CymbiQ-Schwester und Experte für Cyber Security und Cyber Risk Resilience ISPIN AG (Zürich) erklärt in diesem Beitrag wieso jedes Unternehmen über ein CSIR Team oder Security Operations Center verfügen sollte.
Ausnahmslos jedes Unternehmen muss damit rechnen, früher oder später Opfer einer Cyberattacke zu werden. Das Ausmaß der Schäden hängt wesentlich davon ab, wie schnell und wie effektiv reagiert wird, sobald der Fall der Fälle eintritt. Die Herausforderung ist also, sich der Gefahr bewusst zu sein, die notwendigen Vorbereitungen auf das Unplanbare zu treffen und zu wissen, was im Ernstfall zu tun ist. Die Lösung: Computer Security Incident Response.
Schnell und effektiv auf einen Cyberangriff reagieren kann nur, wer entsprechend vorbereitet ist. Wie aber kann man sich auf einen solchen Angriff vorbereiten?
Hier kommt das Computer Security Incident Response Team, kurz CSIRT, ins Spiel. Ein CSIRT kümmert sich um die effektive und effiziente Behandlung von schweren Sicherheitsvorfällen. Dazu braucht es, neben den entsprechenden Fähigkeiten, Methoden und Werkzeugen, auch viel Training. Das ist mit erheblichem Aufwand verbunden. Deshalb kann es sinnvoll sein, mit einem externen CSIRT zusammenzuarbeiten, welches die eigene Organisation entlastet und jederzeit verfügbar ist, wenn es gebraucht wird.
Die Arbeit eines CSIRT beginnt aber nicht mit erst mit einem Incident, sondern im Idealfall bereits heute:
Vorbereitung: Angriffsszenarien definieren und die Reaktion planen
So wie Piloten sehr intensiv Ausnahmesituationen trainieren, so müssen sich auch Unternehmen bestmöglich organisatorisch und technisch vorbereiten. Zumindest folgende Fragen sollten geklärt und in einem Incident Response Playbook (IR Playbook) festgehalten werden:
- Für welches Szenario oder welche Szenarien kann das IR Playbook angewendet werden?
- Welche vorsorglichen organisatorischen und technischen Maßnahmen (Ressourcen und Tools) wurden getroffen, bzw. stehen zur Verfügung?
- Welche Rollen sollen/können involviert werden und was ist ihre Aufgabe?
- Welche sicheren Kommunikationskanäle stehen zur Verfügung?
- Welches sind die für die Anwendung notwendigen Kontaktinformationen?
- Welche formalen Prozessschritte sind während der jeweiligen Phase eines Incidents zwingend einzuhalten?
Zu diesen organisatorischen Vorbereitungen kommen eine ganze Reihe von technischen Maßnahmen, die im Vorfeld durchzuführen sind.
Erkennen und analysieren: Den Ernstfall beherrschen
Ist der Ernstfall eingetreten, muss zunächst geklärt werden, ob es sich bei dem Vorfall tatsächlich um einen Incident handelt oder ob falscher Alarm ausgelöst wurde. Liegt ein Incident vor, muss dieser näher analysiert werden. Dazu gehören Antworten auf die Fragen:
- Was wurde getroffen, was ist betroffen?
- Wie ist der Sicherheitsvorfall entstanden?
- Wann bzw. wie ist die zeitliche Abfolge der Ereignisse?
- Wer ist der Urheber des Vorfalls?
Sind diese Informationen vorhanden, kann mit der nächsten Phase begonnen werden.
Eindämmen, bereinigen und wiederherstellen: Schadensbegrenzung hat Priorität
Ist klar, was das Unternehmen getroffen hat und wo die Ursache liegt, kann mit den notwendigen Eindämmungs-Maßnahmen begonnen werden. Da die wenigsten Unternehmen intern über das nötige Know-how verfügen, ist es wichtig, rechtzeitig Hilfe zu organisieren, damit im Ernstfall die Reaktion schnell von statten gehen kann. Jene Maßnahmen, die den Schaden begrenzen, sollten Priorität haben. Denn den Schaden zu verhindern oder zu begrenzen ist das wichtigste Ziel.
„Lessons learned“ für die Optimierung nutzen
Ist alles bereinigt und wiederhergestellt, ist es unerlässlich, die Lehren aus dem Vorfall zu ziehen und diese für Optimierungen zu nutzen. So können gleichgeartete oder ähnliche Vorfälle künftig verhindert oder besser und schneller bewältigt werden.
Veröffentlicht am 11.03.2021 im ISPIN-Blog [Blog nicht mehr verfügbar]
Weitere Beiträge zu diesem Thema
Wir stellen vor: Das Anovis Security Monitoring, aus Anovis-Blog, veröffentlicht am 02.08.2021
Die wichtigsten Begriffe aus dem Security Monitoring einfach erklärt, aus Anovis-Blog, veröffentlicht am 21.07.2021