Reagieren

Reagieren Sie auf Cybersicherheitsverletzungen

Securitylocus hilft Ihrem Unternehmen, auf Cybersicherheitsverletzungen zu reagieren.

Reagieren auf eine Sicherheitsverletzung – Übersicht

Die sechs Phasen des Incident-Response-Prozesses

CREST – eine gemeinnützige Organisation, die die Qualität der von Sicherheitsfirmen angebotenen Dienstleistungen sicherstellt – hat ein klar definiertes Modell zur Bewertung des Reifegrads jeder der sechs Incident Response-Phasen entwickelt.

Die folgende Grafik zeigt, wie dieses Modell Steuerelemente in sechs Phasen des Incident Response-Prozesses behandelt. Wir werden uns die Steuerelemente für jede dieser Phasen im Detail ansehen.

Vorbereitung

Der Schlüssel zur Vorbereitungsphase besteht darin, während simulierter Vorfalltests eine sorgfältige Analyse durchzuführen.

Dies ermöglicht es einem Unternehmen, einen sorgfältig erstellten Incident Response-Zeitplan zu erstellen, in dem alle Verantwortlichkeiten dem am besten geeigneten Stakeholder zugewiesen sind.

Ein Incident Response-Plan sollte auch eine Analyse der IR-Ressourcen enthalten, die einem Unternehmen zur Verfügung stehen, z. B. Portlisten, Protokollanalysatoren, Netzwerkdiagramme usw.

Diese Analyse sollte bei der Vorbereitung eines IR-Toolkits abgeschlossen sein, das im Falle eines Verstoßes einsatzbereit ist.

Identifizierung

Eine Organisation sollte sicherstellen, dass die entsprechenden Abwehrmaßnahmen vorhanden sind, um sicherzustellen, dass Indikatoren für eine Kompromittierung identifiziert werden.

Zu diesen Identifikatoren gehören:

• Ungewöhnlicher ausgehender Netzwerkverkehr
• Neue Admin-Benutzer erstellt
• Anomalien in der Aktivität privilegierter Benutzerkonten (erste Anmeldung bei einem System)
• Geografische Unregelmäßigkeiten (nicht standardmäßige Anmeldeversuche)
• Erhöhtes Datenbank-Lesevolumen (Datenbank-Dump)
• Große Anzahl von Anforderungen für dieselbe Datei
• Verdächtige Änderungen an der Registrierung oder Systemdatei
• Unerwartetes Patchen
• Anzeichen von DDoS-Aktivität

Wenn ein IT-Sicherheitsteam nicht der Meinung ist, dass diese Indikatoren in seinem Sicherheitssystem angezeigt werden, ist möglicherweise eine weitere Überprüfung erforderlich.

Containment

Sobald eine Organisation sicher ist, dass ein Vorfall identifiziert werden kann / wird, richtet sich der Fokus auf die Eindämmung dieses Vorfalls. Eine Organisation sollte definierte Handlungsoptionen basierend auf den potenziellen Auswirkungen verschiedener Vorfälle zuweisen.

Die IT muss prüfen, ob sie unter anderem Aspekte wie die Sperrung unbefugter Zugriffe, die Sperrung gefährlicher IP- und E-Mail-Adressen oder sogar die Isolierung von Systemen im Netzwerk unter Kontrolle hat. Diese Übung stellt sicher, dass die IT-Funktion die vollständige Kontrolle und Sichtbarkeit solcher Aktionen hat.

Ausrottung

Der nächste Schritt besteht darin, die Ursache des Vorfalls zu beseitigen – diese Phase kann sich mit der Containment-Phase überschneiden.

Ziel ist es, die Ursache, den eigentlichen Vorfall und den Kompromiss selbst auszumerzen. Sobald dies geschehen ist, ist es unerlässlich, dass die Beseitigung überprüft wird (z. B. durch Überwachung des Datenverkehrs und Überprüfung kritischer Protokolle).

Der IR-Prozess sollte Tilgungsschritte ermöglichen, wie zum Beispiel:

• Entfernen des Angriffs aus dem Netzwerk
• Löschen von Malware
• Deaktivieren von verletzten Benutzerkonten
• Identifizieren von Schwachstellen, die ausgenutzt wurden
• Schadensbegrenzung von Schwachstellen, die ausgenutzt wurden
• Gibt es ein formales Verfahren für den Umgang mit Beweisen im Umgang mit einem Vorfall?
• Gibt es Schritte, die zu befolgen sind, um Beweise zu sichern, wenn es um den Vorfall geht?

Restaurierung

Es sollte ein detaillierter Wiederherstellungsplan erstellt und überprüft werden, um festzustellen, dass alle Wiederherstellungsprozesse durchgeführt werden, um die Wiederherstellung des Systems so schnell wie möglich sicherzustellen, wie z. B. die Wiederherstellung des Systems aus Backup-Protokollen, die Benachrichtigung der relevanten Interessengruppen und die Behebung ähnlicher identifizierter Schwachstellen im Netzwerk usw.

In der Wiederherstellungsphase muss auch berücksichtigt werden, ob die Systeme wieder voll funktionsfähig und geschützt sind.

Der IR-Plan sollte erwägen, Elemente wie einen externen Penetrationstest aufzunehmen, um zu beurteilen, ob die wiederhergestellten Korrekturen ausreichend sind. Es sollte auch der Detaillierungsgrad, der den Interessenträgern zur Verfügung gestellt wird, und der Zeitplan dafür berücksichtigt werden.

Lehren

Dies wird oft als die wichtigste Phase des IR-Prozesses angesehen, da die gewonnenen Erkenntnisse einen großen Beitrag zur Verhinderung zukünftiger Vorfälle leisten können.

Kurz gesagt, diese Phase beinhaltet:

1) Durchführung einer Überprüfung nach dem Vorfall, um alle im Laufe des Wiederherstellungsprozesses ergriffenen Maßnahmen zu identifizieren

2) Formale Dokumentation dieser Lektionen, Identifizierung, wo Lektionen gelernt wurden und Kommunikation dieser an die relevanten Stakeholder

3) Aktualisierung und Änderung des bestehenden IR-Plans, damit diese Lehren auf zukünftige Vorfälle angewendet werden können

Schlussfolgerung

Obwohl es nicht möglich ist, sich vollständig auf unbekannte zukünftige Vorfälle vorzubereiten, gibt es Elemente eines Incident-Response-Prozesses, die eine Vorbereitung erfordern, um eine effektive Eindämmung von Vorfällen zu ermöglichen.

Die Quintessenz ist, dass ein Incident Response Plan nicht nur formal definiert werden muss, sondern regelmäßig bewertet werden muss, um sicherzustellen, dass er immer noch wirksam ist.

Die Anwendung eines klar definierten und ausgereiften Incident Response Frameworks, wie es von CREST entwickelt wurde, hilft dabei, alle wichtigen Aspekte einer solchen Bewertung abzudecken.