Unternehmen jeglicher Größe schützen ihre Infrastruktur ungenügend oder beschaffen wichtige Produkte, die der IT etwa ein „Security Information and Event Management“ zur Hand geben. In fast allen Fällen fehlt eine maßgeschneiderte und produktunabhängige Lösung zur Durchführung von automatisierten Erstmaßnahmen bei schweren Sicherheitsvorfällen. Zwei Dinge sind sicher: Einem komplexen Trojaner kann man nur mit automatisierten Prozessen in den ersten Sekunden den Angriff erschweren und die Anwender im Unternehmen werden ungeachtet aller Sensibilisierungsmaßnahmen wiederkehrend Trojaner ausführen.
Der Tatort
Nach der letzten Konferenz prüft „Herr W“ die eingegangenen Emails. In einer Email wird ein wichtiger aktueller Einkaufsvorgang eskaliert. Der Absender ist „Herrn W“ bekannt. „Herr W“ versucht die PDF zu öffnen. Der Ladebalken der PDF-Anwendung erscheint und verschwindet nach wenigen Sekunden ohne Fehlermeldung. Es ist schon spät geworden und der Absender ist an diesem Wochentag immer nur vormittags erreichbar, so dass „Herr W“ diesen Arbeitstag beendet.
Der Angriff
Auf das Unternehmen von „Herrn W“ erfolgt ein personalisierter Angriff. Schon vor der Abmeldung des „Herrn W“ verfügen die Angreifer in wenigen Minuten automatisiert über
- einen eigenen verschlüsselten Tunnel ins Unternehmensnetzwerk,
- reichhaltige Informationen zur Infrastruktur des Unternehmens,
- die Identitäten von „Herrn W“ und ein eingesetztes Dienstkonto, das auf den Arbeitsplätzen des Unternehmens mit lokalen System-Rechten eingesetzt wird
- installierte Schadsoftware-Sammlung auf dem temporär ausgeschalteten Arbeitsplatz des „Herrn W“
Die Gegenwehr
Auf einen automatisierten Angriff muss mit automatisierten Gegenmaßnahmen reagiert werden, um den Schaden möglichst gering halten zu können. Der Arbeitsplatz des Verursachers „Herrn W“ muss auch im Netzwerk des Unternehmens identifiziert werden können, wenn eine lokale Meldung über eine erkannte Schadsoftware auf einem entfernten Dateiserver ausgelöst wird. Nach der Identifikation sind für spätere manuelle Maßnahmen forensische Daten zu sammeln und das Anwenderkonto und der Arbeitsplatz zu isolieren. Abschließend sind ein umfassender Bericht und Benachrichtigungen zum Vorfall im Unternehmen zu versenden und reaktive manuelle Maßnahmen im Nachgang gefordert. Von der Erkennung einer Schadsoftware bis zur Isolierung des Verursachers und seines Arbeitsplatzes sollten maximal fünf Sekunden vergehen.
Die Technik
In der Infrastruktur des Unternehmens können bei der Ausführung von Schadcode frühzeitig Ereignisse auf einen Vorfall mit Schadsoftware hinweisen und einen automatisierten Prozess auslösen, der die Lage unter einem Algorithmus prüft. Jeder Server kann diesen Prozess ohne den Einsatz von Dienstkonten initiieren, kommunizieren und Informationen austauschen. In der gegenseitigen Kommunikation können Aufträge zu anderen Systemen gesendet werden. Die Identifizierung und die Isolierung des Verursachers ergänzen dabei dedizierte Hilfssysteme.
Der Aufwand
Ein solches Automationsprojekt beginnt im Unternehmen mit der Erkenntnis, Maßnahmen gegen Schadsoftware automatisiert behandeln zu müssen. Die Intelligenz liegt im Code und in der Architektur. Dabei wird die jeweils individuelle Infrastruktur eines Unternehmens berücksichtigt und keine Anforderungen an bestimmte Produkte und Antivirenprogramme gestellt. Nach einem Quartal Entwicklungsarbeit kann die erste Version der „Antivirenerweiterung“ das Unternehmen ergänzend beschützen und bei Gefahr wertvolle Vorarbeit für die IT-Sicherheitsabteilung leisten.