Notwendigkeit eines Incident-Response-Plan

In der Cybersecurity geht es im Prinzip darum, jedwede Angriffe auf die eigenen IT-Infrastruktur abzuwehren. Aber auch auf den Fall, dass ein Angriff stattgefunden, die Sicherheitsschirme durchbrochen hat, sollte man in Form eines Reaktionsplans – Incident-Response-Plan – vorbereitet sein. Denn wenn ein Cybersicherheitsvorfall eintritt, ist Zeit von entscheidender Bedeutung. Ein gut vorbereiteter und verständlicher Reaktionsplan, den alle wichtigen Parteien sofort in die Tat umsetzen können, verringert die Auswirkungen eines Angriffs auf Unternehmen erheblich.

Im Folgenden wird anhand von 10 Punkten umrissen, was bei Konzeptionierung und Erstellung eines Incident-Response-Plan zu berücksichtigen ist, und welche Rolle Managed Detection and Response (MDR) Services für die optimale Unterstützung eines solchen Plans spielen. Ausführlichere Informationen finden sich im „Incident Response Guide“ von Sophos.

Die wichtigsten Stakeholder bestimmen (1)

Um eine Antwort auf einen Vorfall richtig zu koordinieren, muss festgelegt werden, welche Abteilung an den Gegenmaßnahmen teilnimmt. Dies schließt häufig die Vertretung von Führungskräften, Sicherheits-, IT-, Rechts- und Öffentlichkeitsarbeit ein. Zudem sollte eine Kommunikationsmethode eingerichtet werden, um eine schnelle Reaktion zu gewährleisten. Dabei wäre die Möglichkeit zu berücksichtigen, dass gerade die normalen Kommunikationskanäle (z.B. Unternehmens-E-Mails) von dem Vorfall betroffen sind.

Identifizierung kritischer Assets (2)

Um den Umfang und die Auswirkungen eines Angriffs zu bestimmen, sollte das Unternehmen zunächst die Assets mit der höchsten Priorität identifizieren. Das hilft nicht nur bei der Festlegung der Schutzstrategie, sondern erleichtert auch die Ermittlung des Umfangs und der Auswirkungen des Angriffs. Das Incident-Response-Team kann sich schon während eines Angriffs auf die wichtigsten Ressourcen konzentrieren und so Störungen im Geschäft minimieren.

Übungen und Testläufe (3)

Wer auf den Ernstfall gut vorbereit sein will, sollte Reaktionsweisen in Szenarien erproben. Jedes dieser Szenarien kann auch Stakeholder umfassen, die über das unmittelbare technische Team hinausgehen. Zu den gängigen Szenarien für die Reaktion auf Vorfälle gehören:

– Im eigenen Netzwerk erkannter aktiver Gegner: In diesen Szenarien ist es wichtig, dass das Reaktionsteam feststellt, wie ein Angreifer in die Unternehmensumgebung eindringen konnte, welche Tools und Techniken er verwendet hat, was als Ziel ausgewählt wurde und ob er die Persistenz hergestellt hat. Diese Informationen helfen dabei, die richtige Vorgehensweise zur Neutralisierung des Angriffs zu bestimmen. Während es naheliegend erscheint, den Gegner sofort aus der Umgebung zu entfernen, warten einige Sicherheitsteams und beobachten den Angreifer, um wichtige Informationen darüber zu erhalten, was diese erreichen wollen und welche Methoden sie verwenden.

– Erfolgreicher Datenverstoß: Bei Datenverstößen wäre festzustellen, was wie gefiltert wurde. Dies informiert dann über die richtige Reaktion, einschließlich der potenziellen Notwendigkeit, die Auswirkungen auf die Compliance- und Regulierungsrichtlinien zu berücksichtigen, d.h. unter Umständen Kunden zu kontaktierten und Rechts- oder Strafverfolgungsbehörden einzuschalten.

– Erfolgreicher Ransomware-Angriff: Wenn kritische Daten und Systeme verschlüsselt sind, sollte Ihr Team einen Plan befolgen, um solche Verluste so schnell wie möglich zu beheben. Dies sollte einen Prozess zum Wiederherstellen von Systemen aus Sicherungen umfassen. Um sicherzustellen, dass der Angriff nicht wiederholt wird, sobald Sie wieder online sind, sollte das Team untersuchen, ob der Zugriff des Gegners gesperrt wurde. Darüber hinaus sollte Ihre breitere Organisation bestimmen, ob sie bereit ist, in extremen Situationen ein Lösegeld zu zahlen, und wenn ja, wie viel sie bereit wäre, auszugeben.

– System mit hoher Priorität kompromittiert: In dem Fall kann das Unternehmen möglicherweise keine normalen Geschäfte mehr abwickeln. Zusätzlich zu allen Schritten, die im Rahmen eines Incident-Response-Plans erforderlich sind, sollte das Unternehmen auch die Erstellung eines Business Recovery-Plans in Betracht ziehen, um sicherzustellen, dass die Unterbrechung der Geschäftsabläufe minimiert wird. Prävention durch Schutzwerkzeuge (4) Der beste Weg, um mit einem Vorfall umzugehen, besteht darin, sich zunächst davor zu schützen. Es wäre kontinuierlich sicherzustellen, dass der entsprechenden Endpunkt-, Netzwerk-, Server-, Cloud-, Mobil- und E-Mail-Schutz verfügbar ist.

Maximale Sichtbarkeit (5)

Ohne die richtige Sicht auf das, was während eines Angriffs passiert, wird die Organisation Schwierigkeiten haben, angemessen zu reagieren. Bevor ein Angriff erfolgt, sollten IT- und Sicherheitsteams sicherstellen, dass sie den Umfang und die Auswirkungen eines Angriffs verstehen können, einschließlich der Ermittlung von Eintritts- und Persistenzpunkten für Gegner. Zur ordnungsgemäßen Sichtbarkeit gehört das Sammeln von Protokolldaten mit Schwerpunkt auf Endpunkt- und Netzwerkdaten. Da es Tage oder Wochen dauert, bis viele Angriffe entdeckt sind, ist es wichtig, dass historische Daten zur Verfügung stehen, um sie zu untersuchen. Solche Daten sollten gesichert sein, damit während eines aktiven Vorfalls auf sie zugegriffen werden kann.

Implementierung der Zugriffskontrolle (6)

Angreifer können eine schwache Zugriffskontrolle nutzen, um die Abwehrkräfte eines Unternehmens zu infiltrieren und Berechtigungen zu erweitern. Die Zugriffskontrolle wäre zu stärken über die Bereitstellung einer Multi-Faktor-Authentifizierung, die Beschränkung der Administratorrechte auf so wenige Konten wie möglich (gemäß dem Prinzip der geringsten Berechtigungen), das Ändern von Standardkennwörtern und die Reduzierung der Anzahl der zu überwachenden Zugriffspunkte.

Investition in Ermittlungsinstrumente (7)

Unternehmen sollten nicht nur sicherstellen, dass Sie über die erforderliche Transparenz verfügen. Auch die Investition in Tools, die während einer Untersuchung den erforderlichen Kontext bereitstellen, zahlt sich aus. Zu den am häufigsten verwendeten Tools für die Reaktion auf Vorfälle gehören die Erkennung und Reaktion von Endpunkten (EDR) oder die erweiterte Erkennung und Reaktion (XDR), mit denen in der Unternehmensumgebung nach Kompromissindikatoren (IOCs) und Angriffsindikatoren (IOA) gesucht werden kann. Mithilfe von EDR-Tools können Analysten genau bestimmen, welche Assets kompromittiert wurden, und die Auswirkungen und den Umfang eines Angriffs bestimmen. Zusätzlich zu den EDR-Tools können erweiterte Sicherheitsteams auch eine SOAR-Lösung (Security Orchestration, Automation and Response) bereitstellen, die bei Antwortworkflows hilfreich ist.

Einrichten von effektiven Reaktionsformen (8)

Das Erkennen eines Angriffs ist nur ein Teil des Prozesses. Um auf einen Angriff richtig reagieren zu können, sollten IT- und Sicherheitsteams sicherstellen, dass sie in der Lage sind, eine Vielzahl von Abhilfemaßnahmen durchzuführen, um einen Angreifer zu stören und zu neutralisieren. Zu den Antwortaktionen gehören unter anderem:

– Betroffene Hosts isolieren

– Blockieren schädlicher Dateien, Prozesse und Programme

– Blockieren von Befehl und Kontrolle (C2) und böswilliger Website-Aktivität

– Einfrieren gefährdeter Konten und Sperren des Zugriffs auf Angreifer

– Aufräumen von gegnerischen Artefakten und Werkzeugen

– Schließen von Einstiegspunkten und Persistenzbereichen, die von Angreifern (intern und von Drittanbietern) genutzt werden

– Anpassen von Konfigurationen (Bedrohungsrichtlinien, Aktivieren der Endpunktsicherheit und EDR auf ungeschützten Geräten, Anpassen von Ausschlüssen usw.)

– Wiederherstellen betroffener Assets über Offline-Backups

Sensibilisierungstraining (9)

Schulungsprogramme zur Steigerung des Phishing-Bewusstseins tragen dazu bei, das Risiko zu verringern und die Anzahl der Warnungen zu begrenzen, auf die ein Team reagieren muss. Die Verwendung von Tools zur Simulation von Phishing-Angriffen bietet Mitarbeitern eine sichere Möglichkeit, einen Phish zu erleben (und möglicherweise Opfer davon zu werden) und riskante Benutzergruppen zu identifizieren, die möglicherweise zusätzliche Schulungen benötigen.

Externe Sicherheitsdienste als verwaltete Services (10)

Viele Organisationen sind nicht in der Lage, Vorfälle selbst zu behandeln. Eine schnelle und effektive Reaktion erfordert erfahrene Sicherheitsmitarbeiter. Um sicherzustellen, dass ordnungsgemäß reagiert wird, empfiehlt es sich in der Regel, mit einer externen Ressource wie einem MDR-Anbieter (Managed Detection and Response) zusammenarbeiten. MDR-Anbieter bieten rund um die Uhr Bedrohungssuche, Ermittlung und Reaktion auf Vorfälle als verwalteten Service an. MDR-Services unterstützen Unternehmen nicht nur, auf Vorfälle zu reagieren, bevor sie zu Verstößen werden, sondern verringern auch die Wahrscheinlichkeit eines Vorfalls. MDR-Dienste werden immer beliebter, bis 2025 könnten 50% der Unternehmen MDR-Dienste nutzen (gegenüber weniger als 5% im Jahr 2019). DFIR-Dienste (Data Forensic Incident Response) werden gelegentlich auch nach einem Vorfall beibehalten, um Beweise für einen Rechts- oder Versicherungsanspruch zu sammeln.