Wenn Cyberkriminelle erfolgreich ins Firmennetz eingedrungen sind, ist rasches und planvolles Handeln gefragt. In diesem Whitepaper erfahren Sie, welche Vorbereitungen sie treffen müssen, um im Falle eines Security Incidents schnell die richtigen Maßnahmen einleiten zu können.
Inhalt:
„Assume Breach“: Unternehmen müssen davon ausgehen, gehackt worden zu sein. Das ist ein häufiger gehörter Ratschlag. Tatsächlich ist die Wahrscheinlichkeit, Opfer eines Cybereinbruchs zu werden, enorm hoch. Dem Branchenverband Bitkom zufolge waren im vergangenen Jahr 84 Prozent der deutschen Unternehmen von einem erfolgreichen Cyberangriff betroffen, weitere 9 Prozent vermuten dies.
IT-Verantwortliche sollten sich deshalb gründlich auf den Ernstfall vorbereiten und einen Notfallplan entwickeln. So kann bei einer erfolgreichen Attacke schnell reagiert und das Schlimmste verhindert werden.
Worauf sie dabei achten sollten, zeigt das vorliegende Whitepaper. Es liefert eine ausführliche Checkliste, welche die Umsetzung der Maßnahmen erleichtert.
Lesen Sie:
- Wie Angreifer in der Praxis vorgehen und welche Auswirkungen fehlende oder falsche Abwehrmaßnahmen haben können.
- Welche vier Phasen im Incident-Response-Prozess entscheidend sind.
- Welche technischen und nicht-technischen Maßnahmen sie ergreifen sollten.
Originalauszug aus dem Dokument:
Tag 0_ Die ersten Aktivitäten lassen sich in die Beschaffung von Zugangsdaten und den initialen Zugriff auf Ressourcen des Zielunternehmens unterteilen. Häufig findet die Entwendung von Zugangsinformationen nicht mehr durch den späteren Angreifer statt, sondern durch sogenannte Network Access Broker. Diese sind spezialisiert darauf, Zugangsinformationen von Unternehmen zu sammeln und diese über das Darknet an die späteren eigentlichen Angreifer zu verkaufen.
Tag 1_ Mithilfe der bekannten Zugangsinformationen versucht der Angreifer, seine Rechte zu erhöhen. Ziel ist es, zunächst lokale Administratorrechte und schließlich Domainadministratorrechte zu erhalten.
Tag 2_ Im nächsten Schritt versucht der Angreifer, seinen Zugriff auf das Netzwerk des Zielunternehmens mittels bekannter Werkzeuge – in diesem Beispiel Cobalt Strike – auszuweiten. Kontrolliert werden die übernommenen Clients mithilfe eines C2-Servers (Command and Control), zu dem eine Verbindung aufgebaut wird.
Tag 3_ Um Daten aus dem Zielunternehmen zu extrahieren, benötigt der Angreifer eine Datenplattform, auf der Informationen zunächst im Unternehmensnetz gesammelt und dann aus dem Unternehmen abgeführt werden können. Häufig werden hierfür Backup-Server verwendet. Backup-Server fallen aufgrund ihrer Funktion nicht weiter auf, wenn vermehrt Verbindungen aufgebaut und Daten übertragen werden.