Was ist Incident Response?
Erkennt ein Sicherheitsteam eine Bedrohung, dann ist es von größter Bedeutung, dass ein Unternehmen bereit ist, auf diese zu reagieren. Dies erfordert die Durchführung eines genau abgestimmten Incident Response Plans (IRP) sowie einer Reihe von Aufgaben, die bestimmten Stakeholdern eines dedizierten IR-Teams zugewiesen werden.
Manche Unternehmen haben vielleicht ein eigenes, internes Team, während andere externe Incident Response Services in Anspruch nehmen und wieder andere einen hybriden Ansatz verfolgen, bei dem die technischen Analysen von Drittunternehmen geliefert werden, die notwendigen Maßnahmen jedoch von internen Incident-Response-Teams übernommen werden. Ganz gleich, welche Variante Sie nutzen, das Team sollte diese Maßnahmen gut trainiert und geplant haben, ehe eventuelle Probleme auftauchen. Gut abgestimmte Maßnahmen einer Incident Response sollten immer Folgendes umfassen:
- Management und Koordination von Maßnahmen zu Vorfällen auf höchster Ebene
- Technische Analyse des Vorfalls
- Eingrenzung des Vorfalls, um festzustellen, wer oder was betroffen war
- Krisenkommunikation, um sicherzustellen, dass Informationen auf koordinierte und nützliche Weise öffentlich gemacht werden
- Rechtliches Vorgehen, um etwaige Auswirkungen zu ermitteln und erforderliche Reaktionen oder Maßnahmen vorzubereiten
- Empfehlungen und Maßnahmen zur Problembehebung und Schadensbegrenzung, um eine reibungslose Systemwiederherstellung zu gewährleisten
Wer sind die Hauptakteure in einem Incident Response Team?
Die Hauptakteure in einem IR-Team sind entscheidend und sollten ihre Maßnahmen an den besonderen Umständen eines Verstoßes ausrichten. Deshalb sollten Cybersecurity-Teams bestimmte Personen oder Teams für die folgenden Kernfunktionen festlegen:
- Icident Management: Diese zentrale Rolle erfordert umfangreiches technisches Wissen und vorherige Erfahrung im Management und Incident Response. Die Person in dieser Rolle fungiert als Gesamtprojektleiter, um die Erledigung der technischen Aufgaben sowie die Informationsbeschaffung für alle beteiligten Stakeholder zu beaufsichtigen.
- Untersuchung von Unternehmensvorfällen: Hier können sich die Herausforderungen bei der Arbeit in einem Unternehmen von denen kleinerer Unternehmen unterscheiden. Ein großer Sicherheitsverstoß in einem größeren Unternehmen erfordert den Einsatz von Technologien und eine teamübergreifende Zusammenarbeit zur Unterstützung der Forensik auf allen (auch remote) Hosts, damit das Team so schnell wie möglich Indikatoren für eine Kompromittierung sowie deren möglichen Umfang finden kann.
- Technische Analyse: Diese Rollen erfordern technisches Know-how, und es ist am besten, Analysten im Team zu haben, die sich auf bestimmte Bereiche spezialisieren, z.B. Malware-Analyse, forensische Analyse, Analyse von Event-Logs sowie Netzwerkanalyse. Alle Informationen, die diese Analysten finden, sollten mit dem Rest des IR-Teams geteilt werden.
- Eingrenzung des Vorfalls: Was war der Umfang des Verstoßes? Das ist eine entscheidende Frage, die jedes IR-Team beantworten können muss. Die Antwort auf diese Frage kann sich im Laufe der Maßnahmen und weiteren Untersuchung ändern, zumal die technische Analyse weitergeht.
- Krisenkommunikation: Die Ergebnisse der Untersuchung sowie der Umfang und die möglichen Folgen eines Vorfalls müssen sowohl intern als auch extern kommuniziert werden. Ein erfahrenes Krisenkommunikationsteam sollte die richtigen Informationen an die richtigen Zielgruppen kommunizieren. Seine Aufgaben können Benachrichtigungen zu Sicherheitsverletzungen, Mitteilungen an die Aufsichtsbehörden, Benachrichtigungen der Mitarbeiter und/oder Opfer sowie bei Bedarf Pressegespräche umfassen.
- Rechtliche, personalwirtschaftliche und regulatorische Belange: Falls eine Sicherheitsverletzung irgendwelche rechtlichen Belange oder Auswirkungen auf die Compliance des Unternehmens hat, sollte man jemanden im Team haben, der weiß, wie man mit Offenlegungsanforderungen umgeht oder mit Strafverfolgungsbehörden zusammenarbeitet. Für Teams, die nicht über eigenes Fachwissen für diese Anforderungen verfügen, ist spezialisiertes juristisches Fachwissen auf Honorarbasis eine lohnende Investition.
- Entscheidungsfindung auf Führungsebene: Jeder Verstoß kann potenzielle Folgen für das öffentliche Image und das finanzielle Ansehen eines Unternehmens haben, weshalb die Führungsebene immer einbezogen werden sollte. Im Laufe der Reaktion auf einen Vorfall und eine Untersuchung desselben wird es richtungsweisende Entscheidungspunkte geben, an denen das Team den Input einer Führungskraft im Hinblick auf das weitere Vorgehen an diesen entscheidenden Punkten benötigen wird.
- Reporting und Behebung: Während der Arbeit an der Behebung des Vorfalls ist es wichtig, alles zu dokumentieren. Mit diesen Informationen sollten Teams in der Lage sein, eine ganze Historie für den Sicherheitsverstoß zusammenzustellen: was die Angreifer getan haben, wann und wie dies erfolgt ist und was sie gefährdet haben. Dies ermöglicht, einen ausführlichen Maßnahmenplan zur Problembehebung und Schadensbegrenzung für die Systemwiederherstellung nach dem Sicherheitsverstoß zu erstellen und der Organisation hoffentlich dabei zu helfen, zukünftige Angriffe ähnlicher Art abzuwehren.
Was ist ein Incident Response Plan?
Ein IR-Plan beschreibt, welche Schritte von wem unternommen werden müssen, wenn eine Sicherheitsverletzung oder Sicherheitskrise in einem Unternehmen auftritt. Ein solider Response Plan sollte es Teams ermöglichen, so schnell wie möglich in Aktion zu treten und Schäden möglichst schnell zu beseitigen. Jeder Augenblick zählt. Deshalb durchlaufen die für Sicherheitsverstöße zuständigen Mitarbeiter regelmäßig Trainingssimulationen und Prozessüberprüfungen, sodass sie im Ernstfall genau wissen, was zu tun ist.
Um zu verhindern, dass es in Ihrem Unternehmen zu langsamen Reaktionen kommt, sollten die Einsatzkräfte über einen sorgfältig ausgearbeiteten IR-Plan verfügen, der regelmäßig für eine Vielzahl möglicher Szenarien geprobt wird. Auch die Zustimmung der wichtigsten Stakeholder der Organisation und der C-Level-Führungskräfte ist von entscheidender Bedeutung, damit Ihr Team weiß, dass die Unterstützung vorhanden ist, damit es schnell und effizient handeln kann.
Schließlich müssen bei einem Sicherheitsvorfall nicht nur technische Teams handeln, auch nicht-technische Ressourcen – wie beispielsweise die Rechts- und Kommunikationsabteilungen – sowie externe Parteien können involviert sein, insbesondere wenn Sie mit einem Sicherheitsdienstleister zusammenarbeiten.
Was sind Managed Incident Response Services?
Managed Incident Response Services werden von einem externen Anbieter bereitgestellt und sollen Unternehmen jeglicher Reife, Größe und Kompetenz dabei helfen, besser auf eine Sicherheitsverletzung vorbereitet zu sein und diese besser zu bewältigen. Diese Anbieter können dabei helfen, strategische und taktische Lücken auf folgende Art und Weise zu schließen:
- Entwicklung von soliden Sicherheitsprogrammen: Falls Sie nicht sicher sind, ob Ihr Incident-Detection-Programm alle möglichen Eventualitäten abdeckt, die für Ihr Unternehmen relevant sind, so kann ein Managed-IR-Service Ihnen dabei helfen, Ihre Bereitschaft bei Vorfällen und Verstößen zu verbessern.
- Durchführung von Übungen: Prüfen Sie Ihr internes IR-Team und ihre Bereitschaft mit Bedrohungssimulationen auf Herz und Nieren, die vom externen Dienstleister durchgeführt werden.
- Kompromittierungs- und/oder Bereitschaftsbewertungen für Sicherheitsverstöße: Ein externes IR-Team kann den aktuellen Zustand Ihrer Umgebung und der Sicherheitsprozesse Ihres Unternehmens bewerten und mögliche Risiken oder Lücken identifizieren.
- Sofortige Reaktion auf Sicherheitsverstöße: Wenn Sie einen Sicherheitsverstoß vermuten und sofort Hilfe benötigen, so kann ein Managed-Services-Anbieter sofort in Aktion treten, um weiteren Schaden zu verhindern.
- Angebot von Incident-Response-Verträgen: Ein Vertrag stellt sicher, dass Ihr eigenes Team sowie das Ihres Anbieters auf denselben Plan ausgerichtet und im Fall eines Verstoßes einsatzbereit sind. Viele Verträge beinhalten mehrere der oben genannten Leistungen, und sie garantieren oft ein bestimmtes Service-Level-Agreement im Hinblick auf Reaktionszeiten.
Es mag sich gebetsmühlenartig anhören, aber der schlechteste Zeitpunkt, um sich auf einen Sicherheitsverstoß vorzubereiten, ist tatsächlich, nachdem ein solcher stattgefunden hat. Die beste Vorbereitung auf dieses Worst-Case-Szenario ist es, einen soliden IR-Plan zu haben und sicherzustellen, dass er allen Beteiligten vermittelt wurde.
Das Post-Mortem
Nach der erfolgreichen Reaktion auf einen Sicherheitsverstoß können Sie sich jedoch nicht gleich ausruhen. Das interne IR-Team sollte ein Post-Mortem durchführen, um aus den Erfahrungen zu lernen und die Abwehrbereitschaft zu verbessern.
Was hat funktioniert, was hat nicht funktioniert und was hätte besser oder schneller funktionieren können? Es gibt keinen besseren Lehrmeister als die Erfahrung, daher ist es wichtig, so viele Lektionen wie möglich aus der Reaktion auf einen echten Sicherheitsverstoß zu lernen.
Erfahren Sie mehr über Incident Response
Bereiten Sie sich vor: Entwicklung eines Incident Response Plans (Teil 1)
Bereiten Sie sich vor: Entwicklung eines Incident Response Plans (Teil 2)
Incident Response: Aktuelles aus dem Rapid7 Blog