reaktionsplan optimieren

Abbildung 2: Reaktionsphasen bei einem

Zwischenfall

Vorbereitung Reaktion WiederherstellungErkennung Prüfung

Uhrzeit

Angri

ff fi

ndet

statt A

ngreifer

wird e

rkannt

Syste

me w

erden

geschütz

t

Norm

albetr

ieb w

ird

wie

deraufg

enomm

en


In der Wiederherstellungsphase müssen Systeme auf den Zustand vor der

Infektion zurückgesetzt werden. Dieser Vorgang wird vereinfacht, wenn

Backups der betroffenen Systeme verfügbar sind, vorausgesetzt, sie sind frei

von Malware. Dabei sollte sorgfältig darauf geachtet werden, dass Systeme

in einen nicht infizierten Zustand zurückversetzt werden.

Jeder Zwischenfall sollte nachträglich überprüft werden, um festzustellen,

welche Verfahren gut funktioniert haben und wo es Mängel bei vorhandenen

Praktiken gab. Diese Gelegenheit sollte genutzt werden, um aus dem

Zwischenfall zu lernen und Verfahren so zu optimieren, dass das Sicherheitsniveau

des Unternehmens verbessert wird.

Aufstellen eines Reaktionsteams

In jedem Unternehmen sollte es nicht nur einen Reaktionsplan geben, sondern

auch ein Team, das diesen Plan in die Praxis umsetzt. Ein wichtiger Erfolgsfaktor

ist hierbei die Unterstützung durch die Geschäftsleitung. Tatsache ist, dass

bei einem sich schnell ausbreitenden Zwischenfall die Einbeziehung eines

leitenden Managers, der befugt ist, die für die Eindämmung und Beseitigung

des Vorfalls notwendigen Maßnahmen zu genehmigen, ein entscheidender

Vorteil sein kann. So kann man sich einen schnellen Vorsprung vor den

Angreifern verschaffen.



Diese Maßnahmen können sich auf Benutzer und Services innerhalb des

Unternehmens auswirken. Dies betrifft vor allem die Art und Weise, wie Benutzer –

und insbesondere das Reaktionsteam – untereinander kommunizieren. Daher

sollte es Überlegungen dazu geben, wie die Kommunikation aufrechterhalten

wird und wie Benutzer und Führungskräfte über den Verlauf der Vorfallsbehebung

informiert werden.

Mithilfe von forensischen Analysen sollte festgestellt werden, ob Daten

kompromittiert wurden. Außerdem dienen diese Analysen dazu herauszufinden,

wie Angreifer in die Systeme eindringen konnten. Die Sicherheitslücke, die

für den Angriff ausgenutzt wurde, muss vorrangig geschlossen werden, um

zu vermeiden, dass sie nach der Beseitigung des aktuellen Angriffs wiederholt

für einen weiteren Angriff genutzt wird. Die Erfassung und Aufbewahrung

forensischer Informationen kann auch dazu beitragen, die Verantwortlichen

für den Angriff ausfindig zu machen und strafrechtlich zu verfolgen.

Relevante Mitarbeiter aus Abteilungen, die möglicherweise von einem Vorfall

betroffen sind, sollten in das Reaktionsteam aufgenommen werden. Der wichtigste

Beitrag zu diesem Team kommt jedoch von den technischen Mitarbeitern,

die den Plan umsetzen und über die notwendigen Fachkenntnisse verfügen,

um den Schaden zu beheben.

Nicht jede Position innerhalb des Teams muss mit eigenen Mitarbeitern besetzt

werden. Externe Experten mit speziellen Fachkompetenzen und Erfahrungen

mit ähnlichen Vorfällen können das Team ergänzen.

Außerdem sollte die Zusammensetzung des Teams regelmäßig einer Prüfung

unterzogen werden. Teammitglieder sind eventuell gezwungen, über längere

Zeiträume in Bereitschaft zu sein und sollten daher von anderen Teammitgliedern

abgelöst werden, um sich auszuruhen. Übungen und Tests könnten zusätzliche

Fähigkeiten aufzeigen, die im Team vorhanden sein sollten.

Testen des Plans

Gravierende Angriffe sind eher selten. Das ideale Ergebnis wäre, wenn der

Vorfallsplan und die Fachkenntnisse des Reaktionsteams nie zum Einsatz kämen.

Doch dadurch entstehen neue Risiken. Durch regelmäßiges Testen des

Vorfallsplans lassen sich Schwachpunkte aufdecken und verhindern, dass

Fachkenntnisse, die nicht genutzt werden, in Vergessenheit geraten.

Diese Testläufe können auf dem Papier stattfinden, indem die Reaktion auf einen

neuen Angriff und die Behebung des Vorfalls in der Theorie durchgespielt

werden. Oder diese Tests werden in Form einer praktischen Übung durchgeführt,

bei der ein Team aus Penetrationstestern simuliert, wie Angreifer ein System

infizieren können.

Regelmäßige Übungen tragen dazu bei, dass die Teammitglieder mit ihren

Funktions- und Verantwortungsbereichen vertraut sind. Durch das Testen

einer Reihe unterschiedlicher Angriffssituationen wird sichergestellt, dass

Verfahren umfassend und flexibel genug sind, um auf zukünftige Angriffe

reagieren zu können. Teams sollten nach folgendem Schema vorgehen: Planen,

Umsetzen, Prüfen und Handeln.





Planen Aufstellen von Zielen, Richtlinien und Verfahren, die sich

nach den Bedürfnissen des Unternehmens richten.

Umsetzen Implementieren dieser Richtlinien und Verfahren.

Prüfen Überprüfen, ob diese in der Praxis zum gewünschten

Ergebnis führen.

Handeln Ergreifen von Maßnahmen, um Pläne aufgrund gesammelter

Erfahrungen zu überarbeiten und sie auf diese Weise zu

optimieren.

Stärkerer Fokus, weniger Risiko.

P

lanen

Umse

tze

n

Hand

eln Prüfe

n

Fazit

Unternehmen müssen wissen, wie

Angriffe verlaufen, die richtigen

Verfahren implementieren und

eine klare Reaktionsstrategie

entwickeln. Dann können sie künftige

Bedrohungen besser abwehren und

Schäden nach einem Zwischenfall

schneller beseitigen.

Referenzen

1 N. Falliere, L. O. Murchu, E. Chien, "W32. Stuxnet Dossier", Symantec

Security Response Whitepaper, Februar 2007

S. Davies, "Out of Control", Engineering & Technology v.6 (6) S. 60-62,

Juli 2011

2 D. Walker "Saudi Oil Company Back Online After Cyber Sabotage Attempt",

SC Magazine, 27. August 2012

3 H. Tsukayama, "Cyber Attack on RSA Cost EMC $66 Million", The Washington

Post, 26. Juli 2011

4 "Top Four Mitigation Strategies to Protect Your ICT System", Australian

Government Department of Defence Intelligence and Security, S. 1,

September 2011

5 "Executive Companion: 10 Steps to Cyber Security", Dept. for Business

Innovation & Skills, Centre for the Protection of National Infrastructure,

Office of Cyber Security & Information Assurance, S. 1, September 2012

Mehr zu diesem Thema

"Computer Security Incident Handling Guide. Recommendations of the National

Institute of Standards and Technology", NIST SP 800-61 Rev. 2.

"Guide to Malware Incident Prevention and Handling. Recommendations of

the National Institute of Standards and Technology", NIST SP 800-83 Rev. 2.

BS ISO/IEC 27002:2005 Information technology – Security techniques

– Code of practice for information security management.


– Information security incident management.

PD ISO/IEC TR 18044:2004 Information technology – Security techniques

– Information security incident management.


– Guidelines for information and communication technology readiness

for business continuity.

"Best Practices for Troubleshooting Viruses on a Network",

Symantec Support-Datenbank

B. Nahorney & E. Maengkom, "Containing an Outbreak.

How to clean your network after an incident.", Symantec Security

Response Whitepaper.

Symantec Security Response, "Security Best Practices"

Symantec-Schulung, "Security Awareness Program"

Lösungsbeschreibung: Symantec Managed Security Services, "Symantec

Security Monitoring Services: Security log management, monitoring, and

analysis by certified experts"

Lösungsbeschreibung: Symantec Managed Security Services, "Symantec

Managed Protection Services: Optimize enterprise security protection while

maintaining control"

Symantec (Deutschland) GmbH

Wappenhalle

Konrad-Zuse-Platz 2-5

D-81829 München

Tel.: +49 (0)89 9 43 02-0

Fax: +49 (0)89 9 43 02-950

www.symantec.de

Symantec ist ein weltweit führender

Anbieter für Sicherheits-, Speicher- und

Systemverwaltungslösungen, die Kunden

bei der Absicherung und Verwaltung ihrer

Informationen und Identitäten unterstützen.

Symantec und das Symantec-Logo sind Marken

oder eingetragene Marken der Symantec

Corporation oder der mit ihr verbundenen

Unternehmen in den USA oder in anderen

Ländern. Andere Bezeichnungen können

Marken anderer Rechteinhaber sein.

© 2013 Symantec Corporation. Alle Rechte

vorbehalten. Alle Produktinformationen

können sich jederzeit ohne vorherige

Ankündigung ändern.

Symantec (Deutschland) GmbH,

Wappenhalle, Konrad-Zuse-Platz 2-5,

81829 München, Amtsgericht München,

HRB 148165, USt-IdNr.: DE119364980,

Geschäftsführer: Austin McCabe und

Norman Osumi. 12/12

Diese und zusätzliche Ressourcen

finden Sie unter: www.symantec.com/de/de/security_response


Stärkere Fokussierung, weniger Risiko.

Vorbereitung auf zukünftige Angriffe. Lösungsbeschreibung Implementieren der richtigen...

Technology

Transcript of Vorbereitung auf zukünftige Angriffe. Lösungsbeschreibung Implementieren der richtigen...