Incident Response & Forensik

Sofern die Präventiven Maßnahmen nicht ausgereicht haben und Sie Opfer eines Cyberangriffs geworden sind, helfen wir Ihnen auch mittels reaktiver Maßnahmen wie forensische Analysen, kurzfristigen Behebungsmaßnahmen und langfristige Mitigationsmaßnahmen, um das Risiko für entsprechende Cyberangriffe zu senken.

  • Investigation and Defense
  • Gerichtsverwertbare Forensiken
  • Anwendung und Verbesserung des Disaster-Recovery-Plans (DRP)
  • Anwendung und Verbesserung des Business Continuity Management (BCM)
  • System und Application Recovery
  • Krisen-Unternehmenskommunikation
  • Cloud Forensiken
  • Malware Analysis

Wir unterstützen Sie bei Cyberangriffen wie: Ransomware, Crypto Trojan, Cloud Forensics, CEO-Fraud

Incident Response & Desaster Recovery

Im Fall eines Cyberangriffs helfen wir Ihnen, die nötigen Maßnahmen zu treffen, um den Schaden einzudämmen, Ihre Systeme zu bereinigen und Sie vor weiteren Angriffen zu schützen.

Incident Response

  1. Sofortmaßnahmen: Post-Incident Aktivitäten, Systeme isolieren, infizierte Benutzer deaktivieren
  2. Sicherung der Spuren: Logs und Datenträger sichern: Abbilder von Festplatten und Speichermedien, Arbeitsspeicher, Netzwerklogs, Snapshots von VMs
  3. Forensische Analysen: File-Disk-Forensik, Memory-Forensik, Netzwerk-Forensik, Mobile Device Management Forensik, SIEM
  4. Bereinigung und Recovery: C&C-IPs blocken, Schadcode auf Basis der Forensik entfernen, Systeme wiederherstellen (qualitatives Backup-Konzept erforderlich), Lösegeld-Zahlung?
  5. Post-Incident Aktivitäten: Behebung der Schwachstellen, Meldung des Angriffs, Lessons Learned => Risiko- und Schwachstellen-Management und Notfallkonzept

Forensik

Im Rahmen unserer forensischen Analyse werden die folgenden Komponenten untersucht, um zu evaluieren wie die Angreifer vorgegangen sind, welche Daten sie entwendet haben und welche Systeme betroffen sind:

  • IT Systeme
  • Datenträger (HDD, virtuelle HDDs, HDD-Images)
  • Überprüfung und bedarfsweise Anpassung der Logspeicherdauer
  • Logs (Systemlogs, Firewalls, IDS/IPS, WAF, Proxy, AV, Mail Server etc.)

 Durchführung von Krisenübungen

Führen Sie mir uns realistische Cyber-Angriffsszenarios durch und üben Sie IT-Krisen bevor es eskaliert

  • Durchführung von Cyber-Angriffssimulationen angelehnt an die MITRE Att@ck Matrix
  • Konkretisierung der Kriterien zur Ausrufung einer Krise: Monetär, Reputation,..
  • Kommunikation zu allen betroffenen Konzernmarken, Kunden, Abteilungen und Stakeholder aufnehmen und etablieren
  • Zusammenarbeit mit externen Schnittstellen und Dienstleistern beüben, um Impact zu minimieren
  • Operative Schwächen bei Krisenbewältigung identifizieren: Keine Strategie zur Angriffslokalisierung und zur Herstellung der Datenintegrität beim Recovery
  • Sofortmaßnahmen bei Verdacht auf Cyber-Angriffe etablieren
  • Umgang mit Lösegeldforderungen definieren
  • Externe Kommunikation:
    • Landesdatenschutzbehörde, LKA, BSI,…
    • Kunden
    • Öffentlichkeit: Medien, soziale Medien

Realistische Cyber-Angriffsszenarios simulieren und IT-Krise bewältigen

  • Einbindung unterschiedlicher Abteilungen, Dienstleister und Stakeholder
  • Mögliche Szenarien
    • Ausfall der Kommunikationsinfrastruktur MS Teams / Azure AD Accounts
    • Ransomware-Cyber-Angriff Supplier-Chain-Attack
    • DDoS-Angriff
    • Advanced-Persistent-Threat (APT)
  • Kein Briefing der Übungsteilnehmer im Vorfeld
  • Kontext- und Situationsoptimierte Szenarien
  • Aktuelle State-of-the-Art Cyber-Angriffe
  • Externe Beobachtung durch Insentis-Experten