Inhalt

Was versteht man unter digitaler Forensik und Incident Response (DFIR)?
Die Entwicklung von DFIR
DFIR-spezifische Herausforderungen
Best Practices für DFIR
Welche Schritte umfasst der DFIR-Prozess?

Digitale Forensik und Incident Response (DFIR)

Inhalt

Was versteht man unter digitaler Forensik und Incident Response (DFIR)?
Die Entwicklung von DFIR
DFIR-spezifische Herausforderungen
Best Practices für DFIR
Welche Schritte umfasst der DFIR-Prozess?

DFIR (Digitale Forensik und Incident Response) ist ein rasch wachsendes Tätigkeitsfeld, das dynamisches Denken und innovative Ansätze erfordert. Die zunehmende Komplexität moderner Cybersicherheitsvorfälle erfordert, dass digitale Untersuchungsprozesse mit Incident-Response-Expertise kombiniert werden.

Was versteht man unter digitaler Forensik und Incident Response (DFIR)?

Digitale Forensik und Incident Response sind zwei Bereiche der Cybersicherheit, die Aktivitäten wie das Identifizieren, Analysieren und Eindämmen von Cyberangriffen und potenziell das Ablegen eines Zeugnisses bei kriminellen Ermittlungen, Streitfällen oder anderen digitalen Untersuchungen umfassen.

DFIR besteht aus zwei Kernkomponenten:

Digitale Forensik: Dieser untersuchungstechnische Zweig der forensischen Wissenschaft erfasst, analysiert und präsentiert digitale Beweise wie Benutzeraktivitäts- und Systemdaten. Ziel ist es, faktisch nachzuweisen, was auf einem Computersystem, Netzwerkgerät, Smartphone oder Tablet passiert ist. Diese Informationen kommen oft bei Streitfällen, behördlichen Ermittlungen, kriminalrechtlichen Untersuchungen, unternehmensinternen Prüfungen und ähnlichen digitalen Nachforschungen zum Einsatz.
Incident Response: Incident-Response-Services beinhalten ebenfalls die Erfassung und Analyse von Daten zur Untersuchung von Computersystemen, allerdings konkret in Reaktion auf Sicherheitsvorfälle. Daher spielen neben den Untersuchungsmaßnahmen noch weitere Schritte wie die Eindämmung und Wiederherstellung eine wichtige Rolle und müssen gegeneinander abgewogen werden.

Die Entwicklung von DFIR

Obwohl die digitale Forensik und Incident-Response-Services schon immer leicht unterschiedliche Ziele verfolgten, wurden ursprünglich in beiden Feldern ähnliche oder sogar dieselben Tools, Prozesse, Methoden und Technologien genutzt. Zur Erfassung von Daten für DFIR-spezifische Zwecke wurden meist forensische Sicherungskopien von Computern und Unternehmensservern erstellt und Kopien von separat gespeicherten Protokolldaten angefertigt. Diese umfassenden Datensätze wurden dann mit speziellen Analysetools untersucht und in für Computerexperten verständliche Informationen umgewandelt, damit diese potenziell relevantes Beweismaterial identifizieren konnten.

Die Abläufe in der digitalen Forensik haben sich nicht grundlegend geändert, da sie eine eingehende Prüfung des Materials verfolgen, das letztendlich vor Gericht oder bei einer Aufsichtsbehörde vorgelegt wird. Die heutigen Incident-Response-Prozesse hingegen profitieren von moderneren Tools, Ansätzen und Technologien, die die Ziele dieser Disziplin besser erfüllen.

Daher kommen heute oft EDR- oder XDR-Tools zum Einsatz, die den Incident-Response-Experten Einblicke in die Daten auf den Computersystemen im Unternehmen geben. Diese Tools liefern oft sofort oder zumindest zeitnah Erkenntnisse von Dutzenden, Hunderten oder sogar Tausenden Endpunkten. Da die Analysten unmittelbar Zugang zu nützlichem Untersuchungsmaterial haben, können sie bei einem Sicherheitsvorfall auch sehr schnell herausfinden, was vor sich geht, selbst wenn sie zu diesem Zeitpunkt noch nicht wissen, wo genau in der Umgebung sie weiter nachforschen sollten. Darüber hinaus ermöglichen solche Tools auch die Eindämmung von Bedrohungen und die Wiederherstellung, indem sie Malware oder andere von den Angreifern verwendete Tools identifizieren, stoppen und entfernen.

Bei der digitalen Forensik steht die Erfassung und Untersuchung von Daten im Vordergrund, um im Detail aufzudecken, was passiert ist. Incident-Response-Services hingegen konzentrieren sich auf die Untersuchung und Eindämmung von Sicherheitsvorfällen sowie die anschließende Wiederherstellung. Beide Tätigkeitsfelder verbinden neben ihrer Entstehungsgeschichte auch viele Tools, Prozesse und Methoden. Zudem kann ein Sicherheitsvorfall, der heute abgewehrt und untersucht werden muss, schon morgen zu einem Streitfall werden. Aufgrund ihrer gemeinsamen Entwicklung, den Überschneidungen bei Tools und Prozessen – und weil eine Angelegenheit für das Incident-Response-Team leicht zu einer Sache für die digitale Forensik werden kann (oder umgekehrt) – werden die beiden Felder auch heute noch oft unter einem Begriff zusammengefasst: digitale Forensik und Incident Response (DFIR).

DFIR-spezifische Herausforderungen

Nicht nur Computersysteme haben sich weiterentwickelt, sondern auch die mit DFIR verbundenen Herausforderungen. Digitale Forensik- und Incident-Response-Experten haben heute gleich mehrere gängige Hürden zu meistern.

Herausforderungen in der digitalen Forensik

Fragmentiertes Beweismaterial: Sicherheitsvorfälle hinterlassen heutzutage nicht mehr nur auf einem einzigen Host ihre Spuren und Beweismaterial ist meist über mehrere physische oder virtuelle Standorte verstreut. Daher sind mehr Know-how, Tools und Zeit erforderlich, um forensische Spuren zu sichern und Bedrohungen gründlich zu untersuchen.
Rasante technologische Entwicklungen: Digitale Geräte, Softwareprogramme und Betriebssysteme entwickeln sich ständig weiter, und zwar in rasantem Tempo. Deshalb müssen sich forensische Experten mit der Handhabung digitaler Beweise in zahlreichen Anwendungsversionen und Dateiformaten auskennen.

Herausforderungen bei Incident-Response-Prozessen

Mehr Daten, weniger Fachkräfte: Organisationen haben mit einer wachsenden Anzahl an Sicherheitsalarmen zu kämpfen, doch es fehlt ihnen an Fachkräften, um die enorme Menge an Informationen zu bewältigen und Bedrohungsdaten herauszufiltern. Aus diesem Grund nehmen sie immer häufiger die Retainer-Services von DFIR-Experten in Anspruch, um dem internen Fachkräftemangel entgegenzuwirken und sich die erforderliche Unterstützung bei der Bekämpfung von Bedrohungen zu sichern.
Wachsende Angriffsfläche: Moderne Infrastrukturen mit zahlreichen Computer- und Softwaresystemen lassen die Angriffsfläche immer größer werden. Ein präziser Überblick über das Netzwerk ist da kaum noch möglich und zudem steigt die Gefahr von Fehlkonfigurationen und Benutzerfehlern.

Hier sind die Fachkenntnisse und flexiblen Ansätze von DFIR-Experten gefordert, um die steigende Menge an Alarmen und komplexen Datensätzen zu verarbeiten und die sich ständig ändernden Systeme von heute nach Bedrohungen zu durchforsten.

Best Practices für DFIR

Ein DFIR-Serviceangebot ermöglicht bedrohungsanfälligen Unternehmen, agil auf Vorfälle zu reagieren, und gibt ihnen die Gewissheit, im Bedarfsfall schnell und effektiv von Experten unterstützt zu werden, die umfassende Erfahrung im Umgang mit Cybersicherheitsverstößen haben.

Best Practices für die digitale Forensik

Ein erfolgreicher DFIR-Einsatz hängt von einer prompten und gründlichen Reaktion ab. Digitale Forensikteams müssen über umfassende Kenntnisse, effektive DFIR-Tools und die richtigen Prozesse verfügen, um schnell und mit praktischen Maßnahmen auf jede Art von Vorfall reagieren zu können.

Sie müssen unter anderem in der Lage sein, die Ursache, das Ausmaß und die Auswirkungen eines Vorfalls zu ermitteln und mithilfe geeigneter Tools die Sicherheitslücken oder Schwachstellen aufzudecken, die einem Angriff oder Datenleck Vorschub geleistet haben.

Best Practices für Incident-Response-Services

Incident-Response-Services zielen darauf ab, in Echtzeit auf Sicherheitsvorfälle zu reagieren. Best Practices umfassen Vorbereitungs- und Planungsschritte sowie zeitnahe, präzise und zuverlässige Maßnahmen zur Abwehr und Eindämmung von Bedrohungen, um einen Reputationsschaden zu vermeiden, finanzielle Verluste zu minimieren und Ausfallzeiten zu reduzieren.

Im Gesamten gesehen schließen die Best Practices für digitale Forensik und Incident Response folgende Aktivitäten ein: Ursachenermittlung, korrekte Identifizierung und Aufspürung aller verfügbaren Daten und Beweismaterialien sowie kontinuierliche Unterstützung bei der Aufrechterhaltung eines zukunftsfähigen Sicherheitsniveaus.

Welche Schritte umfasst der DFIR-Prozess?

Die DFIR-Lösung von Palo Alto Networks zeichnet sich insbesondere durch die Threat Intelligence des Unit 42-Teams aus, dessen erfahrene Spezialisten modernste Tools und Verfahren nutzen. Unser DFIR-Prozess besteht aus zwei Elementen, die Hand in Hand gehen.

Schritte der digitalen Forensik

Identifizieren: Als Erstes wird sämtliches Beweismaterial identifiziert und ermittelt, wo und wie es gespeichert ist. Dazu ist umfassendes technisches Know-how erforderlich, das bei der Analyse unterschiedlichster Arten von Medien zum Tragen kommt.
Sichern und aufbewahren: Als Nächstes werden alle Daten isoliert, gesichert und bis zum Abschluss der Untersuchung aufbewahrt. Eine Untersuchung gilt erst dann als abgeschlossen, wenn alle Fragen zu Rechtsstreitigkeiten oder Ermittlungsverfahren beantwortet sind.
Analysieren: Die Daten werden analysiert und das Beweismaterial wird ausgewertet.
Dokumentieren: In dieser Phase wird anhand der relevanten Beweise versucht, den Sicherheitsverstoß oder Angriff nachzustellen, damit er im Detail untersucht werden kann.
Präsentieren: Zum Abschluss werden alle Beweismaterialien und Erkenntnisse unter Berücksichtigung der forensischen Protokolle präsentiert. Dabei werden auch die verwendeten Analysemethoden und Verfahren aufgeführt.

Incident-Response-Schritte

Ermitteln des Ausmaßes: Zunächst müssen Ausmaß und Schweregrad des Vorfalls eingeschätzt und Gefahrenindikatoren identifiziert werden.
Untersuchen: Anschließend beginnt der eigentliche Such- und Untersuchungsvorgang. Dabei nutzen die IR-Experten innovative Verfahren und Ansätze sowie aktuelle Threat Intelligence, um nach Bedrohungen zu suchen, Beweismaterial zusammenzutragen und detaillierte Erkenntnisse zu gewinnen.
Absichern: Selbst wenn spezifische Bedrohungen beseitigt sind, muss das Team Sicherheitslücken identifizieren und das Sicherheitsniveau kontinuierlich überwachen. Zur Absicherung gehören das Eindämmen/Beseitigen aktiver Bedrohungen, die im Rahmen der Untersuchung aufgespürt wurden, und das Beheben der gefundenen Sicherheitslücken und Schwachstellen.
Dokumentieren und unterstützen: Nach jedem Sicherheitsvorfall werden personalisierte Berichte und ein Plan für die weitere Unterstützung erstellt. Dabei berücksichtigen wir die Organisation im Gesamten und empfehlen entsprechende Maßnahmen.
Vorkehrungen für die Zukunft treffen: Abschließend werden Bereiche mit Verbesserungspotenzial identifiziert und die IR-Experten geben Empfehlungen zur effektiven Härtung des Sicherheitsniveaus und zur Beseitigung von Schwachstellen.

Jeder einzelne Schritt muss optimal zum Abschluss gebracht werden, damit der Betrieb nach einem Vorfall schnell wiederhergestellt wird und die Organisation zuversichtlich in die Zukunft blicken kann.

Die Incident-Response-Experten von Unit 42 sind mit herkömmlichen Computerumgebungen und allen großen CSP-Umgebungen bestens vertraut. Unsere DFIR-Prozesse ermöglichen eine schnelle Ermittlung des Ausmaßes, Zugriffsprüfungen, Untersuchungen sowie vorfallspezifische Eindämmungsmaßnahmen, damit Ihr Betrieb schnellstmöglich wieder läuft. Wir nutzen eigene Playbooks für gängige Cybersicherheitsvorfälle und bieten Planübungen, bei denen sich Ihre Teams in die einzelnen in diesen Prozedurensammlungen enthaltenen Schritte einarbeiten können. Informieren Sie sich, wie Sie Ihre Organisation mit den DFIR-Services von Unit 42 schützen können.