Multinationaler Technologiehersteller wehrt APT-Angriff ohne Ausfallzeiten ab

Als Angreifer sich über die Kampagne TiltedTemple Zugang zu einer Umgebung mit über 10.000 Endpunkten verschafften, ermittelte Unit 42® die Auswirkungen und sicherte die Infrastruktur des Unternehmens.

Fazit
Herausforderung
Ergebnisse
Wenden Sie sich an uns
Fazit
0Ausfallminuten

Unit 42 half dem Kunden, trotz des APT-Angriffs sicher weiterzuarbeiten

48Stunden

bis zur schnellen Identifizierung der TiltedTemple-Kampagne als Ursache

4Tage

zur Ermittlung des Umfangs und der Auswirkungen des Angriffs sowie zur Sicherung der Umgebung

Der Kunde

Ein multinationaler Technologiehersteller

Die Herausforderung

Strafverfolger wiesen den Kunden darauf hin, dass der aus seinem Netzwerk kommende Datenverkehr Gefahrenindikatoren für eine APT enthielt, die als sehr schwer erkennbar bekannt ist, und empfahlen eine gründliche, gezielte Untersuchung. Unit 42 führte diese Untersuchung durch und sorgte dafür, dass es zu keinerlei Ausfallzeiten kam. Unsere Incident-Response-Experten wurden beauftragt:

  • die Bedrohung in den bereits betroffenen Bereichen zu isolieren und zu beheben und ihre laterale Ausbreitung zu verhindern sowie die Angreifer aus der Umgebung auszuschließen,
  • die Ursache zu finden und das Ausmaß des Angriffs abzuschätzen,
  • die Sicherheitsmaßnahmen zu stärken, um weitere Schäden zu vermeiden.

Der rigorose Incident-Response-Ansatz von Unit 42 liefert hervorragende Ergebnisse

Beurteilung

Aufgrund der Art des Angriffs hieltUnit 42 eine gründliche Bewertung der unmittelbar betroffenen Umgebungen, der benachbarten Umgebungen und des weiteren Netzwerks für unerlässlich.

Untersuchung

Da der Angreifer für seine Fähigkeit bekannt ist, sich praktisch vor den Augen von Sicherheitsprofis zu verstecken, wurde eine umfassende Bedrohungssuche mit persistentem Zugriff, lateraler Ausbreitung und Datenausschleusung als ersten Schwerpunkten eingeleitet.

Sicherung

Bedrohungssuche und proaktives Monitoring rund um die Uhr wurden eingerichtet, um eine vollständige Übersicht über alle Netzwerk- und Endpunktaktivitäten zu gewinnen.

Wiederherstellung

Unit 42 konnte bestätigen, dass die Angreifer keinen Zugang mehr zu der Umgebung hatten und alle Backdoors geschlossen worden waren, und den Kunden über sämtliche Konsequenzen des Angriffs informieren.

Verbesserung

Zwischen der betroffenen Organisation und ihrem Mutterunternehmen wurden sicherheitsrelevante Transparenzlücken gefunden und geschlossen.

„Unit 42 hat unserem Incident-Response-Team zeitnah die erforderlichen Fachkenntnisse und Fertigkeiten vermittelt, sodass das Team und unsere Führungsriege nun sicher sein können, dass die mit diesem Angriff verbundenen Risiken abgewendet wurden.“

CIO

First trigger point

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Scroll right

Einsatzverlauf

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Tage 0–1
Krisenmanagement

Ausmaß und Schweregrad des Vorfalls beurteilt, Gefahrenindikatoren (IoCs) identifiziert und Tatverdächtige benannt

Forensische Untersuchung der bekannten betroffenen Systeme durchgeführt, um eine Liste aller unbefugten Aktivitäten zu erstellen und IoCs für die Durchsuchung der gesamten Unternehmensumgebung auszuwählen

Vorhandene Tools genutzt, um rasch einen Überblick zu erlangen und Transparenzlücken zu identifizieren

Tage 2–5
Eindämmung

Chinesische APT-Gruppe und deren Kampagne TiltedTemple anhand von Gefahrenindikatoren und Threat Intelligence von Unit 42 als Urheber identifiziert

Bedrohungssuche mit bekannten IoCs fortgesetzt und neue TTPs identifiziert

Cortex XDR® auf Systemen mit toten Winkeln implementiert, um die Transparenz zu verbessern

Identifizierte Bedrohungen isoliert und Überwachung auf Persistenzmechanismen und Datenausschleusungen eingerichtet

Tage 6–10
Wiederherstellung

Weiter gefasste Bedrohungssuche in der gesamten Unternehmensumgebung durchgeführt, um etwaige, noch unbemerkte Angreiferaktivitäten aufzudecken

Frequenz- und Anomalieanalyse mit Cortex Xpanse® durchgeführt, um potenziell schädliche Aktivitäten zu identifizieren

Überprüft und bestätigt, dass die Angreifer aus der Umgebung entfernt und die Bedrohung behoben wurde, Kunde über das Ausmaß des Vorfalls informiert

Bereiche mit Verbesserungspotenzial identifiziert und Empfehlungen zur effektiven Verbesserung des Sicherheitsniveaus und zur Beseitigung von Schwachstellen gegeben

Last trigger point

Datengestützte Incident Response

Mit den Incident-Response-Services von Unit 42 können Sie Bedrohungen einen Schritt vorausbleiben und sich aus den Schlagzeilen halten. Dank der vollen Unterstützung eines branchenführenden Cybersicherheitsunternehmens können Sie Vorfälle schneller untersuchen, eindämmen und beheben und gestärkt aus ihnen hervorgehen. Kontaktieren Sie uns – für eine Sorge weniger.

SPRECHEN SIE NOCH HEUTE MIT EINEM EXPERTEN

Mit branchenführender

  • Threat Intel logo icon
    Threat Intelligence

    Reichhaltige Telemetriedaten und Threat Intelligence beschleunigen die Untersuchung und Behebung

  • Technology icon
    Technologie

    Die Plattform von Palo Alto Networks bietet eine detaillierte Übersicht, mit der Bedrohungen schneller aufgedeckt und blockiert und Betriebsstörungen reduziert werden können.

  • Experience symbol
    Erfahrung und Expertise

    Sichern Sie sich die Unterstützung renommierter Experten, die über 1.000 Vorfälle pro Jahr schnell und effektiv beheben.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen