You are currently viewing ERFOLGREICHES INCIDENT-RESPONSE-MANAGEMENT

ERFOLGREICHES INCIDENT-RESPONSE-MANAGEMENT

  • Beitrags-Autor:
  • Beitrags-Kategorie:Technik

Ein Incident-Response-Plan hilft Organisationen, bei einer Cyber-Attacke die Kontrolle über die Situation und die Folgen zu bewahren. Sophos Labs sowie die Sophos Managed-Response- und Rapid-Response-Teams haben einen Ratgeber mit 10 entscheidenden Maßnahmen entwickelt.

Eine Cyber-Attacke ist heute wahrscheinlicher als je zuvor. International sind oder waren bereits über ein Drittel der Unternehmen von Ransomware betroffen.
Organisationen und IT-Teams sind also gut beraten, sich sowohl mit wirkungsvoller Security als auch mit einer durchdachten Incident-Response-Strategie auseinanderzusetzen. Ein solcher Plan kann nicht nur die unmittelbaren Folgekosten einer Cyber-Attacke minimieren, sondern viele weitere Probleme und Betriebsunterbrechungen unterbinden.

  1. Beteiligte und Betroffene definieren

Nicht allein das Sicherheits-Team ist verantwortlich und von Attacken betroffen, sondern viele weitere Personen im Unternehmen. Vom Führungsstab über Abteilungsleitungen bis hin zu Rechts- oder HR-Abteilung gilt es, die besonders gefährdeten Stellen zu identifizieren und in die Incident-Planung einzubeziehen. Bereits zu diesem Zeitpunkt müssen auch alter-native Kommunikationsmöglichkeiten in Betracht gezogen werden, da ein IT-Ausfall meis-tens auch die klassischen Kommunikationskanäle lahmlegt.

  1. Kritische Ressourcen identifizieren

Um eine Schutzstrategie zu erarbeiten und im Ernstfall das Ausmaß und die Folgen einer At-tacke ermitteln zu können, müssen die Ressourcen mit der höchsten Priorität für die Orga-nisation ermittelt werden. Im Ernstfall können auf diese Weise die unternehmenskritischsten Systeme gezielt und mit hoher Priorität wiederhergestellt werden.

  1. Ernstfallszenarien trainieren

Übungen tragen dazu bei, dass bei einer Attacke schnell, koordiniert und zielgerichtet gehandelt werden kann. Ein Incident-Response-Plan ist dann besonders gut, wenn alle Be-teiligten jederzeit genau wissen, was sie umgehend zu tun haben, anstatt erst nach einer Handlungsanleitung zu suchen oder zu versuchen, intuitiv zu handeln. In den Übungen soll-ten zudem unterschiedliche Angriffsszenarien definiert sein.

  1. Security-Tools einsetzen

Ein wichtiger Teil des Schutzkonzepts und des Incident-Response-Plans sind präventive Maßnahmen. Dazu gehören auch geeignete Security-Lösungen für Endpoints, das Netz-werk, die Server und die Cloud sowie für Mobilgeräte und E-Mails. Wichtig bei den Tools sind ein hoher Automationsgrad (z.B. durch den Einsatz von KI) sowie eine transparente und integrierte Verwaltungs- und Alarmkonsole. So lassen sich potenzielle Attacken zum frühestmöglichen Zeitpunkt erkennen und im Idealfall automatisch verhindern.

  1. Transparenz sicherstellen

Ohne die erforderliche Transparenz über alle Vorgänge während eine Attacke fällt es Or-ganisationen schwer, angemessen zu reagieren. IT- und Sicherheits-Teams müssen über das erforderliche Handwerkszeug verfügen, um das Ausmaß und die Folgen eines Angriffs zu bestimmen; inklusive der Ermittlung von Eintritts- und Persistenzpunkten der Angreifer.

  1. Zugriffskontrolle implementieren

Angreifer nutzen schwache Zugriffskontrollen aus, um die Abwehrmechanismen zu unter-wandern und um ihre Berechtigungen auszuweiten. Wirksame Zugriffskontrollen sind daher unerlässlich. Hierzu gehören u.a. der Einsatz einer mehrstufigen Authentifizierung oder die Beschränkung von Administratorenrechte auf möglichst wenige Konten. Für manche Or-ganisationen ist es sinnvoll, ein ergänzendes Zero-Trust-Konzept zu erstellen und mit den geeigneten Lösungen und Services zu implementieren.

  1. Analyse-Tools nutzen

Neben der Sicherstellung der erforderlichen Transparenz sind IT-Analyse-Tools wichtig, die während einer Untersuchung den erforderlichen Kontext liefern. Dazu zählen u.a. Incident-Response-Tools wie EDR (Endpoint Detection and Response) oder XDR (Extended Detec-tion and Response), mit denen die gesamte Umgebung nach Indicators of Compromise (IOC) und Indicators of Attack (IOA) durchsucht werden kann.

  1. Reaktionsmaßnahmen festlegen

Eine Attacke frühzeitig zu erkennen ist gut, doch nach der Entdeckung geht es darum, den Angriff möglichst schnell einzugrenzen, um die Folgeschäden zu minimieren. IT- und Si-cherheits-Teams müssen in der Lage sein, viele Reaktionsmaßnahmen einzuleiten, um Mal-ware zu lokalisieren, zu unterbrechen und zu beseitigen – je nach Angriffsart und Schwere des potenziellen Schadens.

  1. Awareness-Trainings durchführen

Alle Mitarbeiter einer Organisation müssen sich über die Risiken bewusst sein, die sie mit unbedachten Handlungen auslösen können. Gezielte Trainings sind daher ein elementarer Bestandteil eines Incident-Response-Plans bzw. der Prävention. Mit Simulations-Tools lassen sich real anmutende Phishing-Angriffe auf Mitarbeiter ohne Sicherheitsrisiko vortäuschen. Je nach Ergebnis helfen spezielle Unterweisungen, die Mitarbeiter zusätzlich zu sensibilisie-ren.

  1. Managed Security Services

Nicht jede Organisation verfügt intern über ausreichende Ressourcen, um ein Incident-Response-Team mit ausgewiesenen Experten aufzustellen und einen Incident-Response-Plan zu realisieren. In diesem Fall sorgen spezialisierte MDR-Provider (Managed Detection and Response) für Sicherheit. Sie bieten 24/7 Bedrohungsabwehr, Analysen und Reaktion auf Vorfälle als betreute Dienstleistung an. MDR- Services unterstützen Unternehmen um angemessen auf Vorfälle zu reagieren und senken zugleich die Wahrscheinlichkeit, dass überhaupt ein kritischer Vorfall eintritt.

Für die meisten Organisationen stellt sich nicht die Frage, ob sie betroffen werden, son-dern wann. Weil bei einer Cyber-Attacke jede Sekunde zählt, liegt der entscheidende Un-terschied darin, ob sie diesem Wissen durch entsprechende Vorkehrungen begegnen oder ob sie das Risiko eingehen, die eigene Existenz aufs Spiel zu setzen. Ein sorgfältig aus-gearbeiteter und durchdachter Incident-Response-Plan kann die Folgen einer Cyber-Attacke erheblich abmildern.

09.02.2022

Photo by FLY:D on Unsplash