Der normale Weg von der Feststellung eines Sicherheitsvorfalls bis zur Aufklärung durchläuft häufig folgende Phasen:
- Ungewöhnliche Aktivitäten werden durch Administratoren oder Anwender wahrgenommen
- Neugierde führt oft zur weiteren Beobachtung (wenn die Zeit dafür vorhanden ist ;-))
- erste schnelle Sammlung von Spuren
- der Anfangsverdacht wird bestätigt (durch andere Anzeichen oder erste Schadensfeststellung)
- die Straftat bzw. der Schaden wird entdeckt und evtl. bestätigt
- Meldung an interne oder externe Ermittlungsspezialisten
- elektronische Beweise werden vollständig sichergestellt
- Beweisspuren werden identifiziert
- Beweisspuren werden analysiert
- Analysergebnisse werden interpretiert und verifiziert
- Analysergebnisse werden in einen nachvollziehbaren Bericht zusammengefasst und präsentiert
Dies ist eigentlich keine so neue Erkenntnis. Die Frage hierbei ist aber, ab welchem Zeitpunkt interne und externe Spezialisten das Ruder übernehmen. Normalerweise sollten sich die Administratoren spätestens dann zurückziehen, wenn die Straftat bzw. der Schaden bestätigt wird. Sie sollten den internen und externen Spezialisten natürlich weiterhin unterstützend zur Seite stehen, eine weitere direkte Beteiligung an der Ermittlung sollte dann aber nicht mehr nötig sein. Die Administratoren sollten aber natürlich in das Recovery-Verfahren integriert werden.
Ach Gott, wenn nur das
(wenn die Zeit dafür vorhanden ist -) )
nicht so wahr währe. Ich möchte mal wissen wieviele Risiken eingegangen werden weil einfach im Moment „keine Zeit ist“… 🙁
Das Erkennen von Sicherheitsvorfällen ist im Grunde genommen eine Anomalieerkennung. Nur dazu muss man erst das „Normale“ kennen. 😉 Dies ist aus meiner Sicht eine Grundforderung auch für den IT-Betrieb. Für die Einhaltung der Servicevereinbarungen gilt dies auch.
Ich gebe Recht, dass den Admins oft wenig Zeit bleibt, Anomalien zu erkennen, aber gerade dann sollte man sich hier Methoden und gern auch Werkzeuge schaffen, die einem das Leben erleichtern.
Da muss ich dem Alexander Geschonneck zustimmen.
Mann muss das „normale Verhalten“ seiner IT kennen, wenn auch das Verhalten nicht umbedingt richtig sein muss. Z.B. habe ich selbst den Fall beobachtet, das eine Software nach dem 3 Versionsupgrade reproduzierbar Fehlerhafte Anfragen an den Fileserver schickte.
Manchmal muss mann sich halt Zeit nehmen, um mal einer Unstimmigkeit nachzugehen.
Der grosse Vorteil dabei ist: Mann lernt im Detail wieder neue erkenntnisse dazu, was normal ist, sein koennte oder doch einen Sicherheitsvorfall entspricht.
Schoenen Gruss
Stephan Gerling