Nicht immer sind Kompromittierungen der eigenen IT-Infrastruktur so auffällig, dass sie sofort entdeckt werden – etwa durch den plötzlichen Ausfall des Systems oder ein Erpresserschreiben, das auf dem Bildschirm erscheint. Nur 10 % aller Angriffe werden innerhalb der ersten Stunde erkannt, weniger als 20 % in den ersten Tagen. Häufiger befinden sich Cyber-Kriminelle schon über Wochen oder gar Monate im Netzwerk und hinterlassen lediglich subtile, schwer erkennbare Spuren. Diese Symptome können so unauffällig sein, dass sie in der Masse der Systeme und Prozesse einer großen IT-Infrastruktur untergehen. Oft ist es, wenn überhaupt nur ein vages Gefühl, dass "etwas nicht stimmt", ohne den Ursprung des Problems benennen zu können. Manchmal wird verdächtiges Verhalten auch erst von Drittparteien bemerkt, etwa Dienstleistern oder der Polizei. Wenn beispielsweise Unternehmensdaten nach Beschlagnahmungen auftauchen, ist die Überraschung oft groß und eine zentrale Frage steht im Raum: Wie konnten die Daten abhandenkommen?

Für dieses Problem könnte der Threat Hunting Ansatz eine Lösung bieten. Threat Hunting ist eine proaktive Vorgehensweise zur Suche nach versteckten und unbekannten Bedrohungen in Netzwerken und Systemen. Dies geschieht, in der Regel, unter der Annahme, dass kriminelle Akteure bereits in das Unternehmensnetzwerk eingedrungen sind, auch wenn noch keine offensichtlichen Symptome aufgetreten sind.

Unternehmen mit einem integrierten Security Operations Center (SOC) als Bestandteil ihrer Sicherheitsstrategie lassen das Threat Hunting meist durch das SOC übernehmen. Ein SOC ist für die zentrale Überwachung, Bewertung und Verteidigung gegenüber Cyberbedrohungen zuständig. Was aber, wenn im Unternehmen kein SOC vorhanden ist und dennoch der Bedarf besteht, mehrere IT-Systeme aufgrund einer unbekannten Bedrohung schnell zu prüfen? In diesem Fall muss in kürzester Zeit eine Infrastruktur bereitgestellt werden, die diese Aufgabe übernimmt.

Ein solches Szenario erfordert eine leicht aufzubauende und flexible Infrastruktur, die es Analystinnen und Analysten ermöglicht, schnell einen Überblick über die Systemlandschaft zu erhalten und gezielt nach Bedrohungen auf relevanten Systemen innerhalb eines Netzwerks zu suchen.

An dieser Stelle setzt VELK an - eine Lösung, die sich im Wesentlichen aus zwei zentralen Bestandteilen zusammensetzt:

  • Velociraptor  - eine Plattform für Incident Response und IT-forensischen Tätigkeiten
  • Der Elastic (früher ELK) -Stack - eine Plattform für Datenerfassung, -aufbereitung und -visualisierung.

Der Aspekt einer leicht skalierbaren und flexiblen Infrastruktur wird durch die Verwendung von den folgenden Lösungen realisiert:

  • Docker – zur Schaffung einer isolierten, schnell zu erzeugenden und zu bereinigenden Umgebung
  • Cloud Hosting (z.B. Azure) – für eine schnellen Bereitstellung, Skalierung und Anbindung an die zu überwachende Infrastruktur

Der Kerngedanke der Verbindung von Velociraptor und dem Elastic-Stack liegt in der effektiven Triage , der Sammlung IT-forensisch relevanter Informationen (sogenannte Artefakte) von Endgeräten, sowie deren zentraler Zusammenführung und Aufbereitung. Diese Kombination ermöglicht eine skalierbare und visuelle Lösung, die sich flexibel erweitern und an die fallspezifischen Untersuchungsziele anpassen lässt.

Velociraptor übernimmt dabei die Sammlung der forensischen Daten von den Endpunkten. Die Sammlung selbst kann über Velociraptor gezielt an das entsprechende Szenario und die Kundenumgebung angepasst werden, indem Artefakte, z.B. in Abhängigkeit der eingesetzten Betriebssysteme, hinzugefügt oder weggelassen werden. Die gesammelten Daten werden anschließend in einem Storage abgelegt, um ihre Weiterverarbeitung im Elastic-Stack zu ermöglichen.

Der Elastic-Stack besteht wiederum aus den folgenden drei Hauptkomponenten:

  • Elasticsearch - eine NoSQL-Datenbank zur Speicherung und Indexierung der verarbeiteten Daten
  • Logstash – übernimmt die Verarbeitung, Transformation und Anreicherung der Daten
  • Kibana – dient der Visualisierung und Analyse der Daten

Für die Verarbeitung innerhalb der Pipeline ist außerdem die Elastic Beats wichtig. Filebeat sammelt die Daten aus dem Storage und sendet diese über die Beats-API an Logstash. Logstash verarbeitet und transformiert die empfangenen Daten, reichert diese mit weiteren Informationen, wie beispielsweise Geodaten, an („Enrichment“) und speichert sie in einer Elasticsearch-Datenbank (einem sogenannten Index). Dabei werden entsprechende Konfigurationsdateien verwendet. Für den Transformationsprozess wird aus Gründen der Kompatibilität, sofern passend, das Elastic Common Schema (ECS) verwendet. Durch die Anwendung des ECS wird eine Normalisierung durchgeführt, bei der die Daten in ein einheitliches Format überführt werden, um so einen konsistenten, vergleichbaren und leichter auswertbaren Datenbestand zu erzeugen.

Nach der Transformation der Daten über die Logstash Komponente und die Speicherung der Daten in Elasticsearch können die transformierten und angereicherten Daten über die Kibana Komponente abgerufen, visuell aufgearbeitet und analysiert werden.

Für die Überwachung der Funktionalität der gesamten Pipeline werden Monitoring Lösungen, wie Metricbeat und Grafana genutzt. Diese Tools helfen dabei, die Funktionalität der Infrastruktur kontinuierlich zu überwachen und sicherzustellen, dass alle Komponenten effizient und stabil arbeiten.

Elastic Common Schema (ECS)

Fazit

Mit der VELK-Lösung kann dank einer flexibel bereitgestellten Infrastruktur schnell, gezielt und effektiv auf Verdachtsmomente und subtile Angriffe reagiert und diese untersucht werden. Angriffsvektoren und Ausbreitung lassen sich so erkennen und damit ein Verständnis für die Bedrohung und die Eindämmung entwickeln. Durch die Ad-Hoc-Lösung und dank hochgradiger Automatisierung sowie intelligenten Enrichments können unsere Incident Response Expertinnen und Experten trotz fehlender Vorbereitung Threat Hunting zur Klärung bspw. von Fragen zum Datenabfluss nachgehen. Für eine langfristige Stärkung der Cyber-Resilienz empfiehlt sich jedoch die Integration eines leistungsstarken Security Operations Centers (SOC) in Kombination mit einem Incident Response Service.

Dieser Artikel wurde verfasst von

Deborah Mahn
Senior Consultant, Cyber Incident Response & Crisis Center (CIRCC)
Jannik Schmied
Consultant, Cyber Incident Response & Crisis Center (CIRCC)