IT-Forensik

Auf Spurensuche

Der Security-Tipp im letzten Monat behandelte das IT-Monitoring. Es ging um Anomalie-Erkennung im Netzwerk und auf Endsystemen. Was notwendig ist, um beobachtete Anomalien oder erfolgreiche Angriffe weiter zu untersuchen, und welche Werkzeuge sich hierfür anbieten, zeigt dieser Beitrag. Eins steht nämlich fest: Jeder IT-Sicherheitsvorfall sollte genau untersucht werden.
Während die IT-Budgets in kleineren Unternehmen oft überschaubar ausfallen, sind die Anforderungen dieselben wie in großen Firmen. Die April-Ausgabe widmet ... (mehr)

ach einem erfolgreichen Angriff, sei es durch eine technische Schwachstelle oder den Bedienfehler eines Mitarbeiters, lautet die Devise in den meisten Unternehmen: das betroffene System schnell wieder einsatzbereit machen. Dabei bleiben in vielen Fällen weitere Analysen und auch die konkrete Ursachenforschung auf der Strecke. Das Ziel ist die zeitnahe Wiederherstellung der Arbeitsumgebung, um keine weiteren Kosten durch einen langen Ausfall zu verursachen. Gerade kleine Unternehmen haben gar nicht genug Systeme in der Hinterhand, um eine ausführliche Analyse durchführen zu können, von den Personalressourcen der IT-Abteilung mal ganz abgesehen. Dieser Security-Tipp zeigt Ihnen erste Schritte, die Sie bei der Aufarbeitung von IT-Sicherheitsvorfällen gehen können.

Angegriffene Systeme isolieren

Ein infiziertes System muss nach Bekanntwerden des Verdachts einer Infektion schnellstmöglich aus dem Unternehmensnetzwerk entfernt werden. Das ist unter anderem notwendig, um sogenanntes "Lateral Movement" zu verhindern. Dabei handelt es sich um weitere Angriffsversuche, die von dem gekaperten System ausgehen und aufgrund seiner vertrauenswürdigen Position im Intranet häufig erfolgreich sind. Ein Angreifer hangelt sich so von System zu System und dringt immer weiter in das Unternehmensnetzwerk ein. Natürlich soll eine ausführliche Analyse aber auch beinhalten, welche weiteren Schritte der erfolgreiche Angreifer durchführt, welche Informationen gesucht werden, welche Software nachgeladen wird und welche weiteren Angriffsvektoren ausgenutzt werden sollen.

Die Einrichtung eines "Walled Gardens" ermöglicht die schnelle Isolation des Systems vom Rest des Intranets, erlaubt aber beispielsweise weiterhin einen restriktiven Zugriff zum Internet. Die Konfiguration eines separaten VLANs zur Isolation ist auch bei geringer Personaldecke schnell erledigt. In größeren Unternehmen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019