Suche
Anfrage senden
Unsere Leistungen

Incident Response und Forensik

24/7-Erreichbarkeit bei einem Vorfall

Wir bieten unseren Kunden deutschlandweit eine 24/7-Erreichbarkeit unserer Experten für Incident Response und Forensik mit garantierten Reaktionszeiten sowie einen umfassenden Leistungskatalog zur Bewältigung gezielter Angriffe und anderer IT-Sicherheitsvorfälle.

Bei einem Hackerangriff oder einer Infektion mit Ransomware beraten, handeln und unterstützen Sie unsere Experten bei:

  • der Auswahl geeigneter Sofortmaßnahmen
  • Ermittlungsleitung
  • Malware-Analyse
  • Forensik
  • Bereitstellung eines Notfall-Tenant
  • der Auf- und Nachbereitung
  • der Wiederherstellung

Dadurch kann zeitnah richtig reagiert, der Vorfall möglichst schnell eingegrenzt und anschließend bearbeitet werden, damit der Schaden so gering wie möglich ausfällt.

Aufgrund unserer Expertise hat das BSI uns als qualifizierten APT-Response-Dienstleister gelistet.

Forensische Untersuchungen
Incident-Handling-Konzepte
Readiness Assessment
Erstellung IR-Playbooks
Übungen zur richtigen Reaktion
Compromise Assessment
Training Incident Handling & Response

Forensische Untersuchungen

Auch unabhängig von einer 24/7-Erreichbarkeit unterstützen wir unsere Kunden bereits seit vielen Jahren bei der forensischen Analyse von IT-Systemen.

Unsere Spezialisten untersuchen Vorfälle, betroffene Systeme und Netzwerke sowie vorgefundene Malware mit professionellen Werkzeugen vor Ort und in unserem Forensik- bzw. Malwarelabor.

So können Tathergang und Angriffsweg rekonstruiert und die für den jeweiligen Angriff typischen Spuren aufgenommen werden. Zudem werden Hinweise auf weitere betroffene Systeme, Benutzerkonten und Daten ermittelt sowie ein eventueller Datenabfluss untersucht.

Typische Vorgehensweisen können beispielsweise sein:

  • Rekonstruktion des Tathergangs oder des Infektionswegs über die Analyse von Protokollen, Festplatten- und Hauptspeicherabbildern
  • Gezielte Suche nach Dateien und Inhalten auf Endgeräten und Datenträgern bei Verdacht auf unautorisierten Datenabfluss
  • Ermittlung der ursächlichen Schwachstellen für den erfolgreichen Angriff
  • Live-Analyse von Systemen, um weitere Spuren zu sammeln oder den Umfang eines Vorfalls zu ermitteln
  • Malwareanalyse von Dateien und Programmen

Bei der Aufbereitung und Analyse der Artefakte arbeiten wir mit marktüblichen Werkzeugen. Die Ergebnisse der Analyse fassen wir in einem ausführlichen Bericht zusammen und erstellen darüber hinaus bei Bedarf auch forensische Gutachten.

Beratung und Erarbeitung von Incident-Handling-Konzepten

Egal ob Sie sich bei Vorfällen auf cirosec als Incident-Response-Dienstleister verlassen wollen oder ein eigenes Incident-Response-Team, CERT, CSIRT oder sogar SOC aufbauen, in jedem Fall müssen Verantwortlichkeiten, Prozesse und Reaktionspläne erstellt werden.

Wir beraten und unterstützen Sie dabei umfassend, damit Sie optimal vorbereitet sind und im Ernstfall Ruhe bewahren und zielgerichtet reagieren können.

Unsere erfahrenen Berater erarbeiten in enger Abstimmung mit Ihnen Konzepte und vorbereitende Maßnahmen.

Wir unterstützen Sie bei der Gestaltung von Prozessen, bei der Auswahl von Werkzeugen sowie bei der Festlegung von Verantwortlichkeiten und Handlungsanweisungen.

Selbstverständlich orientieren wir uns an den anerkannten Standards.

Readiness Assessment

Ziel eines Readiness Assessments ist es, Schwächen in den bestehenden Incident-Response-Prozessen und den eingesetzten Werkzeugen zur Erkennung von Angriffen zu identifizieren. Dadurch bildet es eine fundierte Grundlage, um die bestehende Incident-Response-Strategie zielgerichtet weiterzuentwickeln und sich wirksam auf Sicherheitsvorfälle vorzubereiten.

In einem Workshop führen wir mittels eines Fragekatalogs eine strukturierte Analyse Ihrer bestehenden Prozesse anhand bewährter Frameworks (z. B. ISO/IEC 27035) durch. Unter anderem werden folgende Themenbereiche betrachtet:

Analyse bestehender Prozesse
Überprüfung der aktuellen Incident-Response-Pläne, Notfallhandbücher, Eskalationspfade und Kommunikationsstrategien.

Fähigkeiten des IR-Teams
Prüfung ob die Mitglieder des IR-Teams über die notwendigen Fähigkeiten verfügen, um Sicherheitsvorfälle effektiv zu bearbeiten. Dabei geht es um technische Fähigkeiten und um notwendiges Wissen bei den beteiligten Mitarbeitern.

Technische Infrastruktur
Bewertung, ob die eingesetzten Tools (z. B. Malwareschutz, Logging-Systeme, Firewalls, etc.) ausreichende Erkennungsfähigkeit und Unterstützung bieten, um Vorfälle schnell zu erkennen und darauf zu reagieren.

Verantwortlichkeiten und Rollen
Prüfung, ob Rollen und Verantwortlichkeiten klar definiert und abgegrenzt sind.

Erstellung IR-Playbooks

Im Fall eines erfolgreichen Einbruchs in Ihre IT-Systeme ist es sinnvoll, einen Leitfaden an der Hand zu haben, um im Ernstfall konkrete, richtige Entscheidungen zu treffen.

Die von uns erstellten Playbooks orientieren sich von der Struktur am NIST Incident Response Cycle, der sich aus den folgenden vier Phasen zusammensetzt:

  1. Vorbereitung
  2. Erkennung und Analyse
  3. Eindämmung, Bereinigung, und Wiederherstellung
  4. „Lessons Learned“

Übungen zur richtigen Reaktion

Bei einem konkreten Sicherheitsvorfall müssen der externe Dienstleister oder das interne Incident-Response-Team im Unternehmen mit den entsprechenden internen Fachexperten für die jeweiligen IT-Systeme zusammenarbeiten.

Für diese Zusammenarbeit definiert man im Vorfeld die nötigen Rollen und Prozesse beziehungsweise Abläufe.

Um festzustellen, ob diese Pläne auch in der Praxis funktionieren, und um die notwendige Routine bei der Vorfallsbehandlung aufzubauen, sind regelmäßige Übungen unerlässlich.

Nur so wissen alle Beteiligten, wie sie im Ernstfall schnell und richtig zusammenarbeiten können.

Übungen zur richtigen Reaktion Übungen können theoretisch simulierte Situationen sein, bei denen alle Beteiligten an einem Tisch sitzen, oder praktische Übungen, bei denen beispielsweise technische Alarme ausgelöst und gemeinsam bearbeitet werden.

Wir unterstützen Sie bei der Vorbereitung wie zum Beispiel der Erarbeitung des Drehbuchs und auch bei der Durchführung der Übung. Dazu gehören die Moderation, die Simulation von Angreifern, die Beobachtung der Handlungen der an der Übung beteiligten Rollen und vieles mehr.

Auch die Nachbereitung von Übungen, gemeinsame Lessons-Learned-Workshops, Empfehlungen zur Verbesserung und Weiteres können wir Ihnen anbieten.

Compromise Assessment

Bei einem Compromise-Assessment handelt es sich um eine tiefergehende Untersuchung einzelner IT-Systeme, Netzwerke oder eines großen Teils der IT-Infrastruktur und Accounts.

Das Hauptziel ist festzustellen, ob Angreifer eventuell unbemerkt Teile der Infrastruktur kompromittiert haben. Im Fall einer bestätigten Kompromittierung wird außerdem analysiert, welche Persistenzmethoden die Angreifer gewählt haben.

Ein Compromise-Assessment kann auf verschiedenen Ebenen durchgeführt werden, um unterschiedliche Arten von Systemen und Daten in den Mittelpunkt zu stellen.

Typischerweise kann eine solche Analyse auf folgenden Ebenen durchgeführt werden:

  • Prüfung der vorhandenen Endgeräte (Clients und Server)
  • Prüfung der aktuellen Netzwerkkommunikation
  • Prüfung von Firewall-Logs (eingehende und ausgehende Verbindungen)
  • Prüfung von Identitäten (typischerweise AD- und AAD-Accounts)
  • Prüfung auf Basis von Informationen aus Threat-Intelligence- und Darknet-Quellen

Broschüre zum Download

Ihr System wurde angegriffen?

Falls Sie Opfer eines Cyber-Angriffs wurden, kontaktieren Sie unsere Spezialisten. Mit einem entsprechenden Vertrag erreichen Sie uns bei Notfällen rund um die Uhr.

+49 7131 59455-0
Suche
Suche