Einführung in digitale Forensik und Incident Response | TryHackMe DFIR

Wir haben grundlegende und wesentliche Konzepte und Werkzeuge in der digitalen Forensik und der Reaktion auf Vorfälle behandelt. Dies war Teil von TryHackMe DFIR.

Erhalten Sie Feldnotizen zur Computerforensik

Der vollständige Penetrationstest mit Backbox-Linux-Kurs

Was ist DFIR?

Wie bereits erwähnt, steht DFIR für Digital Forensics and Incident Response. Dieses Feld umfasst die Sammlung forensischer Artefakte von digitalen Geräten wie Computern, Mediengeräten und Smartphones zur Untersuchung eines Vorfalls. Dieses Feld hilft Sicherheitsexperten dabei, Spuren zu identifizieren, die ein Angreifer bei einem Sicherheitsvorfall hinterlässt, diese zu verwenden, um das Ausmaß der Gefährdung einer Umgebung zu bestimmen und die Umgebung in den Zustand vor dem Vorfall wiederherzustellen.

Die Notwendigkeit von DFIR

DFIR unterstützt Sicherheitsexperten auf verschiedene Weise, von denen einige im Folgenden zusammengefasst sind:

• Finden Sie Beweise für Angreiferaktivitäten im Netzwerk und unterscheiden Sie Fehlalarme von tatsächlichen Vorfällen.
• Der Angreifer wird gründlich entfernt, so dass ihm keine Möglichkeit mehr bleibt, im Netzwerk Fuß zu fassen.
• Ermittlung des Ausmaßes und des Zeitrahmens eines Verstoßes. Dies erleichtert die Kommunikation mit relevanten Stakeholdern.
• Finden Sie die Schlupflöcher, die zum Verstoß geführt haben. Was muss geändert werden, um den Verstoß in Zukunft zu vermeiden?
• Das Verhalten von Angreifern verstehen, um weitere Eindringversuche des Angreifers präventiv zu blockieren.
• Weitergabe von Informationen über den Angreifer an die Community.

Wer führt DFIR durch?

Wie der Name schon sagt, erfordert DFIR Fachwissen sowohl in digitaler Forensik als auch in der Reaktion auf Vorfälle. Wenn man diese beiden Bereiche auf diese Weise aufteilt, sind die folgenden Fähigkeiten erforderlich, um ein DFIR-Experte zu werden:

• Digitale Forensik: Diese Fachleute sind Experten für die Identifizierung forensischer Artefakte oder Beweise für menschliche Aktivitäten auf digitalen Geräten.
• Reaktion auf Vorfälle: Incident Responder sind Experten im Bereich Cybersicherheit und nutzen forensische Informationen, um die Aktivität zu identifizieren, die aus Sicherheitsperspektive von Interesse ist. 

DFIR-Experten kennen sich mit digitaler Forensik und Cybersicherheit aus und kombinieren diese Bereiche, um ihre Ziele zu erreichen. Die Bereiche digitale Forensik und Incident Response werden häufig kombiniert, da sie stark voneinander abhängig sind. Incident Response nutzt das Wissen aus der digitalen Forensik. In ähnlicher Weise übernimmt die digitale Forensik ihre Ziele und ihren Umfang aus dem Incident Response-Prozess, und der IR-Prozess definiert den Umfang der forensischen Untersuchung.

Bei Sicherheitsoperationen wird die digitale Forensik vor allem zur Reaktion auf Vorfälle eingesetzt. Wir lernen den Prozess der Reaktion auf Vorfälle kennen und beobachten, wie die digitale Forensik bei dieser Aufgabe im IR-Prozess hilft.

Verschiedene Organisationen haben standardisierte Methoden zur Durchführung von Incident Response veröffentlicht. NIST hat in seinem SP-800-61 Leitfaden zur Vorfallbehandlung, das die folgenden Schritte umfasst:

1. Vorbereitung
2. Erkennung und Analyse
3. Eindämmung, Ausrottung und Wiederherstellung
4. Aktivitäten nach dem Vorfall

Ebenso veröffentlichte SANS eine Handbuch für Incident HandlerDas Handbuch definiert die Schritte wie folgt:

1. Vorbereitung
2. Identifikation
3. Eindämmung
4. Ausrottung
5. Erholung
6. gewonnene Erkenntnisse

Die von SANS definierten Schritte werden oft unter dem Akronym PICERL zusammengefasst, was sie leicht zu merken macht. Wir können sehen, dass die von SANS und NIST festgelegten Schritte identisch sind. Während NIST Eindämmung, Ausrottung und Wiederherstellung kombiniert, trennt SANS sie in verschiedene Schritte. Aktivitäten nach dem Vorfall Und Gewonnene Erkenntnisse vergleichbar sein können, während Identifikation Und Erkennung und Analyse haben die gleichen Auswirkungen.

Nachdem wir nun verstanden haben, dass die beiden Prozesse ähnlich sind, wollen wir kurz lernen, was die unterschiedlichen Schritte bedeuten. Wir erklären die PICERL-Schritte, da sie durch das Akronym leichter zu merken sind, aber wie oben beschrieben, sind sie identisch mit den von NIST definierten Schritten.

1. Vorbereitung: Bevor ein Vorfall eintritt, müssen Vorbereitungen getroffen werden, damit im Falle eines Vorfalls alle bereit sind. Zu den Vorbereitungen gehört, dass die erforderlichen Personen, Prozesse und Technologien vorhanden sind, um Vorfällen vorzubeugen und darauf zu reagieren.
2. Identifikation: In der Identifikationsphase wird ein Vorfall anhand einiger Indikatoren identifiziert. Diese Indikatoren werden dann auf False Positives analysiert, dokumentiert und den relevanten Stakeholdern mitgeteilt.
3. Eindämmung: In dieser Phase wird der Vorfall eingedämmt und es werden Anstrengungen unternommen, um seine Auswirkungen zu begrenzen. Basierend auf der forensischen Analyse des Vorfalls, die Teil dieser Phase sein wird, können kurzfristige und langfristige Lösungen zur Eindämmung der Bedrohung gefunden werden.
4. Ausrottung: Als nächstes wird die Bedrohung aus dem Netzwerk entfernt. Dabei muss sichergestellt werden, dass eine ordnungsgemäße forensische Analyse durchgeführt wird und die Bedrohung vor der Entfernung wirksam eingedämmt wird. Wenn beispielsweise der Eintrittspunkt des Bedrohungsakteurs in das Netzwerk nicht verschlossen wird, wird die Bedrohung nicht wirksam entfernt und der Akteur kann erneut Fuß fassen.
5. Erholung: Sobald die Bedrohung aus dem Netzwerk entfernt ist, werden die gestörten Dienste wiederhergestellt und in den Zustand vor dem Vorfall zurückversetzt.
6. gewonnene Erkenntnisse: Abschließend wird der Vorfall überprüft und dokumentiert. Auf Grundlage der daraus gewonnenen Erkenntnisse werden Maßnahmen ergriffen, um sicherzustellen, dass das Team beim nächsten Vorfall besser vorbereitet ist.

Raumantworten

Video-Komplettlösung