Steht Ihr Betrieb einmal still, können Schäden in Millionenhöhe entstehen.
Dank unserer einzigartigen IT-Sicherheitsüberwachung schützen wir Sie vor Sicherheitsvorfällen und Datenschutzproblemen.
Nach der Entschärfung der Situation können betroffene Mitarbeiter in der Regel innerhalb von Minuten wieder zur Arbeit zurückkehren.
Erfassen Sie die Events Ihrer Antivirus Software oder reagieren Sie auf sonstige Event Logs.
Lassen Sie automatisiert Netzlaufwerke entfernen oder unterbinden Sie sofort sämtliche Kommunikation zu anderen Systemen und ins Internet.
Tritt ein sicherheitsrelevantes Ereignis auf, werden Ihre vordefinierten Aktionen auf den betroffenen Systemen sofort ausgeführt.
Wir möchten, dass Systeme, die untereinander kommunizieren können, isoliert werden, sobald der Microsoft Defender Antivirus eine Malware-Erkennung meldet, Wechseldatenträger getrennt werden und Anwendungen, die nicht von Microsoft stammen, temporär keine Aktionen mehr durchführen können. Anschließend möchten wir die Isolierung rückgängig machen, damit Mitarbeiter zeitnah zu ihren Aufgaben zurückkehren können.
Als erstes legen wir einen neuen Incident Response Regelsatz an.
Bei diesem definieren wir nun eine neue Netzwerk Aktion. Diese sieht wie folgt aus.
*Hinweis. Eine detailliertere Dokumentation und Einstiegshilfen finden Sie in unserem Wiki.
Die Gerätekontrolle erlaubt es mit über zehn verschiedenen Gerätetyp Filtern, gewünschte Gerätetypen umgehend vom System zu trennen.
Unterschieden wird hierbei unter Maus, Tastatur, HID-Geräte, Wechseldatenträger, Windows Portable Devices, CD-ROM's, Medien Geräte, Netzwerkadapter und sonstige USB Geräte.
Reichen die vorgegeben Aktionen nicht aus, können eigene Aktionen mittels PowerShell geschrieben werden.
Die PowerShell Aktion ist ein guter Weg das Incident Response ohne Einfluss auf den Arbeitsbetrieb zu testen und den Ernstfall zu proben.
Mit der Ausführungsrichtlinie können Sie festlegen auf welchen Systemen der Incident Response Regelsatz ausgeführt werden soll.
Agent: Betrifft nur das System auf dem das Event erkannt wurde.
Gruppe: Der Regelsatz wird auf allen Systemen ausgeführt, die sich in derselben NetLock Gruppe wie der auslösende Agent befinden.
Mandant: Alle System im selben NetLock Mandant führen den Regelsatz aus.
Netzwerk: Der NetLock Agent des auslösenden Systems sucht und kontaktiert alle NetLock Agenten, die sich im selben Netzwerk befinden. In einem gut strukturierten Netzwerk werden nur Systeme isoliert, die auch Opfer des Angriffes werden könnten.
In unserem Fallbeispiel lösen wir das Incident Response nur auf dem betroffenen System aus.
Damit das Incident Response automatisch ausgeführt wird, muss ein entsprechender Sensor definiert werden.
Folgende Sensoren können angelegt werden.
Event Log Sensoren ermöglichen es auf ein beliebiges Ereignis zu reagieren.
Hierbei kann es sich zum Beispiel um einen gescheiterter Login Versuch einer Anwendung oder ein Event von Drittanbieter Sicherheitslösungen handeln.
In unserem Fallbeispiel werden wir auf eine Erkennung des Microsoft Defender Antivirus reagieren. Da wir den Malware Typen nicht kennen, nutzen wir Fragezeichen als Platzhalter, um unseren Incident Response Regelsatz bei jeder Erkennung auszulösen. Als Regelsatz wählen wir unseren zuvor erstellten Regelsatz aus.
Nun weisen wir unserem Beispiel System den angelegten Sensor Management Regelsatz zu. Dieser ist ab sofort aktiv und wir können mit unserer Angriffssimulation beginnen.
Aktuell steht der Status der Ausführung für alle Systeme, inklusive unseres Testsystems DC-Test auf Keine Ausführung.
Der Ausführungsstatus für unser Testsystem wurde nun auf Ausgeführt aktualisiert. Soll das Incident Response auch auf anderen Systemen ausgeführt werden, können Sie hier den Status regelmäßig prüfen.
Laden wir nun die EICAR-Testdatei herunter, wird diese vom Microsoft Defender Antivirus erkannt und der Download verhindert.
Dieses Event wird durch unseren Unbekannter Malware Typ Sensor erkannt, welcher umgehend den zugeordneten Incident Response Regelsatz ausführt.
Wir können nun mittels des Task Managers feststellen, dass alle Anwendungen die nicht auf der Whitelist vorhanden sind pausiert (Angehalten) wurden.
Zudem werden alle Netzwerkverbindungen die das System versucht aufzubauen unterbunden. Einzig allein die zuvor ausgenommen Anwendungen können Netzwerkverbindungen herstellen.
Der NetLock Agent hat in jedem Fall eine bestehende Verbindung zur NetLock Infrastruktur, um den ordnungsgemäßen Betrieb sicherzustellen.
Zusätzlich wurden Sicherheitsereignisse angelegt, welche wir in der Management Console einsehen können. Je nach Konfiguration werden diese auch als E-Mail-Benachrichtigung an Sie versendet.
Nachdem die Situation entschärft wurde, ist es wichtig das die isolierten Systeme zeitnah wieder einsatzfähig sind. Dazu können wir nun ein Restore Script anlegen und die ausgeführten Aktionen rückgängig machen.
In dem Restore Skript können Sie mittels PowerShell Code Aktionen definieren. Von NetLock ausgeführte native Aktionen werden automatisch rückgängig gemacht, sobald Sie das Restore Skript ausführen.
In unserem Fallbeispiel ist es nicht notwendig eigenen PowerShell auszuführen, weswegen wir dieses leer lassen.
Nach der Ausführung des Restore Skriptes erkennen Sie das Google Chrome nicht mehr pausiert ist und Netzwerkverbindungen wieder möglich sind.
Darüber hinaus sehen wir in der NetLock Management Console das der Status des Agents auf Ausgeführt aktualisiert wurde.
Mit diesem Fallbeispiel wollten wir Ihnen visualisieren, wie das Incident Response eingesetzt werden könnte. Der Vorteil an dem Incident Response von NetLock ist die Skalierbarkeit.
Sie können innerhalb von Minuten zehn oder 10.000 Systeme isolieren. Weitere Informationen finden Sie in unserem Wiki.
Wünschen Sie eine Live-Demo oder haben weitere Fragen?
Gerne vereinbaren wir mit Ihnen einen Beratungstermin.
© Copyright 2023 0x101 Cyber Security - Alle Rechte vorbehalten