Protokolle strategisch analysieren nach Cyberangriffen

Leitfaden für Protokolle, Berechtigungen und Backups zur Stärkung der Reaktionsfähigkeit + Nach einer Serie von Cyberangriffen hat Salesforce einen forensischen Leitfaden vorgestellt, der Unternehmen bei der Untersuchung von Sicherheitsvorfällen in ihren Umgebungen unterstützen soll. Der Leitfaden bündelt Best Practices in drei zentralen Bereichen: Aktivitätsprotokolle, Benutzerberechtigungen und Sicherungsdaten. Ziel ist es, Organisationen einen strukturierten Ansatz an die Hand zu geben, um Fragen wie „Welche Aktionen hat ein bestimmter Nutzer durchgeführt?“ oder „Welche Daten waren betroffen?“ fundiert beantworten zu können.

Salesforce weist darauf hin, dass jeder Vorfall individuell bewertet werden müsse. Der Leitfaden liefere jedoch einen Ausgangspunkt mit allgemeinen Empfehlungen.

Protokolle als erste Informationsquelle

Aktivitätsprotokolle bilden die Grundlage jeder Untersuchung. Standardprotokolle wie der Anmeldeverlauf oder der Setup-Audit-Trail dokumentieren Anmeldemuster und administrative Änderungen. Mit Salesforce Shield bietet die Ereignisüberwachung zusätzlichen Einblick in API-Aufrufe, Berichts-Exporte und Datei-Downloads. Nutzer der B2C Commerce Cloud profitieren von erweiterten Einkaufsprotokollen, die noch tiefere Einblicke ermöglichen.

Rolle der Benutzerberechtigungen

Die Analyse von Berechtigungen ist entscheidend, um potenzielle Auswirkungen eines Vorfalls zu bewerten. Mit dem Tool Who Sees What Explorer im Security Center lassen sich Profile, Berechtigungssätze, Freigaberegeln und Rollenhierarchien in einer konsolidierten Ansicht darstellen. Administratoren können so schnell prüfen, ob ein Konto befugt war, sensible Daten zu exportieren oder Konfigurationen zu verändern – ein wesentlicher Schritt für die erste Folgenabschätzung.

Tipp für Praktiker: Aktivieren Sie Ihre Protokolle! Einige Unternehmen sind sich nicht bewusst, dass sie Echtzeitereignisse in Salesforce Shield konfigurieren müssen. Aktivieren Sie mindestens die Speicherung von Protokollen, die Ihnen bis zu 6 Monate zur Verfügung stehen. Sie können auch das Streaming von Protokollen aktivieren, um sie an ein zentrales Sicherheitsüberwachungssystem zu senden.

Bedeutung von Backups

Neben Protokollen und Berechtigungen stellen Sicherungsdaten eine dritte zentrale Informationsquelle dar. Sie ermöglichen die Wiederherstellung betroffener Daten und bieten eine Referenz, um Veränderungen nachzuvollziehen.

Mit dem neuen Leitfaden reagiert Salesforce auf die wachsende Nachfrage von Unternehmen, die ihre Sicherheitsvorfälle besser verstehen und ihre Resilienz gegenüber Angriffen stärken wollen.

Abbildung: Security Center WsW Explorer dient dazu, einen schnellen und umfassenden Überblick darüber zu erhalten, auf welche Objekte und Felder ein Benutzer Zugriff hat, um sie zu ändern und zu exportieren, wobei sensible Felder mit einem roten Symbol gekennzeichnet sind. Grafik Quelle: Salesforce

Wenn das Prinzip der geringsten Privilegien befolgt wird, um den Zugriff und die Berechtigungen von Benutzern einzuschränken, hilft dies, die Auswirkungen eines Sicherheitsvorfalls zu begrenzen. Umgekehrt kann, wenn eine erste Folgenabschätzung ergibt, dass ein Benutzer umfassenden Zugriff auf sensible Daten hatte und erhebliche Änderungen in der Salesforce-Organisation vornehmen konnte, eine eingehendere Analyse durchgeführt werden, um konkret festzustellen, worauf zugegriffen und was geändert wurde.

Protokolle strategisch analysieren

Die meisten forensischen Untersuchungen von Salesforce-Sicherheitsvorfällen umfassen die Suche nach relevanten Informationen in großen Mengen von Protokollen. Wenn Sie wissen, welche Protokolle verfügbar sind und welche Details sie enthalten, können Sie eine effektive Strategie für die Protokollanalyse entwickeln. Die Ereignisüberwachung verfügt über drei Quellen für erweiterte Protokollierung, die für die Identifizierung und Untersuchung von Salesforce-Sicherheitsvorfällen nützlich sein können:

Echtzeit-Ereignisüberwachung (RTEM), die für die aktive Sicherheitsüberwachung gestreamt und bis zu sechs Monate lang gespeichert werden kann, um Abfragen zu ermöglichen. RTEM umfasst spezielle Bedrohungserkennungsereignisse, die statistische und maschinelle Lernmethoden einsetzen, um bei ungewöhnlichen Aktivitäten Alarm zu schlagen.
Event Log Objects (ELO) bieten Protokolle mit geringer Latenz, die viele, aber nicht alle derzeit in ELF dargestellten Ereignisse enthalten. Diese Protokollquelle mit geringer Latenz kann über Salesforce-Plattform-APIs abgefragt werden.
Event Log Files (ELF) im CSV-Format unterstützen Sicherheit, Leistung, Benutzerakzeptanz und allgemeine Beobachtbarkeit, jedoch nicht Echtzeit/geringe Latenz.

Tipp für Praktiker: Nutzen Sie Ihre Protokolle! Das Speichern von Protokollen ohne Überwachungsstrategie ist nützlich, um einen Vorfall nach seinem Auftreten zu untersuchen, während die routinemäßige Verwendung von Protokollen Probleme aufdecken kann, bevor sie eskalieren. Das Senden von Protokollen an ein zentrales Sicherheitsüberwachungssystem, ohne zu wissen, wie „schlecht“ aussieht, vermittelt ein falsches Gefühl der Sicherheit. Früherkennung und Problemvermeidung erfordern die regelmäßige Verwendung der Ereignisüberwachung zu Sicherheits- und Leistungszwecken, um sich mit den normalen Basisaktivitäten vertraut zu machen und zu lernen, wie „schlecht“ in Ihrer Umgebung aussieht.

Sie sollten mindestens die Ereignisse zur Erkennung von Bedrohungen auf bekannte Anomalien überwachen, wobei zu beachten ist, dass diese noch untersucht werden müssen, um festzustellen, ob sie tatsächlich bösartig sind. Die Anomalieereignisse werden ausgelöst, wenn eine Benutzeraktivität ausreichend von der historischen Aktivität desselben Benutzers abweicht, sodass es unter bestimmten Bedingungen zu Fehlalarmen kommen kann. Ereignisse zur Erkennung von Bedrohungen können innerhalb einer einzelnen Salesforce-Organisation oder über alle Ihre Organisationen und Sandboxes hinweg über das zentralisierte Dashboard im Security Center angezeigt werden (siehe So vereinfachen Sie Sicherheit, Reaktion und Compliance in Salesforce).

Die routinemäßige Überwachung von Protokollen hilft Ihnen, sich mit den typischen Aktivitäten in Ihrer Salesforce-Umgebung vertraut zu machen, sodass Sie Abweichungen, einschließlich externer Angriffe und Insider-Bedrohungen, leichter erkennen können. Mit Salesforce Analytics Studio können Dashboards zur Überwachung von Bedrohungen und zur Untersuchung von Vorfällen erstellt werden, was durch die Möglichkeit, ELO abzufragen, noch einfacher wird. Sie können beispielsweise die Dashboards „Threat & Access“ filtern, um sich auf einen bestimmten Benutzer zu konzentrieren, die Frage „Was hat ein bestimmter Benutzer während dieser Zeit getan?“ zu beantworten und die Details zu erhalten, die für die Erstellung einer Zeitleiste der Ereignisse erforderlich sind.

Abbildung: Analytics Studio Threats & Access-Dashboards unter Verwendung von Daten in ELO. Durch die Angabe eines Benutzers und eines Zeitraums werden diese Dashboards auf die Protokolle fokussiert, die für die Frage „Was hat ein bestimmter Benutzer während dieses Zeitraums getan?“ relevant sind. Grafik Quelle: Salesforce

Wenn das Dashboard Aktivitäten anzeigt, die eine weitere Untersuchung rechtfertigen, können Sie schnell zu den Quelldaten in ELO wechseln, um die Protokolle genauer zu untersuchen. Beispielsweise verdient ein ungewöhnlicher Anstieg der API-Aktivitäten für ein bestimmtes Benutzerkonto oder eine verbundene App weitere Aufmerksamkeit.

Tipp für Praktiker: Salesforce-API-Aufrufe (Application Programming Interface) werden durch einige normale Benutzeraktivitäten ausgelöst, nicht nur durch Integrationen oder Automatisierungen. Wenn Sie die Aktivitäten eines bestimmten Benutzers untersuchen, einschließlich Datenexfiltration, sollten Sie API-Ereignisse in Ihre Analyse einbeziehen.

Abbildung: Analytics Studio-Dashboard mit API-Zugriff nach Client (links) und ELO-Quelldaten (rechts) Grafik Quelle: Salesforce

Tauchen Sie ein in die Details

Wenn ein Vorfall mit Datenexfiltration verbunden ist, untersucht die forensische Untersuchung die Protokolle genauer, um zu rekonstruieren, was passiert ist und welche Daten entwendet wurden. Beachten Sie bei der Analyse der Ereignisüberwachung, dass einige Protokollquellen zusätzliche Felder für dasselbe Ereignis haben können. Beispielsweise hat ELF ReportExport 16 Felder, ELO ReportEventLog hat 25 Felder und RTEM ReportEventStream hat 37 Felder. Wenn Daten über die API exfiltriert werden, gibt RTEM APIEventStream an, welche Datensätze und Felder abgefragt wurden; ELF und ELO verfügen nicht über diese Details. Ein bereinigter Beispiel-Eintrag aus der Echtzeit-API ApiEventStream mit Schwerpunkt auf DataLoader zeigt die Abfrage und die heruntergeladenen Datensätze in Fettdruck.

Protokolldetails können wichtig sein, um Zeitachsen für Vorfälle zu erstellen, den Umfang zu bewerten, die Ursache zu ermitteln, betroffene Kunden zu benachrichtigen und Stakeholdern oder Aufsichtsbehörden Bericht zu erstatten. Forensische Erkenntnisse aus der Protokollanalyse können auch dazu beitragen, unbefugte Zugriffe zu unterbinden, zukünftige Abhilfemaßnahmen zu planen und rechtliche Schritte einzuleiten.

Field History Tracking ist nützlich, um festzustellen, ob bestimmte Felder während des Vorfalls vom Benutzer verändert wurden, und Backups sind von unschätzbarem Wert, um die Datenintegrität sicherzustellen und beschädigte Daten in einen bekannten guten Zustand zurückzuversetzen.

Tipp für Praktiker: Überprüfen Sie, was sich in Ihrer Organisation geändert hat, um die Integrität Ihrer Daten und Sicherheitskonfiguration zu überprüfen. Richten Sie Audit Trail und Security Center ein, um Konfigurationsänderungen zu verfolgen, die während des Vorfalls vorgenommen wurden und zeigen können, ob ein Eindringling eine Möglichkeit geschaffen hat, sich erneut unbefugten Zugriff zu verschaffen. Eine vergleichende Analyse zwischen Backups vor und nach einem Vorfall mit Backup & Recover kann Daten und Dateien aufdecken, die eingeschleust, beschädigt oder zerstört wurden.

Automatisieren Sie Echtzeit-Reaktionen

Die erweiterte Transaktionssicherheit ist eine Funktion, die für bestimmte RTEM-Ereignisse verfügbar ist und mit spezifischen Richtlinienregeln konfiguriert werden kann, die bei Verstößen eine Reaktion auslösen. Jeder Bericht, der sensible Felder enthält, kann gemäß den Richtlinien für den Download gesperrt werden, wie unten gezeigt. Diese in den Transaktionssicherheitsrichtlinien (TSP) konfigurierten automatisierten Reaktionen können das Blockieren der Aktivität, das Senden einer Warnmeldung und die Anforderung einer MFA umfassen. TSP können auch kombiniert werden und einen Workflow auslösen, der Folgeaktionen in Echtzeit automatisiert, z. B. das Erstellen eines Falls und das Senden einer Slack-Sicherheitsbenachrichtigung.

Abbildung: Transaktionssicherheitsrichtlinien, die automatisierte Aktionen auslösen, wenn bestimmte Echtzeitereignisse eintreten Grafik Quelle: Salesforce

Stellen Sie sich eine Situation vor, in der eine Warnmeldung wegen einer Gastbenutzeranomalie einen TSP auslöst, um unbefugten Zugriff auf Daten in Ihrer Organisation über ein Kundenportal zu blockieren. Diese Art des Zugriffs über Digital Experience Sites erzeugt eindeutige AuraRequest-Ereignisse, die die IP-Adresse des Systems anzeigen, das für den unbefugten Zugriff verwendet wird. Diese kann verwendet werden, um Protokolle nach entsprechenden Aktivitäten zu durchsuchen. Um festzustellen, auf welche Daten zugegriffen werden konnte, müssen die Berechtigungen für Gastbenutzerkonten überprüft werden und es muss festgestellt werden, für welche Objekte externe organisationsweite Standardeinstellungen für das öffentliche Lesen/Schreiben festgelegt sind. Eine solche unerwünschte Offenlegung von Daten kann durch die Einschränkung der Gastbenutzerberechtigungen in Salesforce Digital Experience-Portalen verhindert werden.

Die wichtigsten Vorteile einer forensischen Vorbereitung

Unternehmen, die sich proaktiv auf Sicherheitsvorfälle vorbereiten, die sich auf geschäftskritische Salesforce-Daten auswirken, sind besser in der Lage, Probleme schneller zu erkennen, zu untersuchen und zu beheben. Durch die schnelle und effektive Reaktion auf solche Vorfälle lassen sich Ausfallzeiten und Kosten reduzieren und eine Eskalation der Probleme verhindern.

Tipp für Praktiker: Es gibt weitere Möglichkeiten zur Analyse der Ereignisüberwachung, darunter die Durchführung von SOQL-Abfragen und die Verwendung von Agentforce for Security, um bestimmte Fragen zu beantworten, z. B. „Zeige mir alle Ereignisse für die Benutzer, die sich gerade von [fremder IP-Adresse] angemeldet haben, und empfehle Maßnahmen zur Reaktion.”

Mehr zum Schmökern