Ein erfolgreicher Cyberangriff ist schlimm – aber viele Unternehmen machen die Situation mit übereiltem, panischem Verhalten nur noch schlimmer. Dieser Guide zeigt Ihnen, wie Sie es besser machen können.
Inhalt:
Zunächst eine unangenehme Wahrheit: Es ist nur eine Frage der Zeit, bis auch Ihr Unternehmen Opfer einer erfolgreichen Cyberattacke wird. Homeoffice, Cloud Computing und IoT haben die Angriffsfläche so vergrößert, dass Cyberkriminelle fast immer eine Schwachstelle oder ein Schlupfloch finden, wenn sie nur lange genug danach suchen.
Sollten Sie also einen erfolgreichen Angriff entdecken – und hoffentlich entdecken Sie ihn schnell, ist das noch kein Grund zur Panik. Im Gegenteil: Panik ist genau die falsche Reaktion, wenn es um Schadensbegrenzung, Desinfektion und forensische Aufarbeitung geht.
Dieser Guide zeigt Ihnen, wie Sie panische Reaktionen am besten vermeiden: durch eine sorgfältige Vorbereitung. Er stellt Ihnen ein zehnstufiges Framework für einen Incident Response Plan vor, das Ihre Chancen, wesentlich vergrößert, heil aus der Sache herauszukommen. Die Empfehlungen sind keine theoretischen Überlegungen, sondern basieren auf den Erfahrungen der Managed Threat Response und Rapid Response Teams von Sophos – sie sind daher von Praktikern für Praktiker entwickelt.
Originalauszug aus dem Dokument:
3. Run tabletop exercises
Incident response is like many other disciplines – practice makes perfect. While it is difficult to fully replicate the intense pressure your team will experience during a potential breach, practice exercises ensure a more tightly coordinated and effective response when a real situation occurs. It is important to not only run technical tabletop exercises (often as part of a red team drill), but also broader exercises that include the various business stakeholders previously identified.
Tabletop exercises should test your organizational responses to a variety of potential incident response scenarios. Each of these scenarios might also include stakeholders beyond the immediate technical team. Your organization should determine in advance who needs to be informed when an attack is detected, even if was successfully defended.
Common incident response scenarios include:
- Active adversary detected within your network: In these scenarios, it is critical that the response team determines how an attacker was able to infiltrate your environment, what tools and techniques they used, what was targeted, and if they have established persistence. This information will help determine the proper course of action to neutralize the attack.
While it might seem obvious that you would immediately eject the adversary from the environment, some security teams choose to wait and observe the attacker to gain important intelligence in order to determine what they are trying to achieve and what methods they are using to achieve them.