Es gibt zahlreiche Varianten von Cyber-Angriffen mit ganz unterschiedlichen Angriffsszenarien. Während beispielsweise Angriffe mit Verschlüsselungstrojanern (Ransomware) gar nicht unentdeckt bleiben sollen, geht es in anderen Szenarien genau entgegensetzt darum, nicht gefunden zu werden. Klassische Abwehrmechanismen wie Antivirus-Lösungen, Endpoint Detection and Response (EDR) Tools, Intrusion-Detection- und Intrusion-Prevention-Systeme sowie Firewalls erkennen bei der Vielfalt der Angriffsszenarien Vorfälle oft zu spät oder auch gar nicht. Hier kommt das sogenannte Cyber Compromise Assessment ins Spiel.
Was ist ein Compromise Assessment?
Ein Compromise Assessment zielt darauf ab, auf Basis bestimmter digitaler Spuren (beispielsweise forensische Artefakte) Hinweise auf vergangene oder laufende Cyber-Vorfälle zu sammeln und auszuwerten. Anhand dieser Spuren und Hinweise (Indicators of Compromise / IOCs) werden die im Fokus stehenden Systeme bzw. IT-Landschaften durchsucht und ausgewertet. Die Spuren umfassen beispielsweise Schadsoftware (oder Teile davon), IP-Adressen, Netzwerkverbindungen, Prozesse, Logdateien und vieles mehr.
Das Compromise Assessment nutzt also forensische Methoden und Werkzeuge, um gezielt nach Spuren von Cyber-Angriffen zu suchen und kompromittierte IT-Systeme zu erkennen. Die identifizierten Auffälligkeiten werden systemübergreifend konsolidiert und auf Basis von Good- Practice-Erfahrungen bewertet. Laufende Angriffe und Datenlecks können so identifiziert und abgeschaltet werden.
Zur technischen Umsetzung wird zumeist ein Agent auf den zu prüfenden Systemen ausgerollt und dessen Funde an ein zentrales System zurückgemeldet. Die dort zusammengestellten Meldungen werden durch Analysten ausgewertet und entsprechende Empfehlungen an die Kunden übermittelt.
Michael Sauermann
Partner, Audit, Regulatory Advisory, Forensic
KPMG AG Wirtschaftsprüfungsgesellschaft
Mehr als klassischer Antivirenschutz
Ein Compromise Assessment unter Verwendung eines Scanners für Advanced Persistent Threats (APTs) unterscheidet sich von klassischen Antiviren- oder EDR-Lösungen dadurch, dass forensische Artefakte ebenfalls in die Untersuchung mit einbezogen werden. Dadurch wird die Erkennung möglicher Angriffe - auch solcher, die in der Vergangenheit stattgefunden haben – weitreichender und fundierter, geht also über die Möglichkeiten klassischer Lösungen hinaus.
Ablauf eines Compromise Assessments
Die Durchführung eines Compromise Assessments ist in der Regel niederschwellig möglich und erfordert nur einige technische und organisatorische Vorbereitungen.
• Gemeinsam mit Ihnen planen wir den Umfang des Assessments, einschließlich Anzahl der Systeme, Tiefe der Auswertung etc.
• Wir unterstützen Sie bei der Installation von zwei Systemen in Ihrer IT-Infrastruktur, die als Kontrollserver dienen.
• Wir legen mit Ihnen die Zeitpunkte der Scans, die Scanparameter sowie die Ausnahmen in bestehender Sicherheitssoftware fest.
• Wir unterstützen Sie beim Roll-out der Software Agents auf die Systeme.
• Bei Kommunikationsproblemen zwischen Software und Kontrollservern unterstützen wir bei deren Behebung.
• Die Ausführung der Scans auf den Endgeräten erfolgt nach einem vorher festgelegten Plan (in der Regel bis zu 30 Tage).
• Bei Bedarf passen wir Scan-Parameter (RAM/CPU/forensische Artefakte) an.
• Wir analysieren die Scanergebnisse auf Auffälligkeiten (bis zu 90 Tage).
• Sie haben die Möglichkeit der selbstständigen Nachverfolgung von Auffälligkeiten.
• Bei eventuellen Unklarheiten stimmen wir Auffälligkeiten mit Ihnen ab.
• Sie erhalten ein kontinuierliches Reporting im Managementserver.
• Der Fortschritt der Scans und der Auswertungen wird kontinuierlich dargestellt.
• Auf Wunsch können Ihre Administratoren Auffälligkeiten über ein integriertes Ticketsystem an uns übermitteln.
• Sie haben lesenden Zugriff auf eine Auswertung von Compliance-Anforderungen.
• Abschließend übergeben wir Ihnen eine Zusammenstellung aller ermittelten Auffälligkeiten und Schwachstellen.
• Sie erhalten optionale Empfehlungen zur Verbesserung Ihres Reifegrads.
Wenn Sie weitere Informationen oder eine Beratung zum Cyber Compromise Assessment wünschen, melden Sie sich gerne bei uns.
Unsere Expertinnen und Experten freuen sich auf Ihre Kontaktaufnahme.