Blog

Leben als Sicherheitsvorfallhelfer

von Kevin Babcock 15. Februar 2018 | 5 Minuten Lesezeit

Ich sehe was, was du nicht siehst…

„Ich möchte die Möglichkeit ausbauen, nachzuverfolgen, wer auf den Link geklickt hat.“

Als ich die E-Mail an das Vertriebsteam schickte, merkte ich, dass ich wie ein aufdringlicher Stalker klang. Warum sollte die Sicherheitsabteilung denn bitte jeden Klick verfolgen wollen? Ich beschloss, mehr Kontext zu liefern, um jegliche Gerüchte auszuräumen. Wir hatten gerade eine echte Bedrohung entdeckt: einen Phishing-Angriff. Wir hatten ihn entdeckt, weil ein Mitarbeiter unseres Vertriebsteams aufmerksam war und ihn dem Sicherheitsteam gemeldet hatte.

Als ich eine Folge-E-Mail verfasste, um meine Gedankengänge zu erläutern, wurde mir klar, dass das gesamte Unternehmen davon profitieren könnte, wenn ich die Funktionsweise von Sicherheit offenlegen würde. Es handelt sich um einen Bereich mit großem Potenzial für Expansion und Innovationen. Indem wir die Bedürfnisse der Sicherheitsbranche verstehen, können wir einen Beitrag dazu leisten, die Sicherheitsanforderungen zu verstehen. Einsatzkraft Wir können unseren helfen Kunden lösen neue Probleme Wir nutzen PagerDuty , um unsere Wirkung für unsere Kunden zu verstärken.

Wie die Reaktion auf Sicherheitsvorfälle funktioniert

Sicherheitsteams verfolgen im Allgemeinen zwei Hauptziele: die Reduzierung von Cybersicherheitsrisiken für das Unternehmen und die Stärkung des Kundenvertrauens. Ein sehr reales Risiko, dem wir täglich ausgesetzt sind, besteht darin, dass ein Angreifer jederzeit Schadsoftware auf jedem beliebigen Computer ausführen kann. Ein Team zur Reaktion auf Sicherheitsvorfälle durchläuft einen Prozess, um die Auswirkungen jeder Bedrohung zu verstehen und zu minimieren. Die übergeordneten Schritte, die wir hier bei PagerDuty befolgen, basieren auf … NIST-Rahmenwerk für Cybersicherheit und in unserem Reaktion auf Sicherheitsvorfälle planen:

Erkennen
Enthalten
Antworten
Genesen

Begleiten Sie mich nun, während ich Ihnen erkläre, wie das PagerDuty Sicherheitsteam auf solche Bedrohungen reagiert.

Die dringlichsten Fragen, die wir beantworten wollen, sind:

Enthält der Angriff eine schädliche Nutzlast?
Ist die Schadsoftware irgendwo detoniert?

Die Beantwortung dieser beiden Fragen ermöglicht es uns, die anfänglichen Auswirkungen des Angriffs zu verstehen und den Schaden angemessen einzudämmen.

Die Antwort auf Frage 1 war eindeutig, da wir den Angriffsbericht von unserem Kollegen erhalten hatten. Wir hatten die E-Mail mit dem Link und konnten diesem folgen, um die Schadsoftware zu untersuchen. Sicherheitshalber verwenden wir in solchen Fällen einen separaten Rechner mit einer virtuellen Maschine, die speziell für die Prüfung verdächtiger Dateien entwickelt wurde. Wir folgen dem Link innerhalb dieser virtuellen Maschine. Falls der Link Schadsoftware herunterlädt, können wir die virtuelle Maschine sofort anhalten. Die Schadsoftware kann dann keinen Schaden anrichten.

Mit dieser Methode würden wir, falls wir feststellen, dass ein Link Schadsoftware installiert, diesen Link blockieren, sodass niemand im Büronetzwerk ihn herunterladen kann. Was aber, wenn jemand ihn bereits heruntergeladen hat, bevor wir die Blockierung eingerichtet haben?

Dies führt uns zu Frage 2: Wurde die Schadsoftware irgendwo aktiviert? Um diese Frage zu beantworten, müssen wir herausfinden, ob jemand die Schadsoftware heruntergeladen hat, d. h., wer auf den Link geklickt hat. Falls einige Personen die Schadsoftware heruntergeladen haben, müssen wir deren Computer umgehend vom Netzwerk trennen, damit die Schadsoftware nicht mit anderen Systemen kommunizieren kann. Schadsoftware kann andere Computer im Netzwerk angreifen und Daten von Ihrem Computer stehlen und über das Internet an den Angreifer senden. Diese Aktionen werden als „laterale Bewegung“ bzw. „Datenexfiltration“ bezeichnet.

Nachdem wir die infizierten Computer aus dem Netzwerk entfernt haben, untersuchen wir sie, um festzustellen, ob die Schadsoftware ausgeführt werden konnte. Wir haben den Angriffsvektor unterbrochen, um den Schaden zu begrenzen. vor Wir reagieren aktiv auf das Problem. Wir wollen die Ausbreitung der Infektion so schnell wie möglich stoppen. Manchmal hat man Glück. Manchmal läuft die Schadsoftware nur unter Windows oder nur auf einem Mac. Wenn Sie sie also auf ein System heruntergeladen haben, auf dem sie nicht läuft, sind Sie nicht betroffen.

Betrachten wir nun ein Szenario, in dem drei Personen auf den Link geklickt haben und die Schadsoftware ausgeführt werden konnte, weil sie den richtigen Computertyp im Visier hatte. Hier wird die Lage heikel. Wir müssen verstehen, was die Schadsoftware während ihrer Laufzeit getan hat, bevor die drei Computer vom Netzwerk getrennt wurden. Hat sie Daten über das Internet exfiltriert? Konnte sie sich lateral bewegen, um einen weiteren Computer anzugreifen? Hat sie einen Keylogger installiert, um Passwörter zu stehlen? Die Antworten auf diese und weitere Fragen bestimmen, wie wir reagieren und welche Maßnahmen wir ergreifen müssen, um uns von dem Angriff zu erholen.

Leider verfügen wir derzeit nicht über die Technologie, mit der wir schnell feststellen können, ob jemand auf einen Link geklickt und Schadsoftware heruntergeladen hat. Ich hoffe natürlich immer, dass dies nicht passiert, aber ich könnte besser schlafen, wenn ich Ihnen mit Sicherheit sagen könnte, dass keines unserer Systeme betroffen ist – daher meine E-Mail mit der Bitte, nachverfolgen zu können, wer auf einen Link geklickt hat.

PagerDuty für Sicherheit

Zum Schluss noch eine Herausforderung für Sie. Ich habe Ihnen bereits erklärt, wie wichtig es für Sicherheitsvorfall-Reaktionsteams ist, schnell zu reagieren, um die Auswirkungen eines Sicherheitsvorfalls einzudämmen. Ich habe Ihnen auch gesagt, dass die Risikominimierung der Grund für unsere Arbeit und unseren Lebensunterhalt ist. Meine Herausforderung an Sie: Beantworten Sie die folgenden Fragen: Wie können Sicherheitsvorfall-Reaktionsteams PagerDuty nutzen, um die Reaktionszeit zu verkürzen? Welches Risiko könnten sie für ihre Arbeitgeber minimieren, wenn sie die Infektion eindämmen könnten, bevor sie sich lateral ausbreitet? Welche Kosten würden sich dadurch einsparen?

Bleiben Sie dran für weitere Informationen zu PagerDuty für Sicherheitsdienste! Schauen Sie sich in der Zwischenzeit unsere Sicherheitsressourcen an:

Störung der Sicherheit: Modernisierung der IT-Sicherheit durch SecOps und Incident Management
Der sichere Entwickler PagerDuty sicher halten
Signal Sciences behebt Sicherheitslücken schnell und schützt Kundendaten mit PagerDuty.

Sicherheit

Diese könnten Ihnen auch gefallen...

KI , Cloud-Betrieb , Digitale Operationen , Vorfallmanagement und Reaktion , Integrationen , Anwendungsfälle und Lösungen
Was uns die NFL über die Koordination von Mensch und KI zum Aufbau robuster Abläufe gelehrt hat

Integrationen , Anwendungsfälle und Lösungen
PagerDuty + Guide-Integration: Nie wieder ein Interview wegen eines Vorfalls ansetzen

AIOps , Produkt , Anwendungsfälle und Lösungen
Warum die Überwachung von Herzschlagereignissen mit PagerDuty AIOps die Zukunft der Systemzustandsüberwachung ist

Monatliche Produkt-Drops

Monatliche Produkt-Drops

Betriebliche Integrität bei FOX

FY25 Impact Report

PagerDuty on Tour

Blog

Leben als Sicherheitsvorfallhelfer

Ich sehe was, was du nicht siehst…

Wie die Reaktion auf Sicherheitsvorfälle funktioniert

PagerDuty für Sicherheit

Was uns die NFL über die Koordination von Mensch und KI zum Aufbau robuster Abläufe gelehrt hat

PagerDuty + Guide-Integration: Nie wieder ein Interview wegen eines Vorfalls ansetzen

Warum die Überwachung von Herzschlagereignissen mit PagerDuty AIOps die Zukunft der Systemzustandsüberwachung ist