Malware Kompromittierungs-Assessment

Allgemeines

Die Bedrohung durch Malware hat dramatisch zugenommen. Tagtäglich sind wir alle im Fadenkreuz organisierter Kriminalität, die Ihrem Unternehmen schweren Schaden zufügen kann.

Mit dem Compromise Assessment finden wir aktive und schlafende Angreifer, die erfolgreich Ihre Firewall, Endpoint Protection Systeme und Viren-Scanner überwunden und sich in Ihrer IT-Umgebung eingenistet haben. Die sogenannte Dwell Time (Zeitraum zwischen Kompromittierung und Entdeckung der Gefahrenquellen) liegt derzeit in der Regel bei mehr als 6 Monaten. Wir finden diese Kompromittierungen unmittelbar im Assessement.

Wir suchen im Assessment nicht die Schlupflöcher, durch welche die Intrusion stattgefunden hat, sondern die Malware, die es trotz aller Ihrer Bemühungen geschafft hat, in Ihre Endpunkte einzudringen. Wir installieren keine Agenten und das Assessment erfolgt im operativen Betrieb mit sofortiger Untersuchung aller Endpunkte. Wir untersuchen keinerlei Daten sondern nur den Applikationscode im RAM Speicher.

Das Compromise Assessment dauert in der Regel 3 Werktage (Vorbereitung, Enrollment, Analyse, Bewertung, Compromise Report und Präsentation).

Methodik

Wir verwenden im Compromise Assessment das Modell einer proaktiven Kompromittierungsbewertung, die sich auf die schnelle Erkennung von Malware, von Indikatoren einer Kompromittierung und Rückständen von nicht autorisierten Zugriffsaktivitäten fokussiert. Das Modell konzentriert sich auf die proprietäre Bedrohungsjagdplattform Infocyte HUNT™.

Nach der Identifizierung einer möglichen Bedrohung werden wir eine frühzeitige Einschätzung der Bedrohung, der Risiken und des Umfangs der Intrusion machen. Mit diesen Informationen ermöglichen wir es Ihnen sofortige Entscheidungen im Zusammenhang mit der Business Continuity und des notwendigen Aufwands für ein Incident Response Verfahren zu machen.

Für die weiteren Schritte bei einem entdeckten Incident können wir mit Hilfe unterschiedlicher Tools tiefergehende forensische Untersuchungen und Incident Response Verfahren anwenden. Mit Tools wie z. B. Encase ™ von Guidance Software können wir einen Zeitplan des Vorfalls erstellen und die Auswirkungen des Vorfalls identifizieren. Darüber hinaus verwenden wir Infocyte HUNT, um in umliegenden Netzwerken ähnliche Komprommitierungen nachzuweisen und den Umfang des Breaches zu bestimmen.

Vorgangsweise

Das Compromise Assessment erstreckt sich über sechs Stufen

Pre-Assessment Planung

Koordination mit dem Kunden, um den Umfang und die notwendigen Schritte zu bestimmen.

Vorbereitung der Umgebung

Der Kunde ermöglicht einen ordnungsgemäßen Netzzugang. Beispiele hierfür sind: Kontoerstellung, eventuell neue Firewall Regeln, um das Scannen zu ermöglichen und das Hinzufügen von Whitelisting-Einträgen in Enterprise-Antiviren-Lösungen und Intrusion Detection-Systemen.

Discovery

Identifizierung und Abbildung der Systeme innerhalb der Zielnetzwerke.

Scannen & Sammeln

Aktive Scans des Netzwerkes nach Malware und möglichen Indikatoren für eine Kompromittierung und die Sammlung von Logs, im notwendigen Umfang.

Analyse

Korrelation aller Daten, Querchecks mit bekannten Threat Intelligences und Durchführung zusätzlicher Analysen über unbekannte und verdächtige Artefakte.

Report

Der Abschlussbericht enthält neben den Ergebnissen auch Empfehlungen an den Kunden.

Wir verwenden auf unserer Website Cookies

Bitte bestätigen Sie, dass Sie unsere Tracking-Cookies akzeptieren. Sie können das Tracking auch ablehnen, sodass Sie unsere Website weiterhin besuchen können, ohne dass Daten an Drittanbieter-Services gesendet werden.