Skip to content
Natuurondernemer
    Juni 30, 2020 by admin

    Incident Response Planning: A Checklist for Building Your Cyber Security Incident Response Plan

    Incident Response Planning: A Checklist for Building Your Cyber Security Incident Response Plan
    Juni 30, 2020 by admin

    Dieser Beitrag wurde zuletzt am 10. März 2021 um 09:27 Uhr aktualisiert

    Ist Ihr Unternehmen darauf vorbereitet, auf eine Sicherheitsverletzung oder einen Cyberangriff zu reagieren? Nach Ansicht vieler Sicherheitsexperten ist es eine Frage des „wann“ und nicht des „ob“ Ihr Unternehmen einen schwerwiegenden Cybersecurity-Vorfall erleben wird. Ein Plan zur Reaktion auf einen Vorfall ist Ihre beste Chance, Ihr Unternehmen vor den Auswirkungen einer Datenverletzung zu schützen. Die Zeit, Ihre Reaktion auf Sicherheitsvorfälle zu planen und vorzubereiten – was auch immer sie sein mögen – ist lange bevor sie überhaupt passieren.

    Was ist ein Sicherheitsvorfall-Reaktionsplan?

    Ein Sicherheitsvorfall-Reaktionsplan (oder IR-Plan) ist eine Reihe von Anweisungen, die Unternehmen helfen sollen, sich auf Sicherheitsvorfälle im Netzwerk vorzubereiten, diese zu erkennen, darauf zu reagieren und sich davon zu erholen. Die meisten IR-Pläne sind technologieorientiert und behandeln Themen wie Malware-Erkennung, Datendiebstahl und Service-Ausfälle. Jeder bedeutende Cyberangriff kann jedoch ein Unternehmen in mehreren Funktionen beeinträchtigen, so dass der Plan auch Bereiche wie Personalwesen, Finanzen, Kundenservice, Mitarbeiterkommunikation, Recht, Versicherung, Öffentlichkeitsarbeit, Aufsichtsbehörden, Lieferanten, Partner, lokale Behörden und andere externe Stellen umfassen sollte.

    Es gibt branchenübliche Incident-Response-Frameworks von Organisationen wie NIST und SANS, die allgemeine Richtlinien für die Reaktion auf einen aktiven Vorfall enthalten. Der IR-Plan Ihres Unternehmens sollte jedoch sehr viel spezifischer und umsetzbarer sein – er sollte detailliert beschreiben, wer was wann tun sollte. Wir haben eine Checkliste zusammengestellt, um die wichtigsten Komponenten eines Cyber-IR-Plans zu skizzieren und Ihnen dabei zu helfen, die richtige Art von Leitfaden für Ihr eigenes Unternehmen zu erstellen.

    In jedem Fall – ob Sie eine Vorlage für einen Vorfallsreaktionsplan nutzen oder Ihren eigenen IR-Plan erstellen – bleiben die Ziele die gleichen: Schaden minimieren, Ihre Daten schützen und Ihrem Unternehmen helfen, sich so schnell wie möglich von dem Vorfall zu erholen.

    Wie man einen Incident Response Plan erstellt

    Jedes Unternehmen mit digitalen Assets (Computer, Server, Cloud-Workloads, Daten, etc.) hat das Potenzial, einen Cyber-Angriff oder eine Datenverletzung zu erleben. Leider merken die meisten Unternehmen nicht, dass sie eine Datenverletzung erlitten haben, bis es zu spät ist. Die Erstellung eines Reaktionsplans für Cybersecurity-Vorfälle hilft Ihnen, sich auf das Unvermeidliche vorzubereiten und Ihr IT-Sicherheitsteam in die Lage zu versetzen, vor, während und nach einem Cyberangriff zu reagieren. Dieser Blog-Beitrag geht zwar nicht so sehr in die Tiefe und ins Detail wie ein echter Incident-Response-Plan, aber er hilft Ihnen, die Schlüsselfaktoren und Überlegungen in jeder Phase des Incident-Response-Prozesses zu verstehen: Vorbereitung, Erkennung, Reaktion, Wiederherstellung und Nachbereitung des Vorfalls.

    Idealerweise sollte Ihr Incident-Response-Plan fortlaufend genutzt werden – ein lebendiges Dokument, das wiederkehrende Erkennungs- und Reaktionsaktivitäten (Bedrohungssuche, Untersuchung von Cybervorfällen, Reaktion auf Vorfälle und Behebung/Wiederherstellung) vorantreibt. Durch die Durchführung laufender Erkennungs- und Incident-Response-Aktivitäten können Sie die IT- und Sicherheitshygiene verbessern und Ihr Unternehmen besser vor unbekannten Bedrohungen und versteckten Angreifern schützen und möglicherweise eine Datenverletzung verhindern.

    Für diesen Blog haben wir den Planungsprozess für die Incident Response in fünf Phasen unterteilt: Vorbereitung, Erkennung, Reaktion, Wiederherstellung und Nachbereitung.

    Vorbereitung

    Die Vorbereitung ist die erste Phase der Incident-Response-Planung und wohl die wichtigste zum Schutz Ihres Unternehmens und Ihrer digitalen Assets. Während der Vorbereitungsphase dokumentieren, skizzieren und erklären Sie die Rollen und Verantwortlichkeiten Ihres IR-Teams, einschließlich der Festlegung der zugrundeliegenden Sicherheitsrichtlinien, die die Entwicklung Ihres IR-Plans leiten werden.

    • Bestimmen Sie den genauen Standort, die Sensibilität und den relativen Wert aller Informationen in Ihrem Unternehmen, die geschützt werden müssen.
    • Schätzen Sie ab, ob Sie derzeit über ausreichende IT-Ressourcen verfügen, um auf einen Angriff zu reagieren, oder ob Unterstützung durch Dritte erforderlich wäre.
    • Gewinnen Sie die Zustimmung der Geschäftsleitung, damit der Plan von der Unternehmensspitze vollständig genehmigt wird.
    • Zuweisen von Rollen und Verantwortlichkeiten für alle relevanten Interessengruppen, einschließlich IT, Personalabteilung, interne Kommunikation, Kundensupport, Rechtsabteilung, PR und Berater.
    • Etablieren Sie eine Befehlskette, die sowohl IT- als auch Unternehmensleiter einschließt. Wer ist der Vorfallkommandant? Wer startet den Reaktionsplan für den Vorfall? Wer hat die Befugnis, die Arbeit zu stoppen, wie z. B. die Notabschaltung von Unternehmenswebsites?
    • Stellen Sie den Workflow für die Reaktion auf einen Vorfall unter den verschiedenen Beteiligten dar. Wann ist die Personalabteilung involviert? Wann ist die Rechtsabteilung involviert? Wann werden die Medien alarmiert? Wann werden externe Behörden involviert?
    • Sammeln und aktualisieren Sie die 24/7/365-Kontaktinformationen (E-Mail, Text, VOIP, etc.) für alle Mitglieder des Incident Response Teams, ihre Backups und Manager. Richten Sie alternative Kommunikationskanäle ein, falls die regulären Kanäle gefährdet oder nicht verfügbar sind.

    • Identifizieren Sie die regulatorischen Anforderungen an die Cybersicherheit für das Unternehmen über alle Funktionen hinweg und entwickeln Sie einen Leitfaden für die Interaktion mit Strafverfolgungsbehörden und anderen staatlichen Stellen im Falle eines Vorfalls.
    • Entwickeln und pflegen Sie eine Liste bevorzugter Technologieanbieter für Forensik, Hardware-Austausch und verwandte Dienstleistungen, die vor, während oder nach einem Vorfall benötigt werden könnten.
    • Etablieren Sie Verfahren für IT-Teams, um klare, umsetzbare Warnungen über alle erkannte Malware zu erhalten. Spezifische Erklärungen können Teammitgliedern helfen, die Warnung nicht als falsches Positiv abzutun.
    • Speichern Sie privilegierte Zugangsdaten, einschließlich Passwörter und SSH-Schlüssel, in einem sicheren, zentralen Tresor.
    • Rotieren Sie automatisch privilegierte Zugangsdaten, isolieren Sie privilegierte Kontositzungen für temporäre Mitarbeiter und scannen Sie regelmäßig nach verwaisten Konten ehemaliger Mitarbeiter, die immer noch unautorisierten Zugriff ermöglichen könnten.
    • Bitten Sie Mitarbeiter, verdächtige E-Mails und Aktivitäten zu melden, die die Netzwerksicherheit gefährden könnten.
    • Stellen Sie sicher, dass Sie ein sauberes System zur Wiederherstellung bereit haben, vielleicht mit einem kompletten Re-Image eines Systems oder einer vollständigen Wiederherstellung von einem sauberen Backup.
    • Erstellen Sie einen umfassenden und integrierten Kommunikationsplan, um sowohl interne als auch externe Zielgruppen schnell, genau und konsistent über Vorfälle zu informieren.

    Erkennung & Analyse

    Die Erkennungsphase der Reaktion auf Sicherheitsvorfälle und der IR-Planung umfasst die Überwachung, Erkennung, Alarmierung und Berichterstattung über Sicherheitsvorfälle. Dazu gehört die Identifizierung bekannter, unbekannter und verdächtiger Bedrohungen – also solcher, die bösartig zu sein scheinen, für die aber zum Zeitpunkt der Entdeckung nicht genügend Daten zur Verfügung stehen, um eine Entscheidung in die eine oder andere Richtung zu treffen.

    Wenn eine Spur, eine Bedrohung oder ein Sicherheitsvorfall entdeckt wird, sollte Ihr Incident-Response-Team sofort (wenn nicht sogar automatisch mit Hilfe von Cyber Incident Response Software) zusätzliche Informationen sammeln und dokumentieren – forensische Beweise, Artefakte und Code-Samples -, um den Schweregrad, die Art und die Gefahr des Vorfalls zu bestimmen und diese Daten zu speichern, um sie zu einem späteren Zeitpunkt für die Verfolgung des/der Angreifer(s) zu verwenden.

    • Entwickeln Sie eine proaktive Erkennungsstrategie, die auf Tools basiert, die Ihre physischen und virtuellen Hosts, Systeme und Server automatisch auf verwundbare Anwendungen, Identitäten oder Konten überprüfen können.
    • Ziehen Sie herkömmliche Lösungen wie EDR-Plattformen (Endpoint Detection and Response), NGAV-Software (Next-Gen Antivirus) oder UEBA/UBA-Tools (User/Entity Behavior Analytics) zur Erkennung von Malware in Betracht.
    • Ziehen Sie auch Tiefenanalyse- und Forensik-Funktionen in Betracht, die den Zustand eines Endpunkts beurteilen können, indem sie überprüfen, was zu einem bestimmten Zeitpunkt im Speicher ausgeführt wird.
    • Führen Sie Kompromissbewertungen durch, um zu überprüfen, ob in ein Netzwerk eingedrungen wurde, und identifizieren Sie schnell das Vorhandensein von bekannter oder Zero-Day-Malware und anhaltenden Bedrohungen – aktiv oder inaktiv -, die Ihre bestehenden Cybersecurity-Abwehrmaßnahmen umgangen haben.

    Reaktion

    Die Reaktion auf Sicherheitsvorfälle kann verschiedene Formen annehmen. Zu den Maßnahmen zur Reaktion auf einen Vorfall kann das Triaging von Warnungen aus Ihren Endpunkt-Sicherheitstools gehören, um festzustellen, welche Bedrohungen real sind und/oder mit welcher Priorität auf Sicherheitsvorfälle reagiert werden muss. Zu den Maßnahmen zur Reaktion auf einen Vorfall kann auch die Eindämmung und Neutralisierung der Bedrohung(en) gehören – das Isolieren, Herunterfahren oder anderweitige „Trennen“ infizierter Systeme von Ihrem Netzwerk, um die Ausbreitung des Cyberangriffs zu verhindern. Darüber hinaus gehören zu den Maßnahmen zur Reaktion auf einen Vorfall auch die Beseitigung der Bedrohung (bösartige Dateien, versteckte Hintertüren und Artefakte), die zu dem Sicherheitsvorfall geführt haben.

    • Sofortige Eindämmung von Systemen, Netzwerken, Datenspeichern und Geräten, um das Ausmaß des Vorfalls zu minimieren und ihn davon abzuhalten, weitreichenden Schaden anzurichten.
    • Bestimmen Sie, ob sensible Daten gestohlen oder beschädigt wurden und, falls ja, wie hoch das potenzielle Risiko für Ihr Unternehmen ist.
    • Beseitigen Sie infizierte Dateien und ersetzen Sie, falls nötig, Hardware.
    • Führen Sie ein umfassendes Protokoll des Vorfalls und der Reaktion, einschließlich der Zeit, der Daten, des Ortes und des Ausmaßes des Schadens durch den Angriff. War es intern, extern, ein Systemalarm oder eine der zuvor beschriebenen Methoden? Wer hat ihn entdeckt, und wie wurde der Vorfall gemeldet? Listen Sie alle Quellen und Zeiten auf, die der Vorfall durchlaufen hat. In welchem Stadium wurde das Sicherheitsteam involviert?

    • Bewahren Sie alle Artefakte und Details des Verstoßes für die weitere Analyse des Ursprungs, der Auswirkungen und der Absichten auf.
    • Erstellen und veröffentlichen Sie so bald wie möglich öffentliche Erklärungen, die so genau wie möglich die Art des Verstoßes, die Ursachen, das Ausmaß des Angriffs, die Schritte zur Behebung und einen Überblick über zukünftige Updates beschreiben.
    • Aktualisieren Sie alle Firewalls und die Netzwerksicherheit, um Beweise zu sichern, die später für die Forensik verwendet werden können.
    • Schalten Sie das Rechtsteam ein und untersuchen Sie die Compliance und Risiken, um zu sehen, ob der Vorfall Auswirkungen auf irgendwelche Vorschriften hat.
    • Kontaktieren Sie gegebenenfalls die Strafverfolgungsbehörden, da der Vorfall auch andere Organisationen betreffen kann. Zusätzliche Informationen über den Vorfall können helfen, den Vorfall zu beseitigen, den Umfang zu identifizieren oder bei der Zuordnung zu helfen.

    Wiederherstellung und Nachbereitung

    Zu den Aktivitäten nach dem Vorfall (Wiederherstellungs- und Nachbereitungsmaßnahmen) gehören die Beseitigung des Sicherheitsrisikos, die Überprüfung und Berichterstattung über den Vorfall, die Aktualisierung Ihrer Bedrohungsdaten mit neuen Informationen darüber, was gut und was schlecht ist, die Aktualisierung Ihres IR-Plans mit den aus dem Sicherheitsvorfall gewonnenen Erkenntnissen und die Bestätigung und erneute Bestätigung, dass Ihre Umgebung tatsächlich frei von der/den Bedrohung(en) ist, durch eine Bewertung der Gefährdung der Cybersicherheit nach dem Vorfall oder eine Sicherheits- und IT-Risikobewertung.

    Wiederherstellung

    • Beseitigen Sie das Sicherheitsrisiko, um sicherzustellen, dass der Angreifer keinen erneuten Zugriff erlangen kann. Dazu gehören das Patchen von Systemen, das Sperren des Netzwerkzugangs und das Zurücksetzen von Passwörtern kompromittierter Konten.
    • Erstellen Sie während des Ausrottungsschritts eine Ursachenermittlung, um den verwendeten Angriffspfad zu ermitteln, damit die Sicherheitskontrollen verbessert werden können, um ähnliche Angriffe in Zukunft zu verhindern.
    • Durchführen einer unternehmensweiten Schwachstellenanalyse, um festzustellen, ob möglicherweise weitere Schwachstellen vorhanden sind.
    • Wiederherstellung des Zustands der Systeme vor dem Vorfall. Prüfen Sie auf Datenverluste und stellen Sie sicher, dass die Systemintegrität, -verfügbarkeit und -vertraulichkeit wiederhergestellt wurde und der Betrieb wieder normal läuft.
    • Sammeln Sie weiterhin Protokolle, Speicherabzüge, Audits, Netzwerkverkehrsstatistiken und Festplattenabbilder. Ohne eine ordnungsgemäße Beweissammlung ist die digitale Forensik nur eingeschränkt möglich, sodass eine Nachuntersuchung nicht stattfinden kann.

    Nachbereitung

    • Füllen Sie einen Bericht über die Reaktion auf den Vorfall aus und beziehen Sie alle Bereiche des Unternehmens ein, die von dem Vorfall betroffen waren.
    • Bestimmen Sie, ob das Management mit der Reaktion zufrieden war und ob das Unternehmen weiter in Personal, Training oder Technologie investieren muss, um seine Sicherheitslage zu verbessern.
    • Teilen Sie Ihre Erfahrungen mit. Was ist gut gelaufen, was nicht und wie können die Abläufe in Zukunft verbessert werden?
    • Überprüfen, testen und aktualisieren Sie den Reaktionsplan auf Cybersecurity-Vorfälle regelmäßig, wenn möglich jährlich.
    • Führen Sie regelmäßig eine Kompromissbewertung oder andere Sicherheitsscans durch, um den Zustand von Systemen, Netzwerken und Geräten sicherzustellen.
    • Aktualisieren Sie die Pläne für die Reaktion auf Vorfälle nach einer Umstrukturierung der Abteilung oder einer anderen größeren Umstellung.
    • Informieren Sie alle Beteiligten über die neuesten Trends und neue Arten von Datenschutzverletzungen, die auftreten.

    Abschluss

    Das Ziel unserer Checkliste für den Reaktionsplan auf Cybervorfälle ist es, Ihr IT-Sicherheitsteam bei der Entwicklung eines umfassenden, koordinierten, wiederholbaren und effektiven Reaktionsplans auf Vorfälle zu unterstützen.

    Bitte bedenken Sie, dass die Entwicklung eines Cybersecurity-IR-Plans niemals eine einmalige Übung ist. Ohne regelmäßiges Incident-Response-Training und IR-Übungen, einschließlich Live-Cyber-Angriffsszenarien, können Unternehmen und ihre IT-Sicherheitsteams leider plötzlich von Hackern ausmanövriert werden, die ihre Angriffsstrategien/TTPs und die Wahl ihrer Malware ändern.

    Was in der Vergangenheit funktioniert hat, funktioniert morgen vielleicht nicht mehr. Der richtige Plan für die Reaktion auf Sicherheitsvorfälle sollte ein lebendiges Dokument sein, das mit der sich schnell entwickelnden Bedrohungslandschaft von heute Schritt hält.

    Laden Sie unsere Cybersecurity IR Plan Checklist herunter, um mit der Erstellung Ihres eigenen Plans für die Reaktion auf Sicherheitsvorfälle zu beginnen, oder kontaktieren Sie uns, um eine Beratung oder eine Kompromissbewertung anzufordern oder um zu erfahren, wie Infocyte eine schnelle, flexible und kostengünstige Erkennung von Bedrohungen und Reaktion auf Vorfälle ermöglicht.

    Previous articleIGOR MAZURENKO - TRAINING FOR THE BEGINNERS # 1 # Armwrestling # Armpower.netNext article Pflege eines geschlossenen Saugdrainageschlauches

    Schreibe einen Kommentar Antworten abbrechen

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Neueste Beiträge

    • Sich selbst (und andere…) in Jahrbüchern online finden
    • Wie man einen Bitcoin-ASIC-Miner einrichtet
    • Chris Martin feiert Geburtstag in Disneyland mit Dakota Johnson
    • Was ist ein Superfund-Standort?
    • Angelköder-Blutwürmer haben Bienenstiche
    • Echolalie: Die Fakten jenseits von „Papageiensprache“, Skripting und Echoing
    • Herr der Fliegen Zitate
    • A Beginner’s Guide to Pegging
    • 42 Healthy Crockpot Soup Recipes
    • 3 überraschende Risiken einer schlechten Körperhaltung

    Archive

    • April 2021
    • März 2021
    • Februar 2021
    • Januar 2021
    • Dezember 2020
    • November 2020
    • Oktober 2020
    • September 2020
    • August 2020
    • Juli 2020
    • Juni 2020
    • Mai 2020
    • April 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Anmelden
    • Feed der Einträge
    • Kommentare-Feed
    • WordPress.org
    Posterity WordPress Theme