Eine Einführung in das Cyber ​​Security Incident Response Management und Best Practices

Da Cyber-Angriffe immer mehr an Umfang, Vielfalt und Komplexität zunehmen und nicht nur störender und schädlicher sind, müssen Unternehmen darauf vorbereitet sein, effektiv mit ihnen umzugehen.


Neben der Bereitstellung effektiver Sicherheitslösungen und -praktiken müssen sie in der Lage sein, Angriffe schnell zu identifizieren und zu bekämpfen, um so minimale Schäden, Störungen und Kosten zu gewährleisten.

Jedes IT-System ist ein potenzielles Ziel eines Cyber-Angriffs, und die meisten Menschen sind sich einig, dass es nicht darum geht, ob, sondern wann es passieren wird. Die Auswirkungen hängen jedoch davon ab, wie schnell und effektiv Sie das Problem beheben. Daher ist die Vorbereitung auf die Reaktion auf Vorfälle erforderlich.

Eine Cybersecurity Incident Response (IR) bezieht sich auf eine Reihe von Prozessen, die ein Unternehmen zur Bekämpfung eines Angriffs auf seine IT-Systeme ausführt. Dies erfordert eine Kombination der richtigen Hardware- und Softwaretools sowie Vorgehensweisen wie ordnungsgemäße Planung, Verfahren, Schulung und Unterstützung durch alle Mitarbeiter des Unternehmens.

Best Practices vor, während und nach Sicherheitsvorfällen

Wenn ein Cyber-Angriff auftritt, können mehrere Aktivitäten gleichzeitig stattfinden. Dies kann hektisch sein, wenn keine Koordination oder ordnungsgemäße Verfahren zur Behandlung von Vorfällen vorhanden sind.

Durch die Vorbereitung im Voraus und die Erstellung eines klaren und leicht verständlichen Plans und Richtlinien für die Reaktion auf Vorfälle können die Sicherheitsteams jedoch harmonisch zusammenarbeiten. Auf diese Weise können sie sich auf die kritischen Aufgaben konzentrieren, die den potenziellen Schaden für ihre IT-Systeme, Daten und Reputation begrenzen und unnötige Geschäftsunterbrechungen vermeiden.

Vorbereiten eines Notfallplans

Ein Notfallplan dokumentiert die Schritte, die im Falle eines Angriffs oder eines anderen Sicherheitsproblems auszuführen sind. Obwohl die tatsächlichen Schritte je nach Umgebung variieren können, umfasst ein typischer Prozess, der auf dem SANS-Framework (SysAdmin, Audit, Netzwerk und Sicherheit) basiert, die Vorbereitung, Identifizierung, Eindämmung, Beseitigung, Wiederherstellung, Benachrichtigung über den Vorfall und eine Nachbearbeitung. Überprüfung von Vorfällen.

Reaktion auf VorfälleAblauf des Incident Response-Prozesses (basierend auf der NIST-Vorlage) Image NIST

Die Vorbereitung umfasst die Entwicklung eines Plans mit relevanten Informationen und den tatsächlichen Verfahren, die das Computer Incident Response Team (CIRT) zur Behebung des Vorfalls befolgen wird.

Diese beinhalten:

  • Bestimmte Teams und Einzelpersonen, die für jeden Schritt des Vorfallsreaktionsprozesses verantwortlich sind.
  • Definiert, was einen Vorfall darstellt, einschließlich dessen, welche Art von Reaktion gerechtfertigt ist.
  • Kritische Daten und Systeme, die mehr Schutz und Schutz erfordern.
  • Eine Möglichkeit, die betroffenen Zustände betroffener Systeme für forensische Zwecke zu erhalten.
  • Verfahren, um zu bestimmen, wann und wer über ein Sicherheitsproblem informiert werden soll. Wenn ein Vorfall auftritt, müssen möglicherweise die betroffenen Benutzer, Kunden, Strafverfolgungsbehörden usw. informiert werden. Dies ist jedoch von Branche zu Branche und von Fall zu Fall unterschiedlich.

Ein Vorfallreaktionsplan muss leicht zu verstehen und umzusetzen sein und sich an anderen Plänen und Organisationsrichtlinien ausrichten. Die Strategie und der Ansatz können sich jedoch je nach Branche, Team, Bedrohung und potenziellem Schaden unterscheiden. Regelmäßige Tests und Aktualisierungen stellen sicher, dass der Plan gültig und effektiv ist.

Schritte zur Reaktion auf Vorfälle, wenn ein Cyberangriff auftritt

Sobald ein Sicherheitsvorfall vorliegt, sollten die Teams schnell und effizient handeln, um ihn einzudämmen und zu verhindern, dass er sich auf saubere Systeme ausbreitet. Im Folgenden finden Sie die Best Practices für die Behebung von Sicherheitsproblemen. Diese können jedoch je nach Umgebung und Struktur einer Organisation unterschiedlich sein.

Stellen Sie das Team für die Reaktion auf Computervorfälle zusammen oder engagieren Sie es

Stellen Sie sicher, dass das multidisziplinäre interne oder ausgelagerte CIRT-Team die richtigen Mitarbeiter mit den richtigen Fähigkeiten und Erfahrungen hat. Wählen Sie aus diesen einen Teamleiter aus, der die zentrale Person ist, die die Richtung vorgibt, und stellen Sie sicher, dass die Reaktion nach Plan und Zeitplan verläuft. Der Leiter wird auch Hand in Hand mit dem Management arbeiten, insbesondere wenn wichtige Entscheidungen in Bezug auf die Operationen zu treffen sind.

Identifizieren Sie den Vorfall und legen Sie Art und Quelle des Angriffs fest

Bei Anzeichen einer Bedrohung sollte das IR-Team schnell handeln, um zu überprüfen, ob es sich tatsächlich um ein internes oder externes Sicherheitsproblem handelt, und gleichzeitig sicherstellen, dass es so schnell wie möglich eingedämmt wird. Typische Methoden zur Feststellung, wann ein Problem vorliegt, sind unter anderem:

  • Warnungen von Sicherheitsüberwachungstools, Fehlfunktionen innerhalb des Systems, ungewöhnliches Verhalten, unerwartete oder ungewöhnliche Dateimodifikationen, Kopieren oder Herunterladen usw.
  • Berichterstattung durch Benutzer, Netzwerk- oder Systemadministratoren, Sicherheitspersonal oder externe Partner oder Kunden von Drittanbietern.
  • Überwachungsprotokolle mit Anzeichen für ungewöhnliches Benutzer- oder Systemverhalten, z. B. mehrere fehlgeschlagene Anmeldeversuche, Downloads großer Dateien, hohe Speichernutzung und andere Anomalien.

Automatischer Alarm für Varonis-SicherheitsvorfälleAutomatischer Alarm für Varonis-Sicherheitsvorfälle – Bild Varonis 

Bewerten und analysieren Sie die Auswirkungen des Angriffs

Der Schaden, den ein Angriff verursacht, hängt von der Art, der Wirksamkeit der Sicherheitslösung und der Geschwindigkeit ab, mit der das Team reagiert. In den meisten Fällen kann das Ausmaß des Schadens erst nach vollständiger Behebung des Problems festgestellt werden. Die Analyse sollte die Art des Angriffs, seine Auswirkungen und die Dienste herausfinden, die davon betroffen sein könnten.

Es wird auch empfohlen, nach Spuren zu suchen, die der Angreifer möglicherweise hinterlassen hat, und Informationen zu sammeln, die bei der Bestimmung des Zeitplans für Aktivitäten hilfreich sind. Dies beinhaltet die Analyse aller Komponenten der betroffenen Systeme, die Erfassung der für die Forensik relevanten Komponenten und die Bestimmung, was in jeder Phase hätte passieren können.

Je nach Ausmaß des Angriffs und den Ergebnissen kann es erforderlich sein, die Inzidenz auf das betreffende Team zu übertragen.

Eindämmung, Beseitigung von Bedrohungen und Wiederherstellung

Die Eindämmungsphase umfasst das Blockieren der Ausbreitung des Angriffs sowie das Wiederherstellen des ursprünglichen Betriebsstatus der Systeme. Im Idealfall sollte das CIRT-Team die Bedrohung und die Hauptursache identifizieren, alle Bedrohungen entfernen, indem gefährdete Systeme blockiert oder getrennt, Malware oder Viren bereinigt, böswillige Benutzer blockiert und Dienste wiederhergestellt werden.

Sie sollten auch die Schwachstellen ermitteln und beheben, die Angreifer ausgenutzt haben, um künftige Vorkommnisse derselben zu verhindern. Ein typisches Containment umfasst kurzfristige und langfristige Maßnahmen sowie eine Sicherung des aktuellen Status.

Vor dem Wiederherstellen einer sauberen Sicherung oder dem Reinigen der Systeme ist es wichtig, eine Kopie des Status der betroffenen Systeme aufzubewahren. Dies ist notwendig, um den aktuellen Status beizubehalten, was für die Forensik hilfreich sein kann. Nach dem Sichern ist der nächste Schritt die Wiederherstellung unterbrochener Dienste. Teams können dies in zwei Phasen erreichen:

  • Überprüfen Sie die Systeme und Netzwerkkomponenten, um sicherzustellen, dass alle ordnungsgemäß funktionieren
  • Überprüfen Sie alle Komponenten, die infiziert oder kompromittiert und anschließend gereinigt oder wiederhergestellt wurden, erneut, um sicherzustellen, dass sie jetzt sicher, sauber und betriebsbereit sind.

Benachrichtigung und Berichterstattung

Das Inzidenzreaktionsteam führt die Analyse, Reaktion und Berichterstattung durch. Sie müssen die Grundursache des Vorfalls untersuchen, ihre Ergebnisse über die Auswirkungen, die Lösung des Problems und die Wiederherstellungsstrategie dokumentieren und die relevanten Informationen an das Management, andere Teams, Benutzer und Drittanbieter weitergeben.

Kommunikation mit externen Agenturen und AnbieternKommunikation mit externen Agenturen und Anbietern Image NIST

Wenn der Verstoß sensible Daten berührt, für die eine Benachrichtigung der Strafverfolgungsbehörden erforderlich ist, sollte das Team dies einleiten und die in den IT-Richtlinien festgelegten Verfahren befolgen.

Normalerweise führt ein Angriff zu Diebstahl, Missbrauch, Korruption oder anderen nicht autorisierten Aktivitäten an sensiblen Daten wie vertraulichen, persönlichen, privaten und geschäftlichen Informationen. Aus diesem Grund ist es wichtig, die Betroffenen zu informieren, damit sie Vorsichtsmaßnahmen treffen und ihre kritischen Daten wie finanzielle, persönliche und andere vertrauliche Informationen schützen können.

Wenn ein Angreifer beispielsweise auf Benutzerkonten zugreifen kann, sollten die Sicherheitsteams ihn benachrichtigen und ihn auffordern, seine Kennwörter zu ändern.

Führen Sie eine Überprüfung nach dem Vorfall durch

Die Lösung eines Vorfalls bietet auch Erkenntnisse, und Teams können ihre Sicherheitslösung analysieren und die Schwachstellen beheben einen ähnlichen Vorfall in Zukunft verhindernZu den Verbesserungen gehört die Bereitstellung besserer Sicherheits- und Überwachungslösungen für interne und externe Bedrohungen, die Aufklärung der Mitarbeiter und Benutzer über Sicherheitsbedrohungen wie Phishing, Spam, Malware und andere, die sie vermeiden sollten.

Andere Schutzmaßnahmen sind das Ausführen der neuesten und effektivsten Sicherheitstools, das Patchen der Server, das Beheben aller Schwachstellen auf Client- und Servercomputern usw..

Fallstudie zur Reaktion auf Zwischenfälle in der NIC Asia Bank in Nepal

Eine unzureichende Erkennungsfähigkeit oder Reaktion kann zu übermäßigen Schäden und Verlusten führen. Ein Beispiel ist die nepalesische NIC Asia Bank, die nach einem Geschäftsprozesskompromiss im Jahr 2017 etwas Geld verloren und wieder eingezogen hat. Angreifer haben das SWIFT kompromittiert und betrügerisch Geld von der Bank auf verschiedene Konten in Großbritannien, Japan, Singapur und den USA überwiesen.

Glücklicherweise entdeckten die Behörden die illegalen Transaktionen, konnten jedoch nur einen Bruchteil des gestohlenen Geldes zurückerhalten. Hätte es ein besseres Warnsystem geben können, hätten die Sicherheitsteams den Vorfall zu einem früheren Zeitpunkt erkannt, möglicherweise bevor die Angreifer den Geschäftsprozesskompromiss erfolgreich abgeschlossen hatten.

Da dies ein komplexes Sicherheitsproblem in anderen Ländern war, musste die Bank die Strafverfolgungs- und Ermittlungsbehörden informieren. Der Umfang lag auch außerhalb des internen Incident-Response-Teams der Bank und damit der Anwesenheit externer Teams von KPMG, der Zentralbank und anderen.

Eine forensische Untersuchung durch externe Teams ihrer Zentralbank ergab, dass der Vorfall möglicherweise auf Insider-Fehlverhalten zurückzuführen ist, das kritische Systeme aufgedeckt hat.

Einem Bericht zufolge hatten die damals sechs Bediener den dedizierten SWIFT-Systemcomputer für andere nicht verwandte Aufgaben verwendet. Dies hat möglicherweise das SWIFT-System freigelegt, sodass Angreifer es gefährden können. Nach dem Vorfall verlegte die Bank die sechs Mitarbeiter in andere weniger sensible Abteilungen.

Gewonnene Erkenntnisse: Die Bank sollte ein wirksames Überwachungs- und Warnsystem eingerichtet haben, um ein angemessenes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen und strenge Richtlinien durchzusetzen.

Fazit

Eine gut geplante Reaktion auf Vorfälle, ein gutes Team und relevante Sicherheitstools und -praktiken geben Ihrem Unternehmen die Möglichkeit, schnell zu handeln und eine Vielzahl von Sicherheitsproblemen zu lösen. Dies reduziert Schäden, Betriebsstörungen, Datendiebstahl, Reputationsverlust und potenzielle Verbindlichkeiten.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map