Wiederherstellung der kompromittierten Systeme
Nach der Entdeckung kompromittierter Systeme stellt sich die nächste Herausforderung mit der Entscheidung, was mit diesen Systemen geschehen soll. Zu dem Zeitpunkt steht bereits fest, welche Systeme betroffen sind. Auch die Sicherheitseinstellungen sind überprüft worden, um sicherzustellen, dass der Eindringling nicht eine andere Zugriffsmöglichkeit geschaffen hat. Die Handhabung kompromittierter Systeme ist jedoch schwierig, da die beste Lösung in den meisten Fällen nicht gerade praktisch ist.
Ideal wäre es, das kompromittierte System von Grund auf neu aufzubauen oder es von einem aus der Zeit vor dem Angriff erstellten Backup wiederherzustellen. Der erneute Aufbau von der Pike auf ist erheblich zeitaufwendiger. Die Wahl des richtigen Backups für die Wiederherstellung kann sich jedoch als schwierig erweisen, da der genaue Zeitpunkt des Angriffs möglicherweise nicht präzise festgestellt werden kann. Folglich kann man nur raten, welches Backup nicht kompromittiert ist, und dieses dann nach der Wiederherstellung überprüfen. Ist der Angriff nach der Wiederherstellung noch immer ersichtlich, muss ein früheres Backup benutzt werden.
Die Wiederherstellung kompromittierter Systeme ist ein zwar mühseliger, aber notwendiger Vorgang, der vor der Wiederinbetriebnahme der Systeme abgeschlossen sein muss. Aufgrund der Dringlichkeit und der mit einer korrekten Wiederherstellung verbundenen Mühe ziehen viele Organisationen vor, ein System zu patchen und Schwachstellen zu schließen. Sie hoffen dann entweder darauf, dass das System gesäubert wurde, oder kümmern sich später um das System.
Patchen von Schwachstellen
Vor dem Wiederanschluss des Netzwerks an das Internet müssen möglichst alle Schwachstellen gepatcht werden. In den meisten Fällen ist nicht klar, welche Schwachstelle für den Zugriff auf das Netzwerk genutzt wurde. Deshalb sollte man alle Schwachstellen patchen.
In manchen Umgebungen müssen die Patches genehmigt werden, bevor sie eingesetzt werden können. In vielen anderen Umgebungen können dagegen die Patches je nach Bedarf installiert werden. Auf jeden Fall sollten möglichst alle Patches installiert werden. Insbesondere sollten sämtliche Sicherheitspatches auf allen Systemen installiert werden. Es muss zudem sichergestellt werden, dass die Firewall auf dem neuesten Stand ist, dass externe Systeme angemessen gesichert werden und dass alle internen Systeme gepatcht sind.
Übergeht man diesen Schritt in dem Gedanken, dass man sich ja immer noch später um das Problem kümmern kann, ist es gut möglich, dass das Netzwerk kurze Zeit, nachdem der Schaden behoben wurde, wieder angegriffen wird. Der Aufwand, der zur wirklichen Säuberung nach einer Sicherheitsverletzung erforderlich ist, verlangt zwingend, dass alles Mögliche getan wird, um weitere Attacken zu verhindern.
Neueste Kommentare
Noch keine Kommentare zu Nach dem Angriff: Notfallplan für Netzwerk-Administratoren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.