Incident Response Plan Management
Incident Response ist nicht anders als jeder andere Aspekt der Informationssicherheit. Sie erfordert eine durchdachte Planung, eine fortlaufende Überwachung und klare Messgrößen, damit die Anstrengungen richtig gemessen werden können. Zu den laufenden Managementinitiativen gehören das Festlegen und Überwachen von Zielen für die Reaktion auf Vorfälle, das regelmäßige Testen der IRP, um ihre Effektivität zu gewährleisten, und die Schulung aller erforderlichen Parteien zu den anwendbaren Verfahren für die Reaktion auf Vorfälle. Spezifische Kennzahlen zur Messung der Effektivität von Incident-Response-Initiativen können sein:
- Anzahl der erkannten Vorfälle.
- Anzahl der übersehenen Vorfälle.
- Anzahl der Vorfälle, die Maßnahmen erfordern.
- Anzahl der wiederholten Vorfälle.
- Der Zeitrahmen für die Behebung.
- Anzahl der Vorfälle, die zu Sicherheitsverletzungen geführt haben.
Zusätzlich können die Ziele für die Reaktion auf Vorfälle folgende Bereiche umfassen:
- Überprüfungen und Aktualisierungen des Routineplans für die Reaktion auf Vorfälle.
- Planung und Durchführung von Testszenarien für die Reaktion auf Vorfälle.
- Integrationsfragen mit verwandten Sicherheitsinitiativen, wie z.B. Sicherheitsbewusstsein, technische Erkennungssysteme, Mitarbeiterschulungen und Schwachstellen- und Penetrationstests.
- Die Meldung von Sicherheitsereignissen an die Geschäftsleitung oder externe Parteien.
- Die Beschaffung zusätzlicher Technologien, die eine bessere Sichtbarkeit und Kontrolle des Netzwerks ermöglichen.
Incident-Response-Pläne vs. Business-Continuity-Pläne
Mit dem Ziel, den normalen Betrieb aufrechtzuerhalten und die Auswirkungen unvorhergesehener Ereignisse zu minimieren, kann die Incident Response als Teil des Business-Continuity-Prozesses betrachtet werden. In Anbetracht dessen, was auf dem Spiel steht, und der verschiedenen Variablen, die involviert sind, wie Menschen, Technologien und Geschäftsprozesse, sollte die Vorfallsreaktion den höchsten Stellenwert innerhalb der Organisation haben. Ein IRP widmet sich Vorfällen und Verstößen, die sich auf Netzwerke und Computer, Anwendungen und Datenbanken und damit verbundene Informationswerte auswirken. Daher ist es für die meisten Unternehmen am besten, den Plan für die Reaktion auf Vorfälle in einem eigenständigen Dokument aufzubewahren – getrennt vom Business-Continuity-Plan, aber mit Verweis auf diesen. Das Wichtigste ist, dass der Incident-Response-Plan für alle Teammitglieder leicht zugänglich ist, wenn er benötigt wird.
Tools für die Reaktion auf Vorfälle
Es gibt zahlreiche Tools und Methoden, die zur Unterstützung bei der Reaktion auf Vorfälle eingesetzt werden können und typischerweise nach Präventions-, Erkennungs- oder Reaktionsfunktionalitäten kategorisiert werden, Erkennung oder Reaktion kategorisiert. Einige Organisationen folgen der vom Militär abgeleiteten OODA-Schleife für die Reaktion auf Vorfälle. Die OODA-Schleife ist eine Methodik, die ein Unternehmen dazu ermutigt, zu beobachten, sich zu orientieren, zu entscheiden und zu handeln, wenn ein Vorfall eintritt, wobei IR-Tools helfen können.
Zum Beispiel kann ein Unternehmen mit Paketanalyse, Systemressourcen-Überwachung und Datei-Integritätsprüfungs-Technologien den notwendigen Einblick in einen Vorfall gewinnen. Einblicke in Bedrohungen können mit Echtzeit-Bedrohungsindikatoren und Threat Intelligence Services gewonnen werden. Darüber hinaus gibt es Tools, die forensische Details wie den Standort der Quelle, technische Informationen zum Vorfall und Ereigniswiedergaben liefern können. Es gibt auch Tools, die es einer Organisation ermöglichen, gegen eine Bedrohung vorzugehen, indem sie deren Ausbreitung stoppen oder die Auswirkungen auf die Computerumgebung minimieren.
Während die Reaktion auf einen Vorfall ein Prozess ist, kann Technologie eingesetzt werden, um bestimmte Funktionen zur Reaktion auf einen Vorfall zu automatisieren und zu rationalisieren und so die Erkennungszeiten und Systemfehler zu minimieren. Dienstleister, die sich auf die Entwicklung von Incident-Response-Technologie konzentrieren, bieten typischerweise Produkte in den folgenden Kategorien an:
- Mitarbeiteraufklärung und -schulung;
- Endpunkt-Sicherheitsmanagement;
- Firewall, Intrusion Prevention und DoS-Mitigation;
- forensische Analyse;
- Netzfluss- und Datenverkehrsanalyse;
- Security Incident and Event Management (SIEM); und
- Schwachstellenmanagement.
Werkzeuge zur Reaktion auf Vorfälle bieten Unternehmen sowohl Transparenz als auch Kontrolle. Außerdem versorgen sie Fachleute mit den notwendigen Informationen, die sie für den Umgang mit dem anomalen Verhalten benötigen. Und schließlich helfen Incident-Response-Tools bei der direkten Reaktion – so können Unternehmen die damit verbundenen Risiken minimieren.
Die meisten Technologieprodukte im Bereich Incident Response sind kommerziell und erfordern eine entsprechende Budgetierung für Kapital- und Betriebsausgaben. Alternativ dazu gibt es zahlreiche Open-Source-Software-Angebote, die auf die Anforderungen einer Organisation zugeschnitten werden können. Bei der Wahl des Open-Source-Ansatzes ist es wichtig abzuwägen, wie hoch der Aufwand ist, wie effizient er skaliert werden kann und wie effektiv er langfristig ist.
Sobald die Incident-Response-Tools eingeführt sind, muss sichergestellt werden, dass genügend Personal und Fachwissen vorhanden sind, um sie zu warten und zu aktualisieren. Die notwendigen Ressourcen sind sowohl für die anfängliche Entwicklung und Implementierung der Technologie als auch für die laufende Verwaltung und Fehlerbehebung von entscheidender Bedeutung.
Schließlich müssen Führungskräfte bedenken, dass Incident Response Tools nicht das gesamte Incident Response Programm umfassen können. Tools und Automatisierung können zwar eine große Rolle spielen, sollten aber dennoch nur eine Komponente der gesamten Incident-Response-Anforderungen sein.