IT-Forensik
Dem Hacker auf der Spur
Fortsetzung des Artikels von Teil 3
Wichtige Elemente in der IT-Sicherheitsstrategie
Unter dem Begriff „Incident Response“ versteht man eine speziell auf die Unternehmensbedürfnisse zugeschnittene Vorgehensweise, mit der möglichst viele Informationen über sicherheitsrelevante Vorfälle gesammelt und ausgewertet werden. Im Wesentlichen lassen sich Incident Response-Prozesse in die folgenden Phasen einteilen: Erkennen, Vorbereiten, Analysieren, Eindämmen sowie post-mortem Aktivitäten. Incident Response-Prozesse sollten so detailliert wie möglich aufgesetzt werden, um im Ernstfall schnell handlungsfähig zu sein. Darüber hinaus empfiehlt sich der Aufbau eines kontinuierlichen Incident Management-Programms. Dieses erlaubt, potenzielle Risiken so einzuschätzen, dass sich entsprechende Response-Pläne entwickeln, testen und kontinuierlich aktualisieren lassen. Organisationen können verschiedene Ansätze verfolgen, um sich zu wehren: Sie haben die Möglichkeit, interne Lösungsansätze zu nutzen und ihre Informationsquellen entsprechend zu korrelieren, um die Verdachtsfälle und Attacken gegeneinander abzugleichen. Der Aufwand ist jedoch sehr groß und es bedarf eines gut aufgestellten IT-Security-Operation-Teams, um diese Aufgabe zu stemmen. Zudem können Unternehmen so nicht auf die Erkenntnisse und Erfahrungen anderer Unternehmen und Organisationen zurückgreifen, sondern sind bei ihren Analysen auf ihren eigenen Datenverkehr beschränkt.
Unternehmen können aber auch mit Sicherheits-Dienstleistern zusammenarbeiten und diverse Security-Leistungen, die intern im Unternehmen aufgrund von personellen Engpässen oder fehlenden IT-Sicherheitslösungen nicht umgesetzt werden können, als Managed Services einkaufen. Diese setzen dann unmittelbar auf die IT-Security auf. Der Vorteil: die Service Provider verfügen über ein globales Netzwerk von IT-Security-Analysten. Die weltweiten Sicherheitsforschungszentren stellen präzise Analysen der IT-Sicherheitsbedrohungen wie Malware, Sicherheitsrisiken, Sicherheitslücken sowie Spam zur Verfügung und bieten Schutz vor diesen Gefahren. Damit können die Forensik-Ergebnisse eines einzelnen Unternehmens mit den Ergebnissen weltweiter Kundenumgebungen einer Branche korreliert und Übereinstimmungen in der Vorgehensweise mit bekannten Angriffs-codes identifiziert werden. Zusammen mit den Daten des Kunden lassen sich so konkrete Hinweise auf die Angreifer und ihre Methoden ermitteln. Ein anschauliches Beispiel dafür sind die vorne beschriebenen Angriffe mithilfe des Swift-Bankensystems.
Letztlich müssen Unternehmen so schnell und präzise wie möglich auf Cyberattacken reagieren, um größeren Schaden zu verhindern. Dazu sind so viele Informationen wie möglich über die Angreifer im Netz sowie deren Taktik und Angriffstechnologien notwendig. Im engen Zusammenspiel liefern das Dreigestirn aus Vorbereitung (Entwicklung eines zuverlässigen Incident Response-Prozesses), Angriffserkennung (Nutzung von Cyber Intelligence) sowie den Gegenmaßnahmen (Incident Response) einen wertvollen Beitrag zur IT-Sicherheit in Unternehmen. Denn im digitalen Zeitalter ist Sicherheit eine unternehmenskritische Größe: Sie trägt entscheidend zum Fortbestehen eines Unternehmens bei – diese Erkenntnis ist mittlerweile auch im Management von Unternehmen angekommen.
Lars Kroll ist Cyber Security Strategist bei Symantec
- Dem Hacker auf der Spur
- Digitale Spurensuche und Beweissicherung im Netz
- Cyberinsurance und SIEM
- Wichtige Elemente in der IT-Sicherheitsstrategie
- Expertenkommentar: Die Herausforderungen der Zukunft meistern
- Expertenkommentar: Echtzeitigbetrachung ist notwendig
Lesen Sie mehr zum Thema
