Incident Response Plan
Cyber-Kriminalität: Richtiges Verhalten bei DDoS-Angriffen
Fortsetzung des Artikels von Teil 1
Rückverfolgung und Reaktion
4. Rückverfolgung – Woher stammt der Angriff?
Unternehmen sollten versuchen, die Angriffsquelle festzustellen. Wo hat der Angriff seinen Ausgangspunkt? Wo und wie wirkt er sich auf das Netzwerk aus? Auf der Basis dieser Informationen können Verantwortliche klären, ob auch andere im Netzwerk festgestellte Probleme auf diesen Angriff zurückgehen.
5. Reaktion – ein vielfältiges Toolkit einsetzen
Mit den Informationen, die Unternehmen durch das Identifizieren, Klassifizieren und Rückverfolgen eines Angriffs gewinnen, können sie sicherstellen, dass sie für den jeweiligen Angriff die am besten geeignete Abwehrmaßnahme einsetzen. Es gibt allerdings kein universelles Tool oder Verfahren, das alle Eventualitäten abdeckt. Es zahlt sich daher aus, ein möglichst vielfältiges Toolkit einzusetzen und die Reaktionsmaßnahmen weitestgehend zu automatisieren.
6. Analyse nach dem Vorfall – Erkenntnisse in den IR-Plan einfließen lassen
Im letzten Schritt sollte der Sicherheitsvorfall analysiert werden. Welche Konsequenzen lassen sich daraus ziehen? Was kann verbessert werden? Gibt es einen Schritt, der generell übersehen wurde? Wie lässt sich erreichen, dass beim nächsten Mal die Reaktion schneller und einfacher erfolgt und die Folgen weniger gravierend sind? Unternehmen sollten alle konkreten Erkenntnisse und Schlussfolgerungen in Punkt eins einfließen lassen und so den IR-Plan stets aktualisieren und verbessern.
Fazit
Bei der DDoS-Abwehr wird heute von den meisten Sicherheitsanalysten eine hybride Lösung aus Cloud- und On-Premise-Komponenten als Best Practice empfohlen. Denn bei ausschließlicher Nutzung eines Cloud-Diensts liegt es oft im Verantwortungsbereich des Unternehmens, den Service Povider über einen Angriff zu informieren. On-Premise implementierte DDoS-Lösungen bieten wiederum eine hohe Netzwerktransparenz und verfügen über integrierte Gegenmaßnahmen. Diese werden bei Erkennung eines Angriffs automatisch und ohne manuelle Intervention eingeleitet – im Normalfall bevor das Unternehmen überhaupt auf den Angriff aufmerksam wird. Eine derartige Automatisierung ist zwar ein entscheidender Vorteil für die Reaktionsfähigkeit bei Sicherheitsvorfällen. Unternehmen sollten sich aber nicht ausschließlich hierauf verlassen, sondern zusätzlich einen soliden und verlässlichen Incident-Response-Plan parat haben. Denn ohne diesen können sich Investitionen in technische Schutz- und Abwehrmechanismen im schlimmsten Fall als wirkungslos erweisen, weil das Unternehmen zu spät reagiert. Und auch laut BSI sind neben technischen Maßnahmen, vor allem organisatorische Bestimmungen essenziell wichtig, um sich im Ernstfall zeitnah schützen zu können.
Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor
- Cyber-Kriminalität: Richtiges Verhalten bei DDoS-Angriffen
- Rückverfolgung und Reaktion
- Exkurs: Beispiel aus der Praxis
Lesen Sie mehr zum Thema
