Incident Response und Forensik – Angreifer durch Logs enttarnen

Jenseits der in den Artikeln „Mit aller Härte“ und „Mehr ist mehr“ [1, 2] behandelten Härtungsmaßnahmen stellt dieser Artikel der Reihe zu AD-Sicherheit mit Logs ein weiteres Werkzeug für Administratoren vor. Er beschreibt, wieso die Protokollierung und die Überwachung genauso wichtig sind wie ein Malwarescanner auf jedem System und zum Einmaleins einer jeder Verteidigung gehören. Weiter erläutert er die wichtigsten Logquellen und zeigt, wie sie sich gegen Angreifer einsetzen lassen.

Eine Frage der Ressourcen

In der Informationssicherheit arbeitet man oft unter der Annahme, dass hartnäckige Gegner mit genügend Zeit und Ressourcen mit dem Eindringen in ein System oder Netzwerk erfolgreich sein werden – unabhängig davon, wie gut die Härtungs- und Schutzmaßnahmen sind. Komplexe Systeme wie Netzwerke und Computer weisen immer wieder neue Schwachstellen auf, sei es aufgrund von Bugs oder Konfigurationsfehlern. Einer der am häufigsten ausgenutzten Fehler ist mangelndes Sicherheitsbewusstsein kombiniert mit der Neugierde der Mitarbeiter. Ein klassisches Beispiel: Ein Mitarbeiter wird per E-Mail über ein Gewinnspiel informiert, als Preis winkt ein neues iPhone 12. Für die Teilnahme muss er sich über einen Link anmelden. Auf diese Weise gewährt der Mitarbeiter den Angreifern im dümmsten Fall direkten Zugang zum Unternehmensnetzwerk. Ein hartnäckiger Angreifer, der ein Unternehmen gezielt attackieren will, wird die Zeit und das Wissen haben, diese Fehler zu entdecken und auszunutzen.