In fünf Schritten zum Vorfallreaktionsplan für Container

1. Aktualisieren Sie den Reaktionsplan für den Ernstfall

Ein Incident Response Plan (IRP, Vorfallreaktionsplan) ist nicht gerade der aufregendste Aspekt der Sicherheit, aber im Falle eines Vorfalls ist er entscheidend. Eines der wichtigsten Ziele eines IRP ist es, alle Beteiligte auf ein gemeinsames Vorgehen bei einem Sicherheitsvorfall einzustimmen. Ohne dieses gemeinsame Verständnis geht viel Zeit dabei verloren, herauszufinden, wer für was verantwortlich ist und wer welche Maßnahmen ergreifen sollte.

Container und die sie unterstützende Infrastruktur fallen oft (aber nicht immer) in den Bereich von DevOps. Sind diese in Ihrem Reaktionsplan aufgeführt? Wenn nicht, müssen sie hinzugefügt werden. Dazu gehören primäre und sekundäre Kontakte, die in die Reaktion auf Vorfälle einbezogen werden sollten. DevOps ist eine ganz eigene Disziplin von anderen Technologien als andere Bereiche des Unternehmens, einschließlich der Sicherheitsabteilung. Ihre Hilfe ist von unschätzbarem Wert, wenn es darum geht, einen Vorfall zu untersuchen.

2. Implementierung von Workload Threat Detection

Container sind nicht mit virtuellen Maschinen (VMs) oder herkömmlichen Servern zu vergleichen. Die Überwachungstools, wie zum Beispiel Endpoint Detection and Response (EDR) und Network Detection and Response (NDR), können Container in keinster Weise schützen. Die meisten Container, wie auch die Host-Systeme auf denen sie laufen, sind Linux-basiert, Container können auch unter Windows ausgeführt werden, aber das ist relativ selten. Selbst wenn Sie einen Linux-EDR oder einen EPP-Agenten (Endpoint Protection Platform) haben, versteht er Container? Für Agenten, die Container nicht kennen, sieht alles nur wie ein Prozess aus. Sollte es zu einem Vorfall kommen, ist ein Großteil des Kontexts nicht verfügbar und die Ursache des Vorfalls kann verschleiert werden.

WDR-Tools (Workload Detection and Response) sind eine neue Art von Agenten, die sowohl Container als auch die Vorgänge auf dem Host selbst verstehen. Diese Tools zeichnen alle Container-Metadaten auf, die im Falle eines Sicherheitsereignisses verfügbar sind. Sie können sogar EDR-ähnliche Daten über Prozess-, Netzwerk- und Dateioperationen zur Analyse aufzeichnen, falls ein bösartiges Ereignis eintritt. Da Container oft kurzlebig sind, ist dies von unschätzbarem Wert, damit ein Ermittler verstehen kann, was passiert ist und welcher Container dafür verantwortlich war.

3. Aktualisierung der DFIR-Tools für Container

Nachdem Ihre Tools zur Erkennung von Bedrohungen ihre Arbeit getan haben und ein Vorfall gemeldet wurde, ist es an der Zeit, mit einer eingehenden Untersuchung zu beginnen. Traditionell kann dies das Imaging von Laufwerken, das Feststellen von Artefakten und das Durchkämmen von Protokollen beinhalten. Wenn jedoch Container betroffen sind, wird es nicht derselbe Prozess sein, den wir schon seit Jahrzehnten durchführen. Container sind oft kurzlebig - 44 Prozent werden weniger als fünf Minuten alt. Wenn Sie also mit Ihrer Untersuchung beginnen, ist der betroffene Container möglicherweise schon lange nicht mehr im Einsatz.  Aus diesem Grund ist die Überwachung von Containern so wichtig; die Aktivitäten, die der inzwischen tote Container durchgeführt hat, werden immer noch aufgezeichnet.

In einigen Fällen kann ein bösartiges Container-Image die Ursache für den Vorfall sein, aber diese Images können nicht einfach in einer Sandbox zur Analyse abgelegt werden. Stattdessen müssen sie mit speziellen Tools analysiert werden, die verstehen, wie Container funktionieren. Dann können Artefakte abgerufen und analysiert werden. Es gibt eine Reihe von Open-Source-Tools, die bei diesem Prozess helfen können.

4. Updaten der Playbooks

Playbooks sind ein wichtiger Aspekt der Reaktion auf Zwischenfälle (Incident Response). Sie ermöglichen einen wiederholbaren Satz von Instruktionen für den Umgang mit bestimmten Arten von Vorfällen. Dies senkt die Anzahl potenzieller Fehler während der Analyse, hilft aber auch neueren IR-Teammitgliedern beim Lernen. Playbooks werden oft für einen bestimmten Vorfallstyp erstellt, zum Beispiel für den Umgang mit Ransomware oder Malware.  Das ändert sich auch nicht, wenn Container involviert sind, da die Art des Vorfalls in der Regel die gleiche ist.

„Container bringen Ihrem Unternehmen viele Vorteile, können aber auch große Probleme verursachen, wenn es zu einem Sicherheitsvorfall kommt und Ihre Reaktionsfähigkeit nicht gegeben ist.“

Michael Clark, Sysdig

Das Problem ist, dass die meisten Playbooks mit Blick auf ältere Netzwerke und Tools geschrieben wurden. Diese Playbooks sollten aktualisiert werden und Anweisungen enthalten, was zu tun ist, wenn der Vorfall containerisierte Umgebungen betrifft. Dies spart im Falle eines Vorfalls eine Menge Zeit und Ihrem Unternehmen möglicherweise eine Menge Geld.

5. Praktische Erfahrung sammeln

Sie haben nun den Vorfallreaktionsplan aktualisiert, die Überwachung für Ihre Container eingerichtet, Ihre DFIR-Tools aktualisiert und Ihre Playbooks aktualisiert. Jetzt müssen Sie sicherstellen, dass das alles funktioniert. Hierfür gibt es mehrere Möglichkeiten. Die gebräuchlichste ist, sich auf interne Tests zu verlassen, die jedoch oft internen Annahmen unterliegen, die unter Umständen nicht genau das wiedergeben, was während eines Störfalls passiert.

Ziehen Sie einen Dritten zu Rate, um eine gewisse „Betriebsblindheit“ zu vermieden. Der erste Schritt in diesem Prozess ist die Durchführung einer Tabletop-Übung (TTX). Dabei sollte es sich um ein Szenario handeln, das Ihre Containerumgebung betrifft. Dabei handelt es sich um eine reine Sondierungsübung, bei der Ihre IRP, Ihre Sicherheitsinfrastruktur und Ihre Playbooks durchgespielt werden. Sie ist hervorragend geeignet, um Lücken oder andere fehlende Elemente zu finden.

Wenn die TTX gut verläuft, wäre der nächste Schritt die Durchführung einer Purple-Team-Übung durch eine dritte Partei. Dies ist eine Kombination aus einer Übung des roten und des blauen Teams. Die Experten der Drittpartei sitzen mit dem blauen Team zusammen, während das rote Team seine Arbeit macht. Ziel ist es, herauszufinden, wo Ihr blaues Team seinen Wissensstand, die Technologie und Prozesse verbessern kann. Sollte die erste Iteration der Übung erfolgreich abgeschlossen und die entsprechenden Erkenntnisse gewonnen wurden und Maßnahmen implementiert sein, so können diese in einer erneuten Iteration der Übung direkt getestet werden.

Die Reihenfolge dieser Übungen ist tatsächlich sehr wichtig. Sie müssen sicher sein, dass Ihr Programm so ausgereift ist, dass sich die Kosten für die violetten und roten Teams lohnen. Die TTX gibt Ihnen einen guten Hinweis darauf, wo Sie stehen, damit Sie kein Geld mit Übungen verschwenden, für die Sie noch nicht bereit sind.

Fazit

Container bringen Ihrem Unternehmen viele Vorteile, können aber auch große Probleme verursachen, wenn es zu einem Sicherheitsvorfall kommt und Ihre Reaktionsfähigkeit nicht gegeben ist. Ein aktualisierter Plan für die Reaktion auf einen Vorfall stellt sicher, dass alle erforderlichen Beteiligten einbezogen werden. Die Ausweitung der Bedrohungserkennung auf Ihre Container-Umgebungen ist nicht nur wichtig, um zu wissen, ob ein Vorfall eingetreten ist, sondern auch wegen der Daten, die sie zur Unterstützung der Untersuchung liefern kann. Die Forensik funktioniert in der Welt der Container, aber sie ist anders. Wenn man die richtigen Tools kennt, lassen sich die Prozesse viel schneller abwickeln. Die Erstellung von Playbooks, die Container einschließen, und die anschließende Verwendung von Tabletop-Übungen oder lila Teams, um sicherzustellen, dass sie korrekt sind, ist der letzte Schritt, um sicherzustellen, dass Ihr Incident-Response-Team bereit ist.

Über den Autor:
Michael Clark ist Director of Threat Research bei Sysdig.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.