Incident Response Playbook: Schnell und gezielt reagieren ist entscheidend

von Trend Micro

Um heutzutage wettbewerbsfähig zu sein, müssen Unternehmen mit den neuesten technologischen Trends Schritt halten. Ohne die parallele Entwicklung einer Sicherheitsinfrastruktur und einem klaren Prozess für eine Reaktion auf Angriffe könnten diese Technologien jedoch zum fatalen Vektor für Cyber-Bedrohungen werden. Im Falle eines Cyberangriffs kann ein starker Incident Response-Plan ein Unternehmen mit nur minimalem Schaden wieder zum Laufen bringen. Ein gutes Playbook stellt eine große Hilfe beim Aufsetzen des Incident Response-Ablaufs dar.

Laut einer von IBM und Ponemon durchgeführten Studie kostet ein Datendiebstahl das betroffene Unternehmen durchschnittlich 3,92 Millionen Dollar. Diese Kosten können variieren, je nachdem, wie schnell ein Unternehmen einen Datendiebstahl entdeckt und darauf reagiert.

Der 2020 Data Breach Investigations Report von Verizon kam zu dem Ergebnis, dass die meisten Datenschutzverletzungen im Jahr 2019 zwar nur Tage oder weniger dauerten, doch immerhin ein Viertel der Fälle zog sich über Monate oder länger hin. Die Eindämmung wiederum brauchte im Durchschnitt etwa gleich lang.

Insgesamt zeigen die Zahlen im Bericht im Vergleich zu den Vorjahren eine Verbesserung bei der Aufdeckung von Dateneinbrüchen und der Reaktion darauf. Der Bericht weist aber auch darauf hin, dass diese Verbesserung darauf zurückzuführen sein könnte, dass mehr von Managed Security Service Providern (MSSPs) entdeckte Verletzungen in ihre Untersuchungen einbezogen wurden.

Organisationen sollten natürlich danach streben, die Einbrüche zu verhindern. Gleichzeitig ist die Vorbereitung auf solche Vorfälle und die Erstellung von Abläufen zur Verkürzung der Dauer eines Dateneinbruchs jedoch ein wesentlicher und realistischer Ansatz für den Umgang mit aktuellen Bedrohungen.

Vorbereitung auf die Bedrohungen

Das Wissen darüber, womit ein Unternehmen zu rechnen hat, ist der erste Schritt bei der Vorbereitung und die Reaktion auf potenzielle Cyberangriffe. In der Vergangenheit waren die Bedrohungen viel einfacher gestrickt und weitgehend durch die von ihnen ausgenutzten Technologien definiert. Doch nun, da Unternehmen auf fortschrittlichere Netzwerk- und Dateninfrastrukturen zurückgreifen, ist die Angriffsfläche grösser, und die Auswirkungen der Bedrohungen haben sich verstärkt.

Der Sicherheitsbericht für 2019 von Trend Micro weist auf die Komplexität und Persistenz der heutigen Bedrohungen hin. Ransomware-Angriffe zielen immer häufiger auf hochkarätige Ziele, wobei die Kriminellen weniger neue Familien entwickeln. 2019 gab es mit 95 neuen Ransomware-Familien weniger als die Hälfte im Vergleich zu 2018 (222). Auch Phishing-bezogene Aktivitäten nahmen ab.

2019 gab es eine Reihe Aufsehen erregender Angriffe auf E-Commerce Sites wie Magecart Group 12 und FIN6, wobei tausende Online-Shops infiziert wurden, um Zahlungsinformationen der Kunden zu stehlen.

Bild 1: Angriffskampagne auf E-Commerce Site Magecart Group 12 und FIN6

Obige Bedrohungen verdeutlichen die Sicherheitslücken in den heute verwendeten Technologien. Sie zeigen auch, wie Trends und Schwächen von Branchen, Geräten oder Plattformen die Bedrohungslandschaft prägen. Organisationen haben eine Vielzahl von Grundlagen abzudecken, wenn sie neue Anwendungen und Software einführen, die Abläufe verbessern und Innovationen vorantreiben sollen. Neben der Kenntnis der aktuellen Bedrohungen sollten die Mitarbeiter auch alle von ihrer Organisation verwendeten Technologien genau verstehen lernen.

Während ein vielschichtiger Schutz bei der Erkennung und Verhinderung von Cyberattacken helfen kann, sollten alle Mitarbeiter, die für die Wartung der Unternehmensinfrastruktur zuständig sind, auch über Kenntnisse darüber verfügen, wie sie auf einen Einbruch und einen aktiven Angriff reagieren sollen.

Incident Response

Bedrohungen, die die Verteidigungslinien von Unternehmen angreifen, erfordern eine effektive Strategie zur Reaktion auf Vorfälle (Incident Response). Es ist der Prozess oder der Plan, den Organisationen als Leitfaden für die Handhabung und Eindämmung von Verstössen oder Cyberangriffen verwenden.

Das Ziel von Incident Response besteht darin, das Unternehmen nach einem Angriff wieder zum Laufen zu bringen. Dazu gehört die Identifizierung und Qualifizierung der Bedrohung, die ihre Verteidigungsmechanismen überwunden hat. Ein Störfall impliziert auch, dass die Präventionsmechanismen der Organisation versagt haben und verstärkt werden müssen.

Ein charakteristisches Merkmal von Incident Response ist, dass die Reaktion erfolgreich sein kann, ohne den Bedrohungsakteur hinter dem Angriff identifizieren zu müssen. Incident Response erfolgt „live“ oder während eines laufenden Angriffs mit der Absicht, diesen zu stoppen. Im Gegensatz dazu erfolgt etwa Computer-Forensik im Nachhinein und kann in die Tiefe gehen, weil die Bedrohung zurückgegangen ist.

Es gibt zwei weithin als Standard akzeptierte Incident Response Frameworks: NIST (National Institute of Standards and Technology) und SANS (SysAdmin, Audit, Network, and Security). Sie sind einander sehr ähnlich und decken eine breite Basis ab, von der Vorbereitung auf einen Angriff bis zum Sicherstellen, dass sich der Vorfall nicht wiederholt.

SANS

NIST

Bild 2: Incident Response-Schritte bei SANS und NIST

Der zweite Teil beschreibt ein Playbook mit den einzelnen konkreten Schritten, die ein Unternehmen beim Aufsetzen von Incident Response gehen muss.

Ähnliche Artikel:

  1. Trend Micro als „Leader“ für Cross-Layer Detection and Response
  2. Der Security-RückKlick 2020 KW 14
  3. Sicherheit von 5G-Konnektivität im Unternehmen
  4. Malware in Smart Factories: Die wichtigsten Bedrohungen für Produktionsumgebungen
  5. Verbindungen zwischen Einzelangriffen erkennen — und darauf reagieren