Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

Spotlight auf Trustwave SpiderLabs, Teil 2: Incident Response und Threat Hunting

Dieser zweiteilige Beitrag bietet einen Einblick in das SpiderLabs-Team von Trustwave. Dessen Aufgabe besteht unter anderem darin, neue Bedrohungen zu erkennen und zu analysieren. Darüber hinaus hilft SpiderLabs seinen Kunden dabei, Sicherheitsverletzungen zu erkennen, zu bekämpfen und die Systeme anschließend wiederherzustellen. Durch die eigene Forschung und Aufklärung unterstützt das Team zudem den gesamten Cybersicherheitsbereich. 
Den ersten Beitrag der zweiteiligen Blogserie finden Sie 
hier.

Cybersecurity für SpiderLabs-Kunden

Trustwave SpiderLabs ist für die Arbeit mit Trustwave Managed Security Services (MSS)-Kunden, einschließlich Trustwave Managed Detection and Response (MDR)-Kunden, verantwortlich. Dort beschäftigt sich das Team im Rahmen seines Digital Forensic and Incident Response (DFIR)-Service mit Threat Hunting (der Suche nach Bedrohungen) sowie Incident Response (der Untersuchung und Behebung von Sicherheitsvorfällen).

Threat Hunting

Trustwave SpiderLabs hat ein hybrides Framework für sein Threat Hunting entwickelt. Es versorgt das Team mit Ereignissen, Warnungen und Datenpunkten aus vielen Tausenden Abfragen von automatisierten und nicht automatisierten Tools (wie auch von Sicherheitsforschern). „Im Grunde genommen haben wir ein Framework aus Tools geschaffen, durch das wir uns intensiv mit dem Threat Hunting befassen können. Verfügt ein Kunde beispielsweise über 100 Endpoints, können wir an jeden eine ausführbare Binärdatei unseres EDR-Tools anhängen. Mit dieser Datei können wir jede Art von Informationen abfragen, die für unsere Arbeit von Bedeutung ist“, sagt Brian Hussey, Vice President Cyber Threat Detection and Response bei Trustwave.

Das Framework ermöglicht es dem Team, sich über die Endpoints des Kunden, Bedrohungen in der Umgebung, Ports, veraltete Software sowie fehlerhafte oder anfällige Infrastrukturen zu informieren. Dabei wird alles, was in dem System des Kunden ausgeführt werden kann, einbezogen; Hashes über eine benutzerdefinierte Hash-Datenbank, über die sie bewertet werden können, Systemadministratortools, „Known Goods" und andere Datenpunkte, die analysiert werden, um festzustellen, ob eine Bedrohung vorliegt.

Traditionelles Threat Hunting wird normalerweise als ein Prozess angesehen, in dem nach böswilligen Akteuren innerhalb eines Netzwerks gesucht wird. Das von Trustwave SpiderLabs verwendete hybride Framework ermöglicht es den Experten, noch tiefer in das Netzwerk zu schauen, um vorhandene Schwachstellen, schlechte Verhaltensweisen in einer Umgebung sowie andere Indikatoren der Sicherheitshygiene zu identifizieren. „Unser Threat Hunting beginnt bei böswilligen Akteuren und endet bei der Sicherheitshygiene“, sagt Brian Hussey.

Dieser Ansatz hilft zudem bei der Analyse, ob vorhandene Tools effektiv arbeiten, um Bedrohungen zu blockieren, zu erkennen und zu verhindern. Darüber hinaus ermöglicht er, die Umgebung eines Kunden proaktiv zu analysieren, um Schwachstellen, veraltete Software und Webseitenfehler zu finden – damit es gar nicht erst zu einem Sicherheitsvorfall kommt.

DFIR – die Ersthelfer

Das Data Forensic Investigation Response-Team von Trustwave SpiderLabs ist der Ersthelfer im Falle eines Sicherheitsverstoßes oder wenn bei Threat Hunting, Pentests oder Tabletop Exercises etwas aufgedeckt wird, das eine eingehende Untersuchung erfordert.
Mark Whitehead, Global Vice President, SpiderLabs Consulting, vergleicht das DFIR-Team von Trustwave SpiderLabs mit Feuerspringern: „Sie springen in ein Unternehmen, übernehmen die Einsatzleitung, beruhigen die Situation und verwenden Best Practices, um erfolgte Angriffe zu identifizieren.“ Das Team nutzt die Forschungsergebnisse, Ressourcen und Tools von Trustwave SpiderLabs, um forensische Analysen zu erstellen und so den Angreifer, die Methode und die verwendeten Tools zuzuordnen. Das DFIR-Team ist im Wesentlichen dafür verantwortlich, Informationen zu einem Vorfall zusammenzustellen – wie und wann ist die Sicherheitsverletzung aufgetreten, wer steckt dahinter –, die Einzelheiten des Angriffs zusammenzusetzen oder eine Malware durch Reverse Engineering zurückzuentwickeln. Ein weiterer großer Vorteil von SpiderLabs ist, dass Hunderte ethische Hacker nur einen Tastendruck oder einen Anruf entfernt sind, um mit ihnen zusammenzuarbeiten.

Die Untersuchung beginnt oft mit dem Einsatz von Threat Hunting Tools und Feeds, um die Sicherheitslücke einzudämmen und eine erste Analyse durchzuführen. Das genaue Ausmaß der Untersuchung hängt vom Schweregrad des Vorfalls oder auch der Unternehmensgröße ab.

Doch immer ist Geschwindigkeit bei der Untersuchung und Analyse von Sicherheitsverstößen der Schlüssel. „Wenn es sich um ein Unternehmen mit über 10.000 Computern handelt, braucht man viele Fachkräfte, um die Untersuchung zu bewerkstelligen. Denn dabei ist das Ziel, die Untersuchung vor allem schnell durchzuführen“, sagt Mark Whitehead.
Je schneller die Untersuchung erfolgt, desto schneller können Daten erfasst werden. Am effizientesten ist es jedoch, wenn eine Person die ersten 24 Stunden damit verbringt, Logs einzusehen und den Sicherheitsvorfall unter Kontrolle zu bringen. Auf diese Weise hat das betroffene Unternehmen einen einzigen Ansprechpartner, auf den es sich verlassen kann. Diese Person kann dann herausfinden, „wie groß das Feuer ist“, und die für die Eindämmung sowie vollständige Analyse erforderlichen Ressourcen bevollmächtigen.

Es ist somit äußerst wichtig, so schnell wie möglich eine Fachkraft in die Untersuchung einzubeziehen, denn sie kann Details und Zusammenhänge aufdecken, die ein automatisiertes Tool nicht erkennen kann. „Automatisierte Tools sehen nur die Oberfläche“, sagt Mark Whitehead. „Aber Fachkräfte wissen, dass sie tiefer schauen müssen, und finden so möglicherweise neue Techniken, von denen automatisierte Tools nichts wissen. Dies erfordert eine wirklich gute Ausbildung und besondere Qualifikationen.“ Wenn es um Bedrohungen oder Techniken geht, die noch nie zuvor beobachtet wurden, kann ein automatisiertes Tool diese nicht erkennen oder analysieren.
In diesem Fall werden die Informationen an das Forschungsteam weitergeleitet. Dieses identifiziert, ob ein anderes Unternehmen oder eine andere Organisation zuvor schon einmal auf das Problem gestoßen ist oder ob das Team es als neue Bedrohungsvariante, neuen Cyberkriminellen oder eine neue Technik einstufen kann.

Wie Trustwave SpiderLabs zur Cybersicherheit beiträgt

Die kontinuierliche Forschung von Trustwave SpiderLabs hat bereits zu konkreten Verbesserungen für die Cybersecurity Intelligence Community beigetragen. Stößt das Team auf eine neue Schwachstelle, befolgt es einen zuverlässigen Offenlegungsprozess. In diesem wird der Hersteller benachrichtigt, damit er die Schwachstelle beheben kann, bevor sie veröffentlicht wird. Trustwave SpiderLabs gibt Anbietern beispielsweise bis zu 90 Tage Zeit, um das Problem vollständig zu untersuchen und einen Patch zu entwickeln. Anschließend unterstützt das Team sogar dabei, den Patch auf seine Vollständigkeit zu testen. In Situationen mit erhöhtem Risiko, z.B. wenn die Details der Schwachstelle öffentlich diskutiert werden oder wenn sie „in the wild“ ausgenutzt wird, zieht das Team eine schnellere Veröffentlichung in Betracht, wobei die Details manchmal innerhalb weniger Tage bekanntgegeben werden. Insgesamt ist das SpiderLabs-Team für etwa zehn bis zwölf öffentliche Sicherheitswarnungen pro Jahr verantwortlich. In seinem Blog behandelt das Team darüber hinaus neue Bedrohungen, Trends und Verhaltensweisen.

Trustwave SpiderLabs arbeitet mit mehreren Cyber-Intelligence-Organisationen und anderen Cybersecurity-Unternehmen zusammen und ist Teil verschiedener Intelligence-Partnerschaften, die sich dem Know-how-Austausch widmen.
Sofern das Team eine Genehmigung erhält, nutzt es alle gesammelten Informationen oder beim Kunden durchgeführte Arbeiten als Referenz. Die neuen Daten und Erkenntnisse fließen dann in die zukünftige Arbeit und die Entwicklung von Trustwave-Tools ein. Dadurch ist Trustwave SpiderLabs für eine Fülle neuer Cybersicherheitsinformationen verantwortlich, mit denen die Services und Angebote von Trustwave, aber auch die weltweiten Ressourcen und Aufklärungsarbeiten verbessert werden.

Sie möchten erfahren, wie Trustwave SpiderLabs zum Schutz Ihres Unternehmens oder Ihrer Organisation beitragen kann? Informieren Sie sich noch heute über diese Elitegruppe aus Forschern, Penetrationstestern und Incident-Respondern.