Malware Kompromittierungs-Assessment

Ergebnis in nur 3 Tagen

Allgemeines

Die Bedrohung durch Malware hat dramatisch zugenommen. Tagtäglich sind wir alle im Fadenkreuz organisierter Kriminalität, die Ihrem Unternehmen schweren Schaden zufügen kann.

Mit dem Compromise Assessment finden wir aktive und schlafende Angreifer, die erfolgreich Ihre Firewall, Endpoint Protection Systeme und Viren-Scanner überwunden und sich in Ihrer IT-Umgebung eingenistet haben. Die sogenannte Dwell Time (Zeitraum zwischen Kompromittierung und Entdeckung der Gefahrenquellen) liegt derzeit in der Regel bei mehr als 6 Monaten. Wir finden diese Kompromittierungen unmittelbar im Assessement.​

​Wir suchen im Assessment nicht die Schlupflöcher, durch welche die Intrusion stattgefunden hat, sondern die Malware, die es trotz aller Ihrer Bemühungen geschafft hat, in Ihre Endpunkte einzudringen. Wir installieren keine Agenten und das Assessment erfolgt im operativen Betrieb mit sofortiger Untersuchung aller Endpunkte. Wir untersuchen keinerlei Daten sondern nur den Applikationscode im RAM Speicher.

Das Compromise Assessment dauert in der Regel 3 Werktage (Vorbereitung, Enrollment, Analyse, Bewertung, Compromise Report und Präsentation).

Methodik

Wir verwenden im Compromise Assessment das Modell einer proaktiven Kompromittierungsbewertung, die sich auf die schnelle Erkennung von Malware, von Indikatoren einer Kompromittierung und Rückständen von nicht autorisierten Zugriffsaktivitäten fokussiert. Das Modell konzentriert sich auf die proprietäre Bedrohungsjagdplattform Infocyte HUNT™.

Nach der Identifizierung einer möglichen Bedrohung werden wir eine frühzeitige Einschätzung der Bedrohung, der Risiken und des Umfangs der Intrusion machen. Mit diesen Informationen ermöglichen wir es Ihnen sofortige Entscheidungen im Zusammenhang mit der Business Continuity und des notwendigen Aufwands für ein Incident Response Verfahren zu machen.

Wir bewerten jedes Gerät (Workstation und Server) im Netzwerk, beurteilen alle laufenden Prozesse und Services und jegliche Aktivitäten, die bereits ausgelöst oder geplant sind. Darüber hinaus betrachten wir auch Betriebssystemkonfigurationen und durchsuchen den flüchtigen Speicher, um Anzeichen von Manipulationen zu erkennen, die auf versteckte Rootkits-Aktivitäten oder Anzeichen von Komprommitierungen hinweisen könnten. Wenn verdächtige ausführbare Dateien gefunden werden, verwenden wir mehrere Drittanbieter-Anti-Malware- und Erkennungs-Maschinen, sowie proprietäre Malware-Analyse auf dem Backend, um unbekannte (“zero-day”) Malware zu identifizieren.

Für die weiteren Schritte bei einem entdeckten Incident können wir mit Hilfe unterschiedlicher Tools tiefergehende forensische Untersuchungen und Incident Response Verfahren anwenden. Mit Tools wie z. B. Encase ™ von Guidance Software können wir einen Zeitplan des Vorfalls erstellen und die Auswirkungen des Vorfalls identifizieren. Darüber hinaus verwenden wir Infocyte HUNT, um in umliegenden Netzwerken ähnliche Komprommitierungen nachzuweisen und den Umfang des Breaches zu bestimmen.

Vorgangsweise

Das Compromise Assessment erstreckt sich über sechs Stufen:

  1. Pre-Assessment Planung – Koordination mit dem Kunden, um den Umfang und die notwendigen Schritte zu bestimmen.

  2. Vorbereitung der Umgebung – der Kunde ermöglicht einen ordnungsgemäßen Netzzugang. Beispiele hierfür sind: Kontoerstellung, eventuell neue Firewall Regeln, um das Scannen zu ermöglichen und das Hinzufügen von Whitelisting-Einträgen in Enterprise-Antiviren-Lösungen und Intrusion Detection-Systemen.

  3. Discovery – Identifizierung und Abbildung der Systeme innerhalb der Zielnetzwerke.

  4. Scannen & Collection – aktive Scans des Netzwerkes nach Malware und möglichen Indikatoren für eine Kompromittierung und die Sammlung von Logs, im notwendigen Umfang.

  5. Analyse – Korrelation aller Daten, Querchecks mit bekannten Threat Intelligences und Durchführung zusätzlicher Analysen über unbekannte und verdächtige Artefakte.

  6. Report – der Abschlussbericht enthält neben den Ergebnissen auch Empfehlungen an den Kunden.

Sie wollen mehr darüber wissen?

Vereinbaren Sie einen unverbindlichen Beratungstermin.