Endpoint Detection and Response – R wie Response

Als ich in der IT anfing bestand die «Response» bei einem Vorfall meistens darin, den befallenen Rechner einfach neu aufzusetzen. Mit Ursachenforschung, geschweige denn weiterführender Spurensuchen im restlichen Netzwerk, hat man sich kaum auseinandergesetzt. Was auch gut dazu geeignet war, den Lehrling für ein paar Stunden zu beschäftigen. Dazu muss man auch sagen, dass vor 20 Jahren die Bedrohungslage noch etwas anders aussah als heute. Es gab wohl schon Viren und Würmer, die man sich beispielsweise auf NSFW-Websites einfangen konnte, trotz NSFW war das leider auch im Office ein Thema, denn Web Proxies mit URL Filter wurden noch nicht genutzt. Aber so richtig clevere, zielgerichtete Attacken wie man sie heute sieht, waren für die allermeisten Unternehmen kein Thema. Antivirus schlägt Alarm → Maschine wird frisch aufgesetzt → Problem gelöst.

Ein EDR-System wie beispielsweise das von CrowdStrike bietet für den Response Teil verschiedene Möglichkeiten. So lässt sich ein betroffenes System ohne viel Aufwand vom restlichen Netzwerk isolieren. Ein isoliertes Gerät darf dann nur noch mit der Cloud von CrowdStrike kommunizieren, alles andere wird konsequent unterbunden. Somit wird verhindert, dass sich eine Malware oder ein Angreifer weiter ausbreitet. Aber wie kann ich die Bedrohung beseitigen? Dafür gibt es die Real Time Response, eine Art Reverse Shell, die den Fernzugriff auf das betroffene Gerät erlaubt, auch wenn dieses isoliert ist.

In dieser Shell kann der Responder nun beispielsweise bösartige Files löschen, Prozesse abschiessen, modifizierte RegKeys bereinigen, eigene vorgefertigte Scripts benutzen oder den Rechner herunterfahren oder neustarten. Die Shell stellt somit ein sehr mächtiges Werkzeug zur Verfügung, das natürlich auch Potenzial zu Missbrauch bietet. Um dem entgegenzuwirken, kann über eine anpassbare Response Policy genau definiert werden, wer was darf und was nicht. Zudem wird über ein Rollen Modell gesteuert, welcher Benutzer welche Tätigkeiten übernehmen darf. Zusätzlich wird auch jeder Einsatz der Real Time Response genau protokoliert, so dass man für Audit Zwecke immer detailliert sehen kann, wer auf welchem System zu welcher Zeit welche Commands ausgeführt hat.

NIST

1. Preparation
2. Detection and Analysis
3. Containment, Eradication & Recovery
4. Post-Incident Activity

SANS

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery
6. Lessons learned

• Kontaktinformationen: von internen Mitarbeitern sowie von externen Partnern und Anlaufstellen.
• Verschiedene Kommunikationskanäle: bei einem Incident ist die interne Telefonanlage womöglich nicht verfügbar – Alternativen müssen her.
• Issue Tracking System: um festzuhalten was für Probleme auftreten und welche Schritte unternommen wurden.
• Containment Strategy: Ausarbeitung einer Eindämmungstrategie basierend auf Art und Schweregrad des Angriffs.
• Sichere Aufbewahrungsmöglichkeit für Beweissicherung: bei einem fortlaufenden Vorfall muss sichergestellt werden, dass die Beweise nicht zerstört werden können.

• Software / Hardware für Spurensicherung: Packet Sniffer, weiterführende Forensiksoftware, um Disk Images und Memorydumps analysieren zu können, EDR / NDR Systeme.
• Dokumentation der Umgebung: eingesetzte OS Versionen, Applikationen, Security Produkte.
• Netzwerkdiagramm
• Liste kritischer Systeme: welche Systeme müssen priorisiert behandelt werden? Ein ERP dürfte wichtiger sein als eine kollektive Musiksammlung im IT Share, es sei denn es hat echt guten Sound drauf
• Zugang zu sauberen Images und Backups: für System Restores. Stichwort offline Backups. Das gute alte Tape im Banktresor ist in so einem Fall sein Gewicht in Gold wert.

• Risk Assessment: Systeme sollten regelmässig auf ihre Verwundbarkeit geprüft werden. Kritische Systeme wie beispielsweise exponierte Webserver oder wichtige Datenbanken sollten priorisiert behandelt werden.
• Host Security: Sämtliche Server und Rechner im Netz sollten gehärtet werden. Dazu bietet Windows viele Konfigurationsmöglichkeiten, die über GPOs zentral verwaltet werden können. Zudem sollte mit dem Least Privilege Prinzip gearbeitet werden. Lokale Admin Rechte sind ein Jackpot für jeden Angreifer. Ein Kollege hat dazu einen lesenswerten Artikel verfasst: Least Privileges – ein Traum nicht nur für Träumer.

• Network Security: Umfasst sowohl Firewalls, Proxies und VPN. Aber auch Themen wie Network Discovery and Response und Netzwerksegmentierung.
• Malware Prevention: das schwächste Glied in der Kette ist und bleibt der Endpoint. Gerade mobile Mitarbeiter mit Laptops werden nicht durch herkömliche Perimeter Security Lösungen geschützt, die Rechner sollten also umbedingt entsprechend berücksichtigt werden.
• User Awareness: ist an und für sich eine gute Sache, wenn nicht regelmässig wiederholt und geprüft aber Perlen vor die Säue (etwas überspitzt vielleicht). Ich persönlich vertraue lieber auf solide technische Lösungen als auf die menschliche Komponente was den Schutz meiner Systeme angeht.

Um bei einem Vorfall zu verhindern, dass die aufgebotenen Incident Responder vom schieren Ausmass des Angriffs überwältigt werden, aber natürlich auch um den entstandenen Schaden möglichst klein zu halten, ist einer der wichtigsten Punkte die zügige Isolation betroffener Systeme. Abhängig vom Schweregrad des Angriffs, sollten als Teil der Vorbereitung verschiedene Eindämmungs-Strategien entwickelt werden, die ein rasches Handeln erleichtern. Beim Ausarbeiten einer solchen Strategie sollten unter anderem folgende Kriterien berücksichtigt werden:

• Potenzieller Schaden an und Diebstahl von Ressourcen
• Spurensicherung
• Service Verfügbarkeit, z.B. kritisch für Onlineshops
• Zeit und Ressourcen, die für die Anwendung der Strategie benötigt werden
• Effektivität der Strategie
• Dauer der Lösung, z.B. Notfall Workaround für x Stunden, temporärer Workaround für Tage oder Wochen, oder gar permanente Lösung

Strafrechtliche Verfolgung von Cybersecurity Vorfällen ist schwierig bis unmöglich. Nichtsdestotrotz ist eine Spurensicherung wichtig. Primär geht es bei der Spurensicherung darum, den Vorfall zu beenden, die gesammelten Beweise können aber zu einem späteren Zeitpunkt natürlich auch für rechtliche Schritte genutzt werden.

Sobald ein Angriff erstmal eingedämmt und mögliche Beweise gesichert sind, geht es daran die verschiedenen Komponenten des Vorfalls zu beseitigen. Dazu gehört unter anderem das Löschen allfälliger Malware auf Systemen, das Zurücksetzen geänderter Registry Keys, das Sperren kompromittierter Accounts oder aber gleich das Neuaufsetzen der Systeme. So geschehen im Mai 2019 bei Heise. Nachzulesen hier: https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html