Panik und Ratlosigkeit sind häufig die ersten Reaktionen auf einen erfolgreichen Cyberangriff. Doch Kopflosigkeit verschlimmert die Situation nur und vergrößert den Schaden. Damit Ihnen das nicht passiert, sollten Sie sich gut vorbereiten. Wie, das verrät Ihnen dieser 10-Punkte-Plan für eine effektive Incident Response.
Inhalt:
Vorsorge wird nicht nur im privaten Umfeld allzu oft auf die lange Bank geschoben. Auch Unternehmen neigen dazu, Risiken zu verdrängen. Das Tagesgeschäft nimmt ja so viel Zeit in Anspruch und Notfallpläne kann man auch noch morgen machen.
Erst nach einer erfolgreichen Cyberattacke stellen die Sicherheitsverantwortlichen dann fest, dass sie mit einem effektiven Incident-Response-Plan für Cybersecurity-Vorfälle Nerven und Kosten gespart, Betriebsunterbrechungen vermieden und rechtliche Folgen abgemildert hätten.
Mit diesem Whitepaper plädiert der Sicherheitsexperte Sophos dafür, das Thema Vorsorge in der IT-Security endlich anzugehen und Pläne für den Ernstfall zu entwickeln. Dabei führt er Sie durch die zehn wichtigsten Punkte eines Incident-Response-Plans und erklärt Ihnen ausführlich, wie Sie die Maßnahmen richtig umsetzen.
Sie erfahren unter anderem:
- Warum Sie das Notfalltraining nicht auf das IT-Security-Team beschränken sollten.
- Wie Sie Risiken identifizieren und das potenzielle Schadensausmaß abschätzen.
- Welche Maßnahmen Sie treffen sollten und warum Sie diese regelmäßig evaluieren müssen.
Originalauszug aus dem Dokument:
3. Ernstfall durchspielen
Auch bei der Reaktion auf Vorfälle gilt „Übung macht den Meister“. Natürlich ist es schwierig, den intensiven Druck, dem Ihr Team bei einem Sicherheitsvorfall ausgesetzt sein könnte, eins zu eins nachzuspielen. Trotzdem sorgen Theorieübungen dafür, dass Sie im Ernstfall koordinierter und effektiver reagieren können. Neben Theorieübungen (oft im Rahmen von Red- Team-Übungen) sollten Sie jedoch auch weitreichendere Übungen durchführen, in die verschiedene Stakeholder aus dem gesamten Unternehmen mit einbezogen werden.
Im Rahmen von Theorieübungen sollten die Reaktiosmaßnahmen Ihres Unternehmens auf eine Vielzahl möglicher Incident-Response-Szenarien durchgespielt werden. Jedes dieser Szenarien kann auch Stakeholder umfassen, die über das unmittelbare technische Team hinausgehen. Ihr Unternehmen sollte im Voraus festlegen, wer bei der Erkennung eines Angriffs informiert werden muss, auch wenn der Angriff erfolgreich abgewehrt wurde.
Zu den häufigsten Szenarien bei der Reaktion auf Vorfälle gehören:
Ì Ein aktiver Angreifer wird in Ihrem Netzwerk erkannt: In einem solchen Fall ist entscheidend, dass das Response- Team ermittelt, wie ein Angreifer Ihre Umgebung infiltrieren konnte, welche Tools und Techniken verwendet wurden, welche Ressourcen anvisiert wurden und ob Persistenz etabliert wurde. Diese Informationen helfen, die richtige Vorgehensweise zu bestimmen und den Angriff zu neutralisieren.
Es mag offensichtlich erscheinen, Angreifer so schnell wie möglich aus der Umgebung zu entfernen. Einige Sicherheitsteams entscheiden sich jedoch dafür, den Angreifer zunächst zu beobachten, um wichtige Informationen über seine Ziele und seine Methoden zu sammeln.