Auf dieser SeiteModulübersichtIst Ihre IT-Abteilung in der Lage, auf Sicherheitsverletzungen zu reagieren? Viele Organisationen reagieren auf Sicherheitsverletzungen erst professionell, nachdem diesen ein Angriff widerfahren ist. Zu diesem Zeitpunkt kann sich die Sicherheitsverletzung jedoch als kostenintensiver als nötig herausstellen. Eine geeignete Reaktion auf Sicherheitsverletzungen sollte ein wichtiger Bestandteil Ihrer gesamten Sicherheitsrichtlinien und Ihrer Strategie zur Reduzierung von Risiken sein. Die Reaktion auf Sicherheitsverletzungen ist häufig notwendig. Diese Reaktion beinhaltet jedoch nicht immer nur rein technische Lösungen und für den richtigen Umgang mit einer Situation muss häufig das höhere Management miteinbezogen werden. Wenn Sie sich auf Sicherheitsverletzungen vorbereiten, können Sie wichtige Entscheidungsträger bereits vorher konsultieren. Dadurch können Sie bei einem Angriff schneller Sicherheitsmaßnahmen einleiten. Die Reaktion auf Sicherheitsverletzungen hat eindeutig direkte Vorteile. Diese Reaktion bringt jedoch häufig auch indirekte finanzielle Vorteile mit sich. So kann Ihre Versicherung Ihnen beispielsweise Rabatte gewähren, wenn Sie eine schnelle und kosteneffektive Handhabung von Angriffen in Ihrer Organisation nachweisen können. Im Falle eines Dienstanbieters kann ein formeller Reaktionsplan für Zwischenfälle positive Auswirkungen auf die Geschäftsentwicklung haben, da dieser zuverlässige Informationssicherheit demonstriert. Dieses Modul stellt einen Prozess und Vorgehensweisen vor, die Sie beim Reagieren auf Eindringungen in eine auf dem Betriebssystem Microsoft Windows 2000 Server basierende Umgebung verwenden können. Das Modul beschreibt die Notwendigkeit, ein Krisenteam für Sicherheitsverletzungen mit expliziten Teammitgliedsrollen zu bilden. Es erläutert ebenfalls das Definieren eines Reaktionsplans für Sicherheitsverletzungen. Eine Fallstudie verdeutlicht, wie Sie diesen Prozess und seine Vorgehensweisen auf Ihre Organisation anwenden. Zielsetzung| • | Verständnis des Zwecks von Reaktionsplanungen für Sicherheitsverletzungen, und Einführung in einen für Ihre Organisation geeigneten Plan. | | • | Verständnis der Rolle und der Zusammenstellung eines Krisenteams für Sicherheitsverletzungen, und Erstellen eines effektiven Teams in Ihrer Organisation. | | • | Minimieren der Auswirkungen von auftretenden Sicherheitsverletzungen. | | • | Festhalten von Beweisen für rechtliche Schritte. |
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien: | • | Die gesamte IT-Infrastruktur |
Der Nutzen dieses ModulsVerwenden Sie dieses Modul zum Erstellen und Einführen eines Reaktionsplans und Krisenteams für Sicherheitszwischenfälle, die die Anforderungen Ihrer Organisation erfüllen. Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul: | • |
Lesen Sie das Modul "Überwachung und Eindringungserkennung in Windows 2000."
|
Minimieren der Anzahl und des Schweregrads von SicherheitsverletzungenIn vielen Bereichen des Lebens gilt der Grundsatz: Vorsorge ist besser als Heilung. Die Sicherheit ist dabei keine Ausnahme. Sie möchten grundsätzlich verhindern, dass Sicherheitsverletzungen überhaupt auftreten. Es ist jedoch unmöglich, alle Sicherheitsverletzungen zu verhindern. Sie müssen daher sicherstellen, dass bei einer tatsächlichen Sicherheitsverletzung die Auswirkungen möglichst gering sind. Sie können sinnvolle Maßnahmen ergreifen, um die Anzahl und die Auswirkungen von Sicherheitsverletzungen zu minimieren. Diese beinhalten sowohl präventive als auch reagierende Maßnahmen: | • | Genaues Erstellen und Erzwingen aller Richtlinien und Verfahren. Viele Sicherheitsverletzungen werden versehentlich von IT-Mitarbeitern erzeugt, die die Änderungsverwaltungsverfahren nicht befolgt oder verstanden haben, oder die Sicherheitsgeräte (zum Beispiel Firewalls und Authentifizierungssysteme) nicht ordnungsgemäß konfiguriert haben. Sie sollten durch sorgfältiges Prüfen der Richtlinien und Verfahren sicherstellen, dass diese praktisch und verständlich sind und den gewünschten Sicherheitsgrad bieten. | | • | Einholen der Managementunterstützung für Sicherheitsrichtlinien und die Handhabung von Zwischenfällen. | | • | Regelmäßiges Beurteilen der Sicherheitslücken in Ihrer Umgebung. Dies sollte von einem Sicherheitsexperten mit speziellen Berechtigungen zum Ausführen dieser Aktionen durchgeführt werden. | | • | Regelmäßiges Überprüfen der Server, um die Installation der neuesten Patches sicherzustellen. | | • | Einrichten von Sicherheitstrainingsprogrammen sowohl für die IT-Mitarbeiter als auch für die Endbenutzer. Das größte Sicherheitsrisiko in jedem System bildet der arglose Benutzer. Der Wurm "ILOVEYOU" nutzte dieses Sicherheitsrisiko unter IT-Mitarbeitern und Endbenutzern effektiv aus. | | • | Veröffentlichen von Sicherheitsbannern, um die Benutzer an ihre Verantwortung und Einschränkungen zu erinnern und vor einer möglichen Verfolgung bei Verletzungen dieser zu warnen. Ohne diese Banner kann eine Verfolgung von Angreifern schwierig oder unmöglich sein. Sie sollten rechtlichen Rat einholen, um den geeigneten Wortlaut des Sicherheitsbanners zu gewährleisten. | | • | Entwickeln, Implementieren und Erzwingen einer Richtlinie, die komplexe Kennwörter erfordert. | | • | Regelmäßiges Überwachen und Analysieren von Netzwerkverkehr und Systemleistung. | | • | Regelmäßiges Überprüfen aller Protokolle und Protokollierungsmechanismen. Dazu zählen die Ereignisprotokolle des Betriebssystems, anwendungsspezifische Protokolle sowie die Protokolle der Systeme zur Erkennung von Eindringungsversuchen. | | • | Überprüfen der Sicherungs- und Wiederherstellungsprozeduren. Sie sollten den Speicherort Ihrer Sicherungen, deren Zugriffsberechtigungen sowie die Prozeduren zur Daten- und Systemwiederherstellung kennen. Überprüfen Sie Sicherungen und Medien regelmäßig durch einzelne Datenwiederherstellungen. | | • | Erstellen eines Krisenteams für Computersicherheitsverletzungen (CSIRT). Dieses Team ist eine Gruppe von Personen, die für die Handhabung aller Sicherheitsverletzungen verantwortlich ist. In Ihrem CSIRT-Krisenteam sollten die Aufgaben der Mitglieder eindeutig definiert sein, damit in Ihrer Reaktion jeder Bereich abgedeckt ist (Weitere Informationen über das Aufstellen eines CSIRT-Krisenteams finden Sie an späterer Stelle in diesem Modul). | | • | Trainieren der Mitglieder des CSIRT-Krisenteams für die richtige Verwendung von wichtigen Sicherheitstools und das Auffinden dieser Tools. Sie sollten darüber hinaus die Bereitstellung von tragbaren und mit diesen Tools vorkonfigurierten Computern in Betracht ziehen, um keine Zeit durch Installieren und Konfigurieren von Tools für die Reaktion auf eine Sicherheitsverletzung zu verlieren. Diese Systeme und die zugewiesenen Tools müssen ausreichend geschützt werden, wenn sie nicht verwendet werden. | | • | Zusammenstellen aller relevanten Kommunikationsinformationen. Sie müssen über die Namen und Telefonnummern der Kontaktpersonen in Ihrer Organisation verfügen, die benachrichtigt werden müssen (einschließlich der Mitglieder des CSIRT-Krisenteams, die für die Unterstützung aller Systeme und die für die Medienbeziehungen verantwortlich sind). Sie benötigen außerdem Informationen für Ihren Internetdienstanbieter und für kommunale Einrichtungen sowie Einrichtungen auf Landes- bzw. Bundesebene, die für Strafanzeigen in diesem Bereich verantwortlich sind. Wenden Sie sich unter Umständen an die kommunale Einrichtung, bevor eine Sicherheitsverletzung eintritt. Sie können dadurch sicherstellen, dass Sie die richtigen Verfahren für das Melden von Sicherheitsverletzungen und das Sammeln von Beweisen einleiten. | | • | Ablegen aller Systeminformationen für den Notfall an einem zentralen Offlineort, wie zum Beispiel einem physischen Notebook oder einem Offlinecomputer. Diese Notfallinformationen enthalten Kennwörter für Systeme, Internetprotokolladressen, Routerkonfigurationsinformationen, Listen mit Firewallregelsätzen, Kopien von Zertifizierungsstellenschlüsseln, Kontaktnamen und Telefonnummern, Eskalationsverfahren, usw. Diese Informationen müssen physisch besonders sicher aufbewahrt werden und jederzeit verfügbar sein. Eine Möglichkeit zum Sichern und schnellem Bereitstellen dieser Informationen ist das Verschlüsseln dieser auf einem für die Sicherheit bestimmten, tragbaren Computer, der in einem sicheren Raum aufbewahrt wird. Der Zugriff auf diesen Raum ist dabei auf autorisierte Personen beschränkt, wie zum Beispiel den Leiter des CSIRT-Krisenteams und den CIO oder CTO. |
Zusammenstellen des Krisenteams für ComputersicherheitsverletzungenDas CSIRT-Krisenteam ist der zentrale Kommunikationspunkt für die Handhabung von Computersicherheitsverletzungen in Ihrer Umgebung. Der Verantwortungsbereich des Teams umfasst die folgenden Aufgaben: | • | Überwachen des Systems auf Sicherheitsverletzungen. | | • | Darstellen eines zentralen Kommunikationspunktes, der sowohl Berichte über Sicherheitsverletzungen erhält, als auch wichtige Informationen über die Sicherheitsverletzung an entsprechende Einrichtungen verteilt. | | • | Dokumentieren und Katalogisieren von Sicherheitsverletzungen | | • | Fördern des Sicherheitsbewusstseins innerhalb des Unternehmens, um das Auftreten von Sicherheitsverletzungen in der Organisation zu verhindern. | | • | Unterstützen von System- und Netzwerküberwachungen über Prozesse, wie zum Beispiel Bewertung von Sicherheitslücken sowie die Simulation von Eindringungsversuchen. | | • | Regelmäßiges Informieren über neue Sicherheitslücken und Angriffsstrategien, die von Angreifern verwendet werden. | | • | Regelmäßiges Installieren von neuen Softwarepatches. | | • | Analysieren und Entwickeln von neuen Technologien für eine Reduzierung der Sicherheitslücken und Risiken. | | • | Bereitstellen von Sicherheits-Consultingdiensten. | | • | Fortlaufendes Verbessern und Aktualisieren der aktuellen Systeme und Verfahren. |
Die ideale Mitgliedschaft und Struktur des CSIRT-Krisenteams hängt vom Typ Ihrer Organisation und von Ihrer Risikomanagementstrategie ab. Das CSIRT-Krisenteam sollte jedoch grundsätzlich einen Teil des Sicherheitsteams oder das gesamte Sicherheitsteam Ihrer Organisation bilden. Innerhalb des Kernteams sind Sicherheitsexperten für die Koordination der Reaktionen auf jede Sicherheitsverletzung verantwortlich. Die Anzahl der Mitglieder in dem CSIRT-Krisenteam hängt in der Regel von der Größe und Komplexität Ihrer Organisation ab. Sie sollten jedoch sicherstellen, dass genügend Mitglieder für eine ausreichende Ausführung alle Aufgaben des Teams zu jeder Zeit gewährleistet ist. CSIRT-KrisenteamleiterDas CSIRT-Krisenteam muss über eine Person verfügen, die für die Aktivitäten des Teams verantwortlich ist. Der CSIRT-Krisenteamleiter ist in der Regel für die Aktivitäten des CSIRT-Krisenteams verantwortlich und koordiniert die Überprüfungen der Aktionen des Teams. Dies kann zu Änderungen in den Richtlinien und Verfahren für die Handhabung von zukünftigen Sicherheitsverletzungen führen. Leiter für eine Sicherheitsverletzung im CSIRT-KrisenteamIm Falle einer Sicherheitsverletzung sollte eine Person für das Koordinieren der Reaktion verantwortlich sein. Der Leiter für eine Sicherheitsverletzung im CSIRT-Krisenteam ist für eine bestimmte Sicherheitsverletzung oder einen Satz von zusammenhängenden Sicherheitsverletzungen verantwortlich. Die gesamte Kommunikation bezüglich des Ereignisses wird durch den Leiter der Sicherheitsverletzung koordiniert. In Gesprächen mit Personen außerhalb des CSIRT-Krisenteams repräsentiert dieser Leiter das gesamte CSIRT-Krisenteam. Der Leiter einer Sicherheitsverletzung hängt von der Art der Sicherheitsverletzung ab und unterscheidet sich in der Regel vom CSIRT-Krisenteamleiter. Dem CSIRT-Krisenteam zugewiesene MitgliederSie sollten neben dem CSIRT-Kernkrisenteam auch über eine Reihe von bestimmten Personen verfügen, die bestimmte Sicherheitsverletzungen handhaben und auf diese reagieren. Die zugewiesenen Mitglieder kommen aus einer Vielzahl von verschiedenen Abteilungen in der Organisation. Sie sollten auf Bereiche spezialisiert sein, die zwar von Sicherheitsverletzungen betroffen sind, aber nicht direkt vom CSIRT-Kernkrisenteam gehandhabt werden. Die zugewiesenen Mitglieder können direkt in eine Sicherheitsverletzung miteinbezogen sein, oder als Ansprechpartner dienen, der die Verantwortung an eine entsprechende Person in seiner Abteilung delegiert. Die folgende Tabelle zeigt einige empfohlene zugewiesene Mitglieder und deren Rollen. Tabelle 1: Dem CSIRT-Krisenteam zugewiesene Mitglieder IT-Kontakt | Ist hauptsächlich für das Koordinieren der Kommunikation zwischen dem Leiter für eine Sicherheitsverletzung im CSIRT-Krisenteam und den restlichen Personen in der IT-Gruppe verantwortlich. Der IT-Kontakt verfügt nicht über die speziellen technischen Kenntnisse, um auf eine Sicherheitsverletzung zu reagieren. Der IT-Kontakt ist jedoch hauptsächlich für das Suchen von Personen in der IT-Gruppe verantwortlich, die bestimmte Sicherheitsereignisse handhaben. | Mitarbeiter der Rechtsabteilung | In der Regel ist dieser ein Mitglied der internen Rechtsabteilung, der mit den erstellten Richtlinien für das Reagieren auf Sicherheitsverletzungen vertraut ist. Der Mitarbeiter der Rechtsabteilung bestimmt die Vorgehensweise bei einer Sicherheitsverletzung, um mit minimaler Haftung eine größtmögliche Verfolgung der Täter zu erzielen. Der Mitarbeiter der Rechtsabteilung sollte schon vor dem Auftreten einer Sicherheitsverletzung beim Erstellen von Überwachungs- und Reaktionsrichtlinien beteiligt sein. Auf diese Weise wird sichergestellt, dass die Organisation bei einer Aufräum- oder Eindämmungsoperation keine rechtlichen Risiken eingeht. Die Legalität des Herunterfahrens eines Systems und das daraus resultierende potenzielle Verletzen von Vereinbarungen über die Bereitstellung von Diensten oder Mitgliedsvereinbarungen mit Ihren Kunden muss im Gegensatz zu einer Aufrechterhaltung des Betriebs des betroffenen Systems und der daraus resultierenden Verantwortung für Schäden, die durch auf diesem System gestartete Angriffe verursacht werden, berücksichtigt werden. Es sollte auch jede Kommunikation außerhalb von Einrichtungen für Strafanzeigen oder Strafverfolgung mit dem Mitarbeiter der Rechtsabteilung koordiniert werden. | Mitarbeiter der PR-Abteilung | Der Mitarbeiter der PR-Abteilung ist für den Schutz und die Förderung des Images der Organisation verantwortlich. Diese Person muss nicht der eigentliche Ansprechpartner für die Medien und die Kunden sein, aber sie ist für das Gestalten der Meldung verantwortlich (der Inhalt und das Ziel der Meldung liegt in der Regel in der Verantwortung des Managements). Alle Medienanfragen sollten an den Mitarbeiter der PR-Abteilung weitergeleitet werden. | Management | Die Managementbeteiligung kann von einer Abteilung bis zur gesamten Organisation reichen. Die entsprechende Managementperson unterscheidet sich je nach Auswirkung, Ort, Schweregrad und Art der Sicherheitsverletzung. Wenn Sie über einen Managementkontakt verfügen, können Sie auf einfache Weise die Person herausfinden, die am besten für die bestimmten Umstände geeignet ist. Das Management ist für das Genehmigen und Weiterleiten von Sicherheitsrichtlinien verantwortlich. Das Management ist darüber hinaus für das Bestimmen der gesamten Auswirkungen (sowohl die finanziellen als auch die anderen Auswirkungen) der Sicherheitsverletzung auf die Organisation verantwortlich. Das Management weist den Mitarbeiter der PR-Abteilung bezüglich der Informationen an, die an die Medien weitergegeben werden, und bestimmt den Grad der Zusammenarbeit zwischen dem Mitarbeiter der Rechtsabteilung und den staatlichen Rechtseinrichtungen. |
So reagiert das CSIRT-Krisenteam auf eine SicherheitsverletzungIm Falle einer Sicherheitsverletzung koordiniert das CSIRT-Krisenteam eine Reaktion vom CSIRT-Kernkrisenteam und kommuniziert mit den zugewiesenen Mitgliedern des CSIRT-Krisenteams. Die folgende Tabelle zeigt die Verantwortlichkeiten dieser Personen in einem Reaktionsprozess auf eine Sicherheitsverletzung. Tabelle 2: Verantwortlichkeiten des CSIRT-Krisenteams während des Reaktionsprozesses auf eine Sicherheitsverletzung | Leiter für eine Sicherheitsverletzung im CSIRT-Krisenteam | IT-Kontakt | Mitarbeiter der Rechtsabteilung | Mitarbeiter der PR-Abteilung | Management | Erste Bestandsaufnahme | Verantwortlich | Berät | Keine | Keine | Keine | Erste Reaktion | Verantwortlich | Implementiert | Aktualisiert | Aktualisiert | Aktualisiert | Sammeln von forensischen Beweisen | Implementiert | Berät | Verantwortlich | Keine | Keine | Implementieren einer temporären Korrektur | Verantwortlich | Implementiert | Aktualisiert | Aktualisiert | Berät | Senden von Kommunikation | Berät | Berät | Berät | Implementiert | Verantwortlich | Absprechen mit kommunalen Rechtseinrichtungen | Aktualisiert | Aktualisiert | Implementiert | Aktualisiert | Verantwortlich | Implementieren einer permanenten Korrektur | Verantwortlich | Implementiert | Aktualisiert | Aktualisiert | Aktualisiert | Bestimmen der finanziellen Auswirkungen auf den Geschäftsprozess | Aktualisiert | Aktualisiert | Berät | Aktualisiert | Verantwortlich |
Definieren eines Reaktionsplans für SicherheitsverletzungenAlle Mitglieder Ihrer IT-Umgebungen sollten die Maßnahmen kennen, die im Falle einer Sicherheitsverletzung ausgeführt werden müssen. Obwohl das CSIRT-Krisenteam die meisten Aktionen als Reaktion auf eine Sicherheitsverletzung ausführt, sollten alle IT-Mitarbeiter wissen, wie Sicherheitsverletzungen intern gemeldet werden. Die Endbenutzer sollten verdächtige Aktivitäten direkt an die IT-Mitarbeiter oder über einen Helpdesk melden, anstatt sie direkt an das CSIRT-Krisenteam zu berichten. Der Reaktionsplan für Sicherheitsverletzungen sollte von allen Teammitgliedern detailliert überprüft werden und allen IT-Mitarbeiter leicht zugänglich sein. Dadurch wird im Falle einer Sicherheitsverletzung sichergestellt, dass die richtigen Maßnahmen befolgt werden. Der Reaktionsplan für Sicherheitsverletzungen sollte die folgenden Schritte umfassen: | • | Durchführen einer ersten Bestandsaufnahme. | | • | Bekanntgabe der Sicherheitsverletzung. | | • | Eindämmen des Schadens und Minimieren des Risikos. | | • | Identifizieren des Typs und des Schweregrads der Gefährdung. | | • | Sichern von Beweisen. | | • | Informieren von externen Einrichtungen. | | • | Wiederherstellen der Systeme. | | • | Zusammenstellen und Strukturieren der Sicherheitsverletzungsdokumentation. | | • | Beurteilen der Schäden und Kosten der Sicherheitsverletzung. | | • | Überprüfen der Reaktion und Aktualisieren der Richtlinien. |
Hinweis: Das Word-Dokument "The Incident Response Quick Reference Card" kann während einer Sicherheitsverletzung als Prüfliste verwendet werden, um eine ordnungsgemäße Ausführung aller Phasen zu gewährleisten. Der Dateiname für dieses Dokument lautet JA1001.doc. Die Datei befindet sich in der ausführbaren, selbstextrahierenden Datei SecWin2k.exe, die diesem Handbuch beigefügt ist. Diese Schritte müssen nicht zwingend aufeinander folgen. Allerdings werden sie während der Sicherheitsverletzung ausgeführt. Die Dokumentation startet zum Beispiel ganz am Anfang und setzt sich über den gesamten Lebenszyklus einer Sicherheitsverletzung fort. Die Kommunikation findet ebenfalls während der gesamten Sicherheitsverletzung statt. Andere Aspekte des Prozesses werden nebeneinander ausgeführt. So erhalten Sie zum Beispiel als Teil der ersten Bestandaufnahme einen Einblick in die allgemeine Art des Angriffs. Sie müssen diese Informationen so schnell wie möglich verwenden, um den Schaden einzudämmen und das Risiko zu minimieren. Wenn Sie schnell reagieren, können Sie Zeit und Kosten sparen und das Ansehen Ihrer Organisation wahren. Sie können jedoch den Schaden erst wirklich effektiv eindämmen und das Risiko minimieren, wenn Sie über detaillierte Informationen über den Typ und Schweregrad der Gefährdung verfügen. Eine übereifrige Reaktion kann sogar mehr Schaden verursachen, als der erste Angriff selbst. Wenn Sie diese Schritte nebeneinander ausführen, erzielen Sie den besten Kompromiss zwischen schnellem und effektivem Handeln. Hinweis: Es ist besonders wichtig, dass Sie den Reaktionsprozess für eine Sicherheitsverletzung vor dem Auftreten einer Sicherheitsverletzung gründlich prüfen. Ohne eine gründliche Prüfung können Sie nicht sicherstellen, dass die aufgestellten Maßnahmen eine effektive Reaktion auf Sicherheitsverletzungen ermöglichen. Durchführen einer ersten BestandsaufnahmeViele Aktivitäten können einen möglichen Angriff auf Ihre Organisation kennzeichnen. So weist zum Beispiel die von einem Netzwerkadministrator ausgeführte legitimie Systemwartung Ähnlichkeiten mit dem Starten einer Art von Angriff durch eine unbekannte Person auf. In anderen Fällen kann ein schlecht konfiguriertes System zu einer Vielzahl von falschen Angriffsmeldungen in einem Eindringlingserkennungssystem führen, wodurch das Auffinden echter Sicherheitsverletzungen erschwert wird. Als Teil der ersten Bestandsaufnahme sollten Sie folgende Aufgaben durchführen: | • | Ausführen der ersten Schritte zur Bestimmung, ob es sich um eine tatsächliche Sicherheitsverletzung oder um eine falsche Angriffsmeldung handelt. | | • | Verschaffen eines allgemeinen Überblicks über den Typ und Schweregrad des Angriffs. Dadurch sollten Sie über genügend Informationen verfügen, um den Angriff für weitere Untersuchungen bekannt zu geben und mit dem Eindämmen des Schadens und dem Minimieren des Risikos zu beginnen. | | • | Sorgfältiges Protokollieren der Aktionen. Diese Protokolle werden später für die Dokumentation der Sicherheitsverletzung verwendet (egal, ob tatsächlicher oder falscher Angriff). |
Hinweis: Obwohl Sie falsche Angriffsmeldungen möglichst ausschließen möchten, ist es immer besser, auf falsche Angriffsmeldungen zu reagieren, als auf echte Sicherheitsverletzungen nicht zu reagieren. Daher sollte die erste Bestandsaufnahme so kurz wie möglich sein, aber immer noch offensichtlich falsche Angriffsmeldungen beseitigen. Bekanntgabe der SicherheitsverletzungSobald Sie eine Sicherheitsverletzung vermuten, sollten Sie diese Verletzung schnell den restlichen Mitgliedern des CSIRT-Kernkrisenteams bekannt geben. Der Leiter für die Sicherheitsverletzung sollte zusammen mit den restlichen Mitgliedern des Teams schnell festlegen, welche Personen außerhalb des CSIRT-Kernkrisenteams informiert werden müssen. Dadurch wird sichergestellt, dass die entsprechende Kontrolle und Koordination der Sicherheitsverletzung gewährleistet ist, während die Auswirkung des Schadens minimiert wird. Beachten Sie, dass Schäden auf verschiedene Weise auftreten können. Eine Schlagzeile in der Zeitung über eine Sicherheitsverletzung kann zerstörerischer sein, als viele Systemeindringungen. Aus diesem Grund, und um dem Angreifer keine Hinweise zu liefern, sollten nur die an der Reaktion auf die Sicherheitsverletzung beteiligten Personen informiert werden, bis die Sicherheitsverletzung vollständig unter Kontrolle ist. Anhand der eindeutigen Situation bestimmt das Team später, wer über die Sicherheitsverletzung informiert wird. Diese Personen können alle Personen sein, von bestimmten Personen bis zum gesamten Unternehmen sowie externen Kunden. Eindämmen des Schadens und Minimieren des RisikosDurch schnelles Reagieren, um die tatsächlichen und potenziellen Auswirkungen eines Angriffs zu reduzieren, können Sie beeinflussen, ob der Angriff kleine oder große Auswirkungen hat. RFC 2196 definiert eine Reihe von Prioritäten für das Eindämmen von Schäden in Ihrer Umgebung. Die genaue Reaktion hängt von Ihrer Organisation und der Art des aufgetretenen Angriffs ab. Die folgenden Prioritäten werden jedoch als ein Anhaltspunkt empfohlen: 1. | Schützen von Menschenleben und der Sicherheit von Personen
Dies sollte natürlich immer oberste Priorität sein. | 2. | Schützen von klassifizierten und vertraulichen Daten
Sie sollten als Teil der Reaktionsplanung für Sicherheitsverletzungen eindeutig definieren, welche Daten klassifiziert und welche vertraulich sind. Dadurch können Sie die Priorität Ihrer Reaktionen beim Schützen der Daten festlegen. | 3. | Schützen anderer Daten, einschließlich firmeneigener, wissenschaftlicher und Managementdaten.
Es können auch andere Daten in Ihrer Umgebung einen großen Wert aufweisen. Sie sollten zuerst die wertvollsten Daten schützen, bevor Sie andere, weniger nützliche Daten schützen. | 4. | Schützen von Hardware und Software vor Angriffen
Dazu zählt der Schutz vor Verlust oder Veränderung von Systemdateien sowie physische Schäden an der Hardware. Schäden an Systemen können zu kostenintensiven Ausfallzeiten führen. | 5. | Minimieren von Störungen bei Computerressourcen (einschließlich Prozessen)
Obwohl die Betriebszeit in den meisten Umgebungen sehr wichtig ist, kann ein Aufrechterhalten des Betriebs während eines Angriffs später größere Probleme mit sich bringen. Aus diesem Grund sollte der Minimierung von Störungen bei Computerressourcen in der Regel nur eine relativ geringe Priorität zugewiesen werden. |
Sie können eine Vielzahl von Maßnahmen zur Eindämmung des Schadens und zur Minimierung des Risikos in Ihrer Umgebung ergreifen. Sie sollten mindestens folgende Maßnahmen durchführen: | • | Versuchen Sie, Angreifer nicht darüber in Kenntnis zu setzen, dass Sie deren Aktivitäten kennen. Dies kann schwer erreichbar sein, da einige äußerst wichtige Reaktionen Angreifer warnen können. Falls zum Beispiel ein Notfallmeeting des CSIRT-Krisenteams einberufen, oder eine sofortige Änderung aller Kennwörter veranlasst wird, wissen interne Angreifer, dass Sie eine Sicherheitsverletzung erkannt haben. | | • | Vergleichen Sie die Kosten für das Herunterfahren der gefährdeten und verknüpften Systeme mit dem Risiko, den Betrieb aufrecht zu erhalten. In den meisten Fällen sollten Sie das System sofort vom Netzwerk trennen. Es können jedoch Dienstvereinbarungen abgeschlossen sein, die eine Verfügbarkeit der Systeme erfordern, sogar wenn die Möglichkeit weiterer Schäden besteht. Unter diesen Umständen können Sie den Betrieb eines Systems mit eingeschränkter Verbindung aufrecht erhalten, um weitere Beweise während eines stattfindenden Angriffs zu sammeln. In einigen Fällen sind die Schäden und der Umfang einer Sicherheitsverletzung so groß, dass Sie Maßnahmen ergreifen müssen, wodurch die in Ihrer Vereinbarung über die Bereitstellung von Diensten festgelegten Strafklauseln in Kraft treten. Es ist in allen Fällen besonders wichtig, dass die im Falle einer Sicherheitsverletzung ausgeführten Aktionen vorher besprochen und in Ihrem Reaktionsplan angegeben werden. Dadurch kann auf auftretende Angriffe sofort reagiert werden. | | • | Bestimmen Sie die von dem Angreifer verwendeten Zugriffspunkte und implementieren Sie Maßnahmen zur Verhinderung von zukünftigem Zugriff. Die Maßnahmen können das Deaktivieren eines Modems, das Hinzufügen von Zugriffssteuerungseinträgen zu einem Router oder einer Firewall, oder das Verbessern von physischen Sicherheitsmaßnahmen umfassen. | | • | Ziehen Sie das Einrichten eines neuen Systems mit neuen Festplatten in Betracht (die vorhandenen Festplatten sollten entfernt und aufbewahrt werden, da diese als Beweise verwendet werden können, falls Sie die Angreifer strafrechtlich verfolgen). Stellen Sie sicher, dass alle lokalen Kennwörter geändert werden. Sie sollten außerdem die Kennwörter von administrativen und Dienstkonten in der restlichen Umgebung ändern. |
Identifizieren des Schweregrads der GefährdungDamit Sie nach einem Angriff eine effektive Wiederherstellung durchführen können, müssen Sie den Schweregrad der Beschädigung des Systems feststellen. Dadurch wird bestimmt, wie das Risiko weiter eingedämmt und minimiert wird, wie die Wiederherstellung durchgeführt wird, wie schnell und wem die Sicherheitsverletzung bekannt gegeben wird und ob eine rechtliche Entschädigung verlangt werden soll. Sie sollten Folgendes versuchen: | • | Bestimmen der Angriffsart (dies kann von den Einschätzungen der ersten Bestandsaufnahme abweichen). | | • | Bestimmen des Ursprungspunkts des Angriffs. | | • | Bestimmen der Absicht des Angriffs. Wurde der Angriff speziell auf Ihre Organisation ausgeführt, um bestimmte Informationen abzurufen, oder handelt es sich um einen zufälligen Angriff? | | • | Identifizieren der betroffenen Systeme. | | • | Identifizieren der Dateien, auf die zugegriffen wurde, und Bestimmen der Vertraulichkeit dieser Dateien. |
Durch Ausführen dieser Aktionen können Sie die geeigneten Reaktionen für Ihre Umgebung bestimmen. Ein guter Reaktionsplan für Sicherheitsverletzungen enthält spezielle Vorgehensweisen, die bei einem Angriff befolgt werden müssen. In der Regel bestimmen die spezifischen Angriffssymptome die Reihenfolge, in der die im Plan definierten Verfahren durchgeführt werden müssen. Um möglichst zeitnah auf einen Zwischenfall zu reagieren, sind die unmittelbaren Verfahren den zeitaufwendigeren Szenarien vorzuziehen. Um den Schweregrad der Gefährdung zu bestimmen, sollten Sie Folgendes ausführen: | • | Wenden Sie sich an andere Mitglieder des Krisenteams, um sie über die Erkenntnisse zu informieren, um sie die Ergebnisse überprüfen zu lassen, um zu bestimmen, ob sie zugehörige oder andere potenzielle Angriffsaktivitäten kennen und um herauszufinden, ob die Sicherheitsverletzung eine falsche Angriffsmeldung ist. In einigen Fällen stellen sich die in der ersten Bestandsaufnahme als echte Sicherheitsverletzungen identifizierten Verletzungen als falsche Angriffsmeldungen heraus. | | • | Bestimmten Sie, ob nicht autorisierte Hardware an das Netzwerk angeschlossen wurde, oder ob Hinweise auf nicht autorisierten Zugriff durch Gefährdung der physischen Sicherheitskontrollen vorhanden sind. | | • | Überprüfen Sie die Schlüsselgruppen (Domänenadministratoren, Administratoren, usw.) auf nicht autorisierte Einträge. | | • | Suchen Sie nach Software zur Bewertung oder Ausnutzung von Sicherheit. Während des Sammelns von Beweisen werden häufig Entschlüsselungsanwendungen auf den betroffenen Systemen gefunden. | | • | Suchen Sie mithilfe von Startordnern oder Registrierungseinträgen nach einem nicht autorisierten Prozess oder einer nicht autorisierten Anwendung, der/die ausgeführt wird oder ausgeführt werden soll. | | • | Suchen Sie nach Lücken in Systemprotokollen oder nach fehlenden Systemprotokollen. | | • | Überprüfen Sie die Protokolle des Eindringlingserkennungssystem nach Hinweisen auf Eindringungen, welche Systeme betroffen sind, Angriffsmethoden, Uhrzeit und Dauer des Angriffs und die gesamten Auswirkungen potenzieller Schäden. | | • | Überprüfen Sie andere Protokolldateien auf folgende Informationen: ungewöhnliche Verbindungen, Sicherheitsüberwachungsfehler, ungewöhnliche Sicherheitsüberwachnungserfolge, fehlgeschlagene Anmeldeversuche, Anmeldeversuche bei Standardkonten, Aktivitäten außerhalb der Arbeitszeiten, Änderungen von Dateien, Verzeichnissen und Freigabeberechtigungen sowie erhöhte oder geänderte Benutzerberechtigungen. | | • | Vergleichen Sie die Systeme auf kürzliche ausgeführte Datei-/System-Integritätsprüfungen. Dadurch können Sie am Dateisystem und der Registrierung vorgenommene Hinzufüge-, Lösch- und Änderungsvorgänge sowie Berechtigungs- und Steuerungsänderungen herausfinden. Beim Reagieren auf Sicherheitsverletzungen kann eine erhebliche Zeiteinsparung erzielt werden, wenn Sie genau identifizieren, was beschädigt worden ist und welche Bereiche wiederhergestellt werden müssen. | | • | Suchen Sie nach vertraulichen Daten, wie zum Beispiel Kreditkartennummern sowie Mitarbeiter- und Kundendaten, die für zukünftige Abrufvorgänge oder Änderungen verschoben oder versteckt worden sind. Die Systeme können darüber hinaus auf nicht geschäftliche Daten, illegale Softwarekopien sowie E-Mails und andere Protokolle überprüft werden, die eine Untersuchung unterstützen können. Falls eine mögliche Verletzung des Datenschutzes oder anderer Gesetzte vorliegt, weil das System für investigative Zwecke durchsucht worden ist, sollten Sie sich an Ihre Rechtsabteilung wenden, bevor Sie fortfahren. | | • | Vergleichen Sie die Leistung der betroffenen Systeme mit der Leistung im Basisplan. Dies setzt voraus, dass Basispläne erstellt und ordnungsgemäß aktualisiert wurden. Weitere Informationen über das Erstellen eines Leistungsbasisplans finden Sie im Kapitel 27 "Overview of Performance Monitoring" des Windows 2000 Professional Resource Kit (Microsoft Press, ISBN: 1-57231-808-2). |
Beim Bestimmen der betroffenen Systeme und deren Schäden vergleichen Sie in der Regel diese Systeme mit einem zuvor aufgezeichneten Basisplan der gleichen Systeme, bevor diese angegriffen wurden. Die Annahme, dass ein aktueller System-Snapshot für den Vergleich ausreichend ist, kann Sie in eine schwierige Situation bringen, wenn der vorherige Snapshot von einem bereits angegriffenen System stammt. Hinweis: Die Tools, wie zum Beispiel EventCombMT, DumpEL und Microsoft Operations Manager (MOM), können Sie beim Bestimmen des Schweregrads eines Angriffs auf ein System unterstützen. Die Eindringlingserkennungssysteme von Drittparteien warnen bereits im Vorfeld vor Angriffen, und andere Tools zeigen Dateiänderungen auf Ihrem System an. Weitere Informationen über diese Tools finden Sie im Modul "Überwachung und Eindringungserkennung in Windows 2000". Sichern von BeweisenWenn Ihre Umgebung absichtlich angegriffen wurde, werden Sie in den meisten Fällen auch rechtliche Schritte gegen die Täter einleiten. Dazu müssen Sie Beweise sammeln, die gegen die Täter verwendet werden können. Es ist besonders wichtig, das betroffene System möglichst schnell zu sichern, und zwar bevor Aktionen ausgeführt werden, die sich auf die Datenintegrität auf den ursprünglichen Medien auswirken. Sie sollten eine Person mit Erfahrungen in Bereich des IT-Rechts beauftragen, mindestens zwei Bit-für-Bit-Sicherungen des gesamten Systems auf neue, noch nicht verwendete Medien durchzuführen. Dabei sollte mindestens eine Sicherung auf ein einfach beschreibbares und mehrfach lesbares Medium gespeichert werden, wie zum Beispiel eine CD-R oder DVD-R. Diese Sicherung sollte nur für die Verfolgung des Täters verwendet und bis zur Verwendung physisch sicher aufbewahrt werden. Die andere Sicherung kann für die Datenwiederherstellung verwendet werden. Diese Sicherungen sind nur für rechtliche Zwecke vorgesehen, weshalb sie physisch gesichert werden sollten. Sie müssen ebenfalls Informationen über die Sicherungen aufnehmen, wie zum Beispiel die Person, die die Systeme gesichert hat, die Uhrzeit der Sicherung, die Methoden zum Schutz der Sicherung sowie die Personen mit Zugriff auf diese Sicherungen. Nachdem die Sicherungen erstellt worden sind, sollten Sie die ursprünglichen Festplatten entfernen und an einem physisch sicheren Ort aufbewahren. Diese können als gerichtliche Beweise im Falle einer Verfolgung verwendet werden. Für die Wiederherstellung des Systems sollten neue Festplatten verwendet werden. In einigen Fällen steht der Vorteil der Datenaufbewahrung nicht im Verhältnis zu den Kosten für die Verzögerung der Reaktion und die Wiederherstellung des Systems. Die Kosten und Vorteile der Datenaufbewahrung sollten mit denen einer schnelleren Wiederherstellung für jedes Ereignis verglichen werden. Bei sehr großen Systemen sind umfangreiche Sicherungen aller betroffenen Systeme nicht durchführbar. Stattdessen sollten Sie alle Protokolle und ausgewählten, beschädigten Teile des Systems sichern. Sie können auch die Systemstatusdaten sichern. Die Verfolgung kann Monate oder Jahre in Anspruch nehmen. Daher ist es wichtig, möglichst viele Informationen über die Sicherheitsverletzung für zukünftige Verwendungen zu archivieren. Der schwierigste rechtliche Aspekt beim Verfolgen eines Cyberverbrechens ist das Sammeln von Informationen auf die Weise, die von den entsprechenden Gesetzen der Gerichtsbarkeit akzeptiert wird, bei der die Beweise eingereicht wurde. Daher ist die wichtigste Komponente des Gerichtsprozesses eine detaillierte und vollständige Dokumentation über die Handhabung der Systeme, der beteiligten Personen sowie der Uhrzeit, um zuverlässige Beweise vorzuweisen. Versehen Sie jede Seite der Dokumentation mit Unterschrift und Datum. Nachdem Sie über ausführbare und überprüfte Sicherungen verfügen, können Sie die infizierten Systeme löschen und neu einrichten. Dadurch wird eine schnelle Wiederherstellung und Ausführung sichergestellt. Die Sicherung liefert den wichtigen, fehlerfreien Beweis, der für die Verfolgung erforderlich ist. Eine andere Sicherung von der gerichtlichen Sicherung sollte für die Wiederherstellung von Daten verwendet werden. Informieren von externen Einrichtungen Nachdem die Sicherheitsverletzung eingedämmt ist und die Daten für die potenzielle Verfolgung aufbewahrt sind, müssen Sie die entsprechenden externen Einrichtungen informieren. Die potenziellen Einrichtungen umfassen kommunale Einrichtungen sowie Einrichtungen auf Landes- bzw. Bundesebene, die für Strafanzeigen in diesem Bereich verantwortlich sind, externe Sicherheitseinrichtungen und Virusfachleute. Die externen Einrichtungen bieten technische Unterstützung, schnelle Lösungen und durch ähnliche Sicherheitsverletzungen erhaltene Informationen an, um die vollständige Wiederherstellung nach der Sicherheitsverletzung zu unterstützen und um ein zukünftiges Auftreten dieser zu verhindern. Bei bestimmten Branchen und Typen von Sicherheitsverletzungen ist möglicherweise ein Informieren von Kunden und der allgemeinen Öffentlichkeit erforderlich, besonders wenn Kunden von der Sicherheitsverletzung direkt betroffen sind. Wenn das Ereignis erhebliche finanzielle Auswirkungen verursacht, müssen Sie die Sicherheitsverletzung an staatliche Rechtseinrichtungen melden. Bei größeren Unternehmen und Sicherheitsverletzungen kann eine Einbeziehung der Medien in Betracht gezogen werden. Obwohl eine Medienaufmerksamkeit auf Sicherheitsverletzungen nie wünschenswert sein kann, ist dies häufig unvermeidbar und ermöglicht der Organisation das Einnehmen einer aktiven Stellung bei der Bekanntgabe der Sicherheitsverletzung. Die Reaktionsmaßnahmen für die Sicherheitsverletzung sollten mindestens die Personen definieren, die für Gespräche mit Medienvertretern autorisiert sind. In der Regel sind diese Personen Mitarbeiter in der PR-Abteilung Ihrer Organisation. Sie sollten nicht den Versuch unternehmen, die Sicherheitsverletzung vor den Medien abzustreiten, da dies Ihrem Ansehen meist mehr schadet, als ein aktives Eingeständnis und eine sichtbare Reaktion. Das bedeutet jedoch nicht, dass die Medien über jede Sicherheitsverletzung unabhängig von Typ und Schweregrad informiert werden sollten. Sie sollten die entsprechende Medienreaktion auf einer Fall-zu-Fall-Basis beurteilen. Wiederherstellen der SystemeDie Art und Weise, wie Sie Ihr System wiederherstellen, hängt in erster Linie von den Auswirkungen der Sicherheitsverletzung ab. Sie müssen bestimmen, ob Sie das vorhandene System wiederherstellen können, indem Sie möglichst viele Teile bestehen lassen, oder ob Sie das gesamte System neu einrichten müssen. Das Wiederherstellen von Daten setzt voraus, dass Sie über nicht betroffene Sicherungen verfügen (Sicherungen, die vor dem Auftreten der Sicherheitsverletzung erstellt wurden). Eine Software für die Dateiintegrität ermöglicht ein genaues Bestimmen, wann der erste Schaden aufgetreten ist. Wenn die Software Sie auf eine geänderte Datei hinweist, ist die direkt vor der Warnung erstellte Sicherung eine geeignete Sicherung und sollte aufbewahrt werden. Sie können diese dann für die Neueinrichtung des beschädigten Systems verwenden. Eine Sicherheitsverletzung kann Daten bereits viele Monate vor der Entdeckung beschädigen. Daher ist Bestimmen der Dauer der Sicherheitsverletzung im Zuge des Reaktionsprozesses besonders wichtig. (Software für Datei-/Systemintegrität sowie Eindringlingserkennungssysteme unterstützen Sie dabei.) In einigen Fällen reichen die neuesten oder sogar einige vorherige Sicherungen nicht aus, um einen nicht betroffenen Zustand zu erzielen. Es wird daher empfohlen, regelmäßig Datensicherungen in einem sicheren, externen Speicherort durchzuführen. Zusammenstellen und Strukturieren der SicherheitsverletzungsdokumentationDas CSIRT-Krisenteam sollte alle Prozesse bei der Handhabung einer Sicherheitsverletzung sorgfältig dokumentieren. Dazu zählt eine Beschreibung der Sicherheitsverletzung sowie Informationen über jede durchgeführte Aktion (wer hat die Aktion ausgeführt, wann wurde die Aktion ausgeführt und warum wurde die Aktion ausgeführt). Alle mit Zugriff beteiligten Personen müssen während des Reaktionsprozesses informiert werden. Anschließend muss die Dokumentation chronologisch strukturiert, auf Vollständigkeit geprüft und durch das Management und die Mitarbeiter der Rechtsabteilung signiert und überprüft werden. Sie müssen außerdem die Beweise sichern, die in der Phase "Sichern von Beweisen" gesammelt wurden. Sie sollten die Anwesenheit von zwei Personen während aller Phasen in Betracht ziehen, die jeden Schritt signieren. Dadurch wird die Wahrscheinlichkeit von unzulässigen Beweisen und einer möglichen Bearbeitung der Beweise nach der Tat verringert. Bedenken Sie, dass der Täter ein Mitarbeiter, Auftragsnehmer, vorübergehender Mitarbeiter oder eine andere interne Person in der Organisation sein kann. Ohne eine gründliche, detaillierte Dokumentation kann sich das Identifizieren eines internen Täters als sehr schwierig erweisen. Eine sorgfältige Dokumentation ermöglicht darüber hinaus die besten Möglichkeiten für das Verfolgen der Täter. Beurteilen der Schäden und Kosten der SicherheitsverletzungBeim Bestimmen des Schadens für Ihre Organisation müssen Sie sowohl die direkten als auch die indirekten Kosten berücksichtigen. Diese umfassen: | • | Die Kosten aufgrund des Verlusts von Wettbewerbsvorteilen durch die Veröffentlichung von firmeneigenen oder vertraulichen Informationen. | | • | Rechtskosten. | | • | Die Lohnkosten für das Analysieren der Sicherheitsverletzung, die Neuinstallation von Software und die Wiederherstellen von Daten. | | • | Die Kosten für den Systembetriebsausfall (zum Beispiel verlorene Mitarbeiterproduktivität, Verkaufsverluste, Ersetzen von Hardware, Software und anderen Eigentümern). | | • | Die Kosten für das Reparieren und mögliche Aktualisieren von beschädigten oder unzureichenden physischen Sicherheitsmaßnahmen (Schlösser, Wände, Käfige, usw.). | | • | Weitere daraus folgende Schäden, wie zum Beispiel Verlust des Ansehens und des Kundenvertrauens. |
Überprüfen der Reaktion und Aktualisieren der RichtlinienNachdem die Dokumentation und die Wiederherstellungsphasen abgeschlossen sind, sollten Sie den Prozess sorgfältig überprüfen. Bestimmen Sie mit Ihrem Team die Schritte, die erfolgreich ausgeführt wurden sowie die aufgetretenen Fehler. In fast allen Fällen müssen die Prozesse geändert werden, damit Sicherheitsverletzungen zukünftig besser gehandhabt werden. Sie finden Schwachstellen in Ihrem Reaktionsplan für Sicherheitsverletzungen, die Thema dieser nachträglichen Übung sind. Sie suchen nach Verbesserungsmöglichkeiten, die eine neue Runde des Prozesses zur Planung der Reaktion für Sicherheitsverletzungen starten sollten. Szenario – Umgang mit Sicherheitsverletzungen bei ContosoUm die verschiedenen Stufen der Reaktion auf Sicherheitsverletzungen beim Umgang mit einem Angriff darzustellen, wurde die folgende Fallstudie entworfen. Sie zeigt die Reaktion des CSIRT-Krisenteams von Contoso auf eine Infizierung mit dem Virus Code Red II. Obwohl diese Fallstudie erfunden ist, spiegeln die eingeleiteten Maßnahmen die von realen Organisationen im Falle von Angriffen eingeleiteten Maßnahmen wider. Tabelle 3: Contoso-Fallstudie Durchführen der ersten Bestandsaufnahme | Sandra Schmidt, ein CSIRT-Mitglied auf Abruf, wird mit einer kurzen Beschreibung über ein Ereignis informiert, das vom Contoso-Eindringlingserkennungssystem protokolliert wurde. Das System zeigt eine mögliche Sicherheitsverletzung durch den Virus Code Red II auf dem Webserver WEB2 an. Sie überprüft die IIS-Protokolldatei des Servers WEB2 auf die Signaturzeichenfolge, und ob sich die Datei root.exe im Verzeichnis c:\inetpub\scripts befindet. Die Ergebnisse dieser Untersuchung lassen deutlich darauf schließen, dass es sich nicht um eine falsche Angriffsmeldung handelt. | Bekanntgabe der Sicherheitsverletzung | Sandra informiert die restlichen Mitglieder des CSIRT-Krisenteams per Telefon über die ersten Erkenntnisse und vereinbart, weitere Informationen bekannt zu geben, sobald diese zur Verfügung stehen. | Eindämmen des Schadens und Minimieren des Risikos | Die Contoso-Richtlinie für das Reagieren auf Sicherheitsverletzungen gibt an, dass das System aus dem Netzwerk entfernt werden muss, wenn das Vorhandensein eines Wurms bestätigt wird. Sandra entfernt das Netzwerkkabel. Glücklicherweise ist der Server WEB2 Teil eines Satzes von Lastenausgleichsservern, so dass die Kunden keine Ausfallszeit aufgrund des Trennens der Verbindung feststellen. | Bekanntgabe der Sicherheitsverletzung | Sandra gibt diese Erkenntnisse den restlichen Mitgliedern des CSIRT-Krisenteams per E-Mail bekannt und wendet sich direkt an den CSIRT-Krisenteamleiter. Der CSIRT-Krisenteamleiter ernennt Thomas Meier, ein Informationssicherheits-Manager, als Leiter für diese Sicherheitsverletzung. Thomas koordiniert alle Aktivitäten sowie die Kommunikation zum und vom CSIRT-Kernkrisenteam. Thomas informiert den Technologieleiter und das abrufbereite IT-Team darüber, dass der Webserver vom Netzwerk getrennt wurde und dass dieser mindestens vom Wurm gesäubert werden muss, bevor er wieder angeschlossen wird. Thomas informiert darüber hinaus das leitende Management, den Mitarbeiter der PR-Abteilung und die Mitarbeiterin der Rechstabteilung. Die Mitarbeiterin der Rechtsabteilung weist Thomas an, dass er die Verfahren zum Sammeln von Beweisen befolgen soll, obwohl eine Verfolgung möglicherweise nicht durchgeführt werden kann. | Identifizieren des Schweregrads der Gefährdung | Sandra sucht in den Protokolldateien nach anderen Servern, um festzustellen, ob der Wurm sich ausgebreitet hat. Sie stellt fest, dass er sich nicht ausgebreitet hat. | Eindämmen des Schadens und Minimieren des Risikos | Ein weiteres CSIRT-Teammitglied, Robert Braun, führt den Microsoft Baseline Security Analyzer (MBSA) aus. Dieses Microsoft-Tool ermöglicht einem Administrator das zentrale Überprüfen des Patchstatus aller Computer in einem Netzwerk, die Windows NT Version 4.0, Windows 2000 und Windows XP ausführen. Auf diese Weise kann in Echtzeit bestimmt werden, ob andere Server für den Virus Code Red II gepatcht wurden. Er findet heraus, dass zwei andere Server nicht auf dem neuesten Stand sind und wendet sofort den Patch an. | Identifizieren des Schweregrads der Gefährdung | Robert führt eine weitere Suche in den Protokolldateien aller anderen IIS-Server durch und stellt fest, dass zu diesem Zeitpunkt keine weiteren Vorkommen von Code Red II vorhanden sind. | Sichern von Beweisen | Alle Anzeichen deuten darauf hin, dass der Schaden auf den Server WEB2 begrenzt ist. Da der Schaden soweit eingedämmt ist und die Rechtsabteilung Thomas angewiesen hat, Beweise zu sammeln, beschließt er dieses vor der Ausführung einer tiefergehenden Analyse durchzuführen, da diese Analyse die Beweise durcheinander bringen und zerstören kann. Die anderen Teammitglieder fahren mit der Überwachung der anderen Webserver fort und protokollieren mögliche verdächtige Aktivitäten. Ein Mitglied des CSIRT-Krisenteams, das für das Sammeln von gerichtlichen Beweisen ausgebildet ist, erstellt zwei Snapshots (d. h. vollständige physische Sicherungen) des betroffenen Systems. Ein Snapshot wird für eine spätere gerichtliche Überprüfung sorgfältig aufbewahrt. Der andere Snapshot wird potenziell zusammen mit anderen, nicht betroffenen Sicherungen, die vor dem Ereignis erstellt wurden, im Wiederherstellungsprozess verwendet. Die gerichtliche Sicherung wird gemäß der Sicherheitsrichtlinie auf einem noch nicht verwendeten, einfach beschreibbaren Medium gespeichert, sorgfältig dokumentiert und zusammen mit den Festplatten des Servers versiegelt und gesichert. | Identifizieren des Typs und des Schweregrads des Angriffs | Der tragbare Computer der Organisation mit dem Sicherheits-Toolkit, der eine Reihe von gerichtlichen Tools enthält, wird für die Überprüfung der Wiederherstellungssicherung auf Hinweise von zusätzlichen Gefährdungen verwendet. Registrierungseinträge und Ordner werden auf Ergänzungen in Bereichen überprüft, die Software beim Starten ausführen, wie die Verzeichnisse profile/startup und die Registrierungsschlüssel Run und RunOnce. Darüber hinaus werden die Benutzer- und Gruppenkonten zusammen mit den Benutzerrechten und Sicherheitsrichtlinien auf Änderungen überprüft. Die Sicherheitsprotokolle werden auf weitere verdächtige Aktivitäten überprüft. | Informieren von externen Einrichtungen | Thomas meldet die Sicherheitsverletzung an das National Infrastructure Protection Center des FBI (Federal Bureau of Investigation), da Contoso an vielen großen Projekten der Regierung der Vereinigten Staaten teilnimmt. Da festgestellt wurde, das weder Kundeninformationen noch der Zugriff auf Systeme gefährdet waren, werden die Kunden nicht benachrichtigt. | Wiederherstellen der Systeme | Obwohl Tools zur Verfügung stehen, mit denen Code Red II vom Server WEB2 entfernt werden kann, entscheiden sich das CSIRT-Krisenteam und das WEB2-Supportteam für die Neuinstallation des Betriebssystems auf ein neues Medium. Durch die Neuinstallation des Betriebssystems von den ursprünglichen Verteilungsmedien auf ein neues Laufwerksmedium zusammen mit dem Microsoft Sicherheits-Toolkit wird ein sicheres System ohne Hintertüren für Angreifer oder beschädigten Dateien sichergestellt. Sobald Windows 2000 installiert ist, werden die Sicherheitssperren noch strenger auf das System angewendet, indem die in den Modulen 5 bis 7 dieses Handbuchs angegebenen Richtlinien befolgt werden. Es wird eine nicht infizierte Sicherung gesucht. Anschließend werden die Daten gemäß der dokumentierten Verfahren wiederhergestellt. Wenn die Daten nur in der betroffenen Sicherung zur Verfügung stehen, wird diese auf einem separaten Offlinesystem wiederhergestellt und dann auf den Server WEB2 kopiert, nachdem die Gefahr einer erneuten Infizierung anderer Betriebssysteme gebannt ist. Das CSIRT-Krisenteam führt eine vollständige Bewertung der Sicherheitslücken des Systems durch und dokumentiert alle während des Prozesses auftretenden Informationen. Der Server WEB2 wird wieder mit dem Netzwerk verbunden und gründlich auf zusätzliche Anzeichen neuer oder vorhandener Gefährdungen überwacht. | Zusammenstellen und Strukturieren der Sicherheitsverletzungsdokumentation | Thomas und das CSIRT-Krisenteam untersuchen die Hauptursache für die Sicherheitslücke und entdecken, dass das System kürzlich neu installiert wurde und keine Patches angewendet wurden. Dies verstößt gegen die eindeutig definierte Richtlinie, die bereits in Verwendung ist. Die Ursache für dieses Ereignis liegt in drei Orten: die Mitglieder des Supportteams haben die Patches nicht erneut angewendet, die Informationssicherheitsabteilung hat die angewendeten Patches nicht regelmäßig überprüft und die Konfigurationsverwaltung hat nicht die Notwendigkeit für das Anwenden von Patches erkannt sowie die Informationssicherheitsabteilung nicht veranlasst, das System zu überprüfen, bevor es wieder in den Betriebszustand versetzt wurde. Wenn Teile dieser Verfahren befolgt worden wären, hätte die Sicherheitsverletzung vermieden werden können. Das Team beschließt, ein neues Verfahren zu implementieren, damit diese Sicherheitsverletzung nicht erneut auftreten kann. Es wird eine Prüfliste erstellt, die von der Änderungsverwaltung, dem Webserver-Support und der Informationssicherheitsabteilung vervollständigt werden muss, bevor die Informationssicherheitsabteilung die Eingliederung eines Systems in das interne Netzwerk genehmigt. Das Prüflistenverfahren muss abgeschlossen sein, bevor die Informationssicherheitsabteilung die Firewall neu konfiguriert, um externen Zugriff auf und von diesem System zu ermöglichen. Die Überwachungsabteilung überprüft ebenfalls regelmäßig, dass die Prüflisten sorgfältig und vollständig abgeschlossen werden. Thomas und das CSIRT-Krisenteam stellen die gesamte Dokumentation zusammen, um zu bestimmen, welche Aufgaben für die Reaktion auf die Sicherheitsverletzung abgeschlossen wurden, wie viel Zeit die einzelnen Aufgaben in Anspruch genommen haben und wer diese Aufgaben ausgeführt hat. Diese Informationen werden an den Mitarbeiter der Finanzabteilung gesendet, um die Kosten gemäß der Generally Accepted Account Principles für Computerschäden zu berechnen. Der CSIRT-Krisenteamleiter stellt sicher, dass das Management die Gesamtkosten des Ereignisses nachvollziehen kann, die Gründe für das Auftreten kennt und über die Maßnahmen zur zukünftigen Verhinderung dieses Ereignisses informiert wird. Für das Management ist es wichtig die Auswirkungen zu kennen, die auftreten, wenn diese Verfahren nicht vorhanden bzw. nicht befolgt werden und Ressourcen wie das CSIRT-Krisenteam nicht zur Verfügung stehen. Die Teammitglieder überprüfen die gesamte Dokumentation der Sicherheitsverletzung, die gewonnenen Erfahrungen und welche Richtlinien befolgt worden sind, und welche nicht. Die für die Einleitung rechtlicher Schritte relevante Dokumentation und relevanten Verfahren werden von der Mitarbeiterin der Rechtsabteilung, vom CSIRT-Krisenteamleiter sowie Leiter für diese Sicherheitsverletzung und dem leitenden Management überprüft. |
ZusammenfassungIm Hauptteil dieses Moduls wurden die Maßnahmen beschrieben, die zur Minimierung des Risikos eines Angriffs eingeleitet werden können. Organisationen erzielen jedoch den meisten Erfolg beim Erreichen der Sicherheitsziele, wenn Sie alles mögliche zur Minimierung der Angriffsmöglichkeiten unternehmen und anschließend die Gegenmaßnahmen im Falle eines Angriffs planen. Teil dieses Prozesses ist das gründliche Überwachen von möglichen Angriffen, das im Modul "Überwachung und Eindringungserkennung in Windows 2000" beschrieben wird. Ein weiterer wichtiger Teil sind definierte und gut trainierte Reaktionen, die Sie ausführen können, wenn ein erfolgreicher Angriff stattgefunden hat. Verwandte ThemenHacking Exposed Windows 2000 von Joel Scambray und Stuart McClure (McGraw-Hill Professional Publishing, ISBN: 0072192623). Das Computer Security Institute veröffentlicht eine jährliche Studie unter dem Namen "Computer Crime and Security Survey" (http://www.gocsi.com). Weitere InformationenWeitere Informationen zu "Forum of Incident Response and Security Teams (FIRST)" finden Sie unter:http://www.first.org. Incident Response: Investigating Computer Crime von Chris Prosise und Kevin Mandia (McGraw-Hill Professional Publishing, ISBN: 0072131829). The Internet Security Guidebook: From Planning to Deployment von Juanita Ellis, Tim Speed, William P. Crowell (Academic Pr, ISBN: 0122374711). Weitere Informationen über RFC 2196 finden Sie unter:http://www.ietf.org/rfc/rfc2196.txt?number=2196. Weitere Informationen über Kapitel 27 "Overview of Performance Planning" im Handbuch Windows 2000 Professional Resource Kit finden Sie unter:http://www.microsoft.com/resources/documentation/windows/2000/professional/reskit/en-us/part6/proch27.mspx. Weitere Informationen über "Cert Coordination Center (CERT/CC)" finden Sie unter:http://www.cert.org/.
| |
