Title (deu): Incident Response : Get the Big Picture

Author: Winter, M. (Markus)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2013

Description (deu): In einer zunehmend digitalen Welt weisen Sicherheitsvorfälle eine steigende Tendenz auf. Unternehmen sehen sich vermehrt mit dem Problem konfrontiert, Sicherheitsvorfälle adäquat mit beschränkten Ressourcen zu begegnen. Für ein Unternehmen steht im Fall eines Incidents einiges auf dem Spiel. Dies kann vom Ausfall bzw. der Beeinträchtigung der Kernprozesse bis zu einem Reputationsverlust führen. Ist ein Incident erst einmal entdeckt, so muss dieser kategorisiert und entsprechend weiter behandelt werden. In Zeiten von steigenden Datenmengen und der zunehmend in Unternehmen eingesetzten hohen Anzahl an Geräten, ist es für die “Ermittler“ schwierig jene Quellen zu sichten, welche mit hoher Wahrscheinlichkeit in den Vorfall verwickelt sind. Das analysieren eines jeden Geräts im Unternehmen ist aus praktischen Gründen (fehlende Ressourcen, wie Mitarbeiter, Zeit und Geld) nicht durchführbar. Es müssen Wege gefunden werden, jene Geräte zu identifizieren welche mit hoher Wahrscheinlichkeit in den Vorfall verwickelt sind. Gerade bei kritischen Vorfällen spielt der Faktor Zeit eine wesentliche Rolle. Nahezu jede Aktivität auf einem Rechner hinterlässt Spuren, die an verschiedenen Stellen im System gefunden werden können. Werden diese Aktivitäten einem Zeitpunkt zugeordnet, so können diese Informationen zur Klärung des Sachverhaltes dienen. Der Theorie basierend, dass jene Rechner, die in einen Incident verwickelt sind, zu dessen Zeitpunkt eine Häufung an Veränderungen aufweisen gilt es jene Quellen, welche Veränderungen durch einen Zeitstempel belegen, zu identifizieren und auszuwerten. Die gewonnen Daten gilt es anschließend in einer Form aufzubereiten welche es dem/der Analysten/in ermöglicht, rasch und einfach einen Überblick über die Hotspots zu erlangen. Anhand des gewonnenen Überblicks kann die Priorisierung der Quellenanalyse vorgenommen werden. In dieser Arbeit wird eine Applikation entwickelt, welche aus verschiedenen Quellen zeitlich relevante Informationen extrahieren und übersichtlich darstellen kann. Der/die Analyst/in bekommt so einen Überblick über die Hotspots im System.

Object languages: German

Date: 2013

Rights: © All rights reserved

Classification: Datensicherung; Programm; Hacker; Computersicherheit ; Internet

Permanent Identifier