Ich sehe was, was du nicht siehst…

„Ich möchte die Möglichkeit ausbauen, nachzuverfolgen, wer auf den Link geklickt hat.“

Als ich diese E-Mail an das Vertriebsteam schickte, merkte ich, dass ich wie ein gruseliger Stalker klang. Warum um Himmels Willen sollte die Sicherheitsabteilung alles verfolgen wollen, was angeklickt wird? Ich entschied, dass mehr Kontext nötig war, um böse Gerüchte zu zerstreuen. Wir hatten gerade eine echte Bedrohung entdeckt, einen Phishing-Angriff. Wir entdeckten den Angriff, weil ein Mitglied unseres Vertriebsteams wachsam war und ihn dem Sicherheitsteam meldete.

Als ich eine Folgenachricht schrieb, um meine Gedanken zu erläutern, wurde mir klar, dass das ganze Unternehmen davon profitieren könnte, wenn ich den Vorhang zurückziehe und enthülle, „wie Sicherheit funktioniert“. Es ist ein Bereich, der reif für Expansion und Disruption ist. Indem wir die Bedürfnisse eines Sicherheitsunternehmens verstehen, Einsatzleiter können wir unseren Kunden lösen neue Probleme mit PagerDuty und erweitern Sie die Wirkung, die wir für unsere Kunden haben.

So funktioniert Security Incident Response

Sicherheitsteams verfolgen im Allgemeinen zwei Hauptziele: die Reduzierung des Cybersicherheitsrisikos für das Unternehmen und die Stärkung des Kundenvertrauens. Ein sehr reales Risiko, dem wir täglich ausgesetzt sind, besteht darin, dass ein Angreifer jederzeit auf jedem Computer Malware ausführen kann. Ein Sicherheitsvorfall-Reaktionsteam durchläuft einen Prozess, um die Auswirkungen jeder Bedrohung, der wir ausgesetzt sind, zu verstehen und abzumildern. Die hochrangigen Schritte, die wir hier bei PagerDuty befolgen, basieren auf dem NIST-Rahmenwerk für Cybersicherheit und in unserer Reaktion auf Sicherheitsvorfälle planen:

• Erkennen
• Enthalten
• Antworten
• Genesen

Jetzt erkläre ich Ihnen, wie das PagerDuty Sicherheitsteam auf derartige Bedrohungen reagiert.

Die Fragen, die wir unmittelbar beantworten möchten, sind:

• Enthält der Angriff eine bösartige Nutzlast?
• Ist die bösartige Nutzlast irgendwo detoniert?

Durch die Beantwortung dieser beiden Fragen können wir die anfänglichen Auswirkungen des Angriffs verstehen und den Schaden angemessen eindämmen.

Die Antwort auf Frage Nr. 1 war unkompliziert, da wir den Angriffsbericht von unserem Kollegen erhalten hatten. Wir hatten die E-Mail mit dem Link und konnten dem Link folgen, um die Nutzlast zu überprüfen und festzustellen, ob sie bösartig war. In solchen Fällen verwenden wir zur Sicherheit einen isolierten Computer mit einer virtuellen Maschine, die für die Überprüfung verdächtiger Dateien entwickelt wurde, und folgen dem Link innerhalb dieser virtuellen Maschine. Wenn über den Link etwas Schädliches heruntergeladen wird, können wir die virtuelle Maschine sofort anhalten. Die Malware kann keinen Schaden anrichten.

Wenn wir mit dieser Methode feststellen, dass ein Link Malware installiert, blockieren wir den Link, sodass ihn niemand im Büronetzwerk herunterladen kann. Aber was, wenn jemand ihn bereits heruntergeladen hat, bevor wir die Sperre eingerichtet haben?

Dies bringt uns zu Frage Nr. 2: Ist die Schadsoftware irgendwo explodiert? Um diese Frage zu beantworten, müssen wir herausfinden, ob jemand die Malware heruntergeladen hat, d. h. wer auf den Link geklickt hat. Wenn einige Personen die Malware heruntergeladen haben, müssen wir ihre Computer sofort aus dem Netzwerk entfernen, damit die Malware nicht mit anderen Systemen kommunizieren kann. Malware kann andere Computer im Netzwerk angreifen und Daten von Ihrem Computer stehlen und über das Internet an den Angreifer senden. Diese Aktionen werden als „laterale Bewegung“ bzw. „Exfiltration“ bezeichnet.

Nachdem wir die infizierten Computer aus dem Netzwerk entfernt haben, untersuchen wir sie, um festzustellen, ob die Malware ausgeführt werden konnte. Beachten Sie, dass wir den Angriffsvektor abschneiden, um den Schaden einzudämmen Vor wir reagieren tatsächlich auf das Problem. Wir wollen die Ausbreitung der Infektion so schnell wie möglich stoppen. Manchmal hat man Glück. Manchmal läuft die Malware nur unter Windows oder nur auf einem Mac. Wenn Sie sie also auf ein System heruntergeladen haben, auf dem sie nicht läuft, sind Sie nicht betroffen.

Betrachten wir nun ein Szenario, in dem wir herausgefunden haben, dass drei Personen auf den Link geklickt haben und die Schadsoftware ausgeführt werden konnte, weil sie auf den richtigen Computertyp abzielte. Hier wird es wirklich heikel. Wir müssen verstehen, was die Malware getan hat, während sie ausgeführt wurde, bevor die drei Computer vom Netzwerk getrennt wurden. Hat sie Daten über das Internet exfiltriert? Konnte sie sich seitlich bewegen, um einen anderen Computer anzugreifen? Hat sie einen Keylogger installiert, um Passwörter zu stehlen? Die Antworten auf diese und andere Fragen bestimmen, wie wir reagieren und was wir tun müssen, um uns von dem Angriff zu erholen.

Leider verfügen wir heute nicht über die Technologie, mit der wir schnell feststellen können, ob jemand auf einen Link geklickt und Malware heruntergeladen hat. Ich hoffe zwar immer, dass das niemandem passiert, aber ich könnte nachts besser schlafen, wenn ich Ihnen mit Sicherheit sagen könnte, dass keines unserer Systeme betroffen ist – daher meine E-Mail, in der ich Ihnen mitteile, dass ich nachverfolgen möchte, wer auf einen Link geklickt hat.

PagerDuty für Sicherheit

Zum Schluss möchte ich Sie auffordern. Ich habe Ihnen gesagt, wie wichtig es ist, dass Sicherheitsteams schnell reagieren, um die Auswirkungen eines erkannten Sicherheitsvorfalls einzudämmen. Ich habe Ihnen gesagt, dass die Risikoreduzierung der Grund ist, warum wir unsere Arbeit machen und unser Geld verdienen. Meine Herausforderung für Sie besteht darin, die folgenden Fragen zu beantworten: Wie können Sicherheitsteams PagerDuty nutzen, um die Reaktionszeit zu verkürzen? Wie viel Risiko könnten sie für ihre Arbeitgeber eliminieren, wenn sie die Infektion eindämmen könnten, bevor sie sich durch laterale Bewegung ausbreitet? Wie viel Geld würde das sparen?

Bleiben Sie dran, um mehr über PagerDuty für Sicherheit zu erfahren! Sehen Sie sich in der Zwischenzeit unsere Sicherheitsressourcen an:

• Störung der Sicherheit: Modernisierung der IT-Sicherheit durch SecOps und Incident Management
• Der sichere Entwickler : PagerDuty sicher halten
• Signal Sciences behebt Sicherheitsanomalien schnell und schützt Kundendaten mit PagerDuty