Incident-Response-Planung
Bereit für den Ernstfall
Fortsetzung des Artikels von Teil 1
Definierte Abwehrmaßnahmen
4. Security-Tools bereitstellen: Am besten schützen sich Unternehmen vor Vorfällen, indem sie bereits im Vorfeld sicherstellen, dass geeignete Schutzmaßnahmen für Endpoints, Netzwerk, Server, Cloud, Mobilgeräte und E-Mails vorhanden sind.
5. Für maximale Transparenz sorgen: Ohne Transparenz über alle Vorgänge während eines Angriffs wird ein Unternehmen Schwierigkeiten haben, angemessen zu reagieren. Bevor es zu einem Angriff kommt, sollten IT- und Sicherheitsteams sicherstellen, dass sie über das nötige Handwerkszeug verfügen, um das Ausmaß und die Folgen eines Angriffs zu bestimmen, einschließlich der Ermittlung von Eintritts- und Persistenzpunkten der Angreifer. Um sich vollständige Transparenz zu verschaffen, müssen sie auch Protokolldaten sammeln, wobei der Schwerpunkt auf Endpoint- und Netzwerkdaten liegt. Viele Angriffe fallen erst nach Tagen oder Wochen auf. Daher sollte das Sicherheitsteam Verlaufsdaten unbedingt über mehrere Tage oder Wochen, gegebenenfalls sogar Monate speichern und Backups erstellen, um im Bedarfsfall zur Vorfallsanalyse darauf zurückgreifen zu können.
6. Zugriffskontrolle implementieren: Angreifer nutzen schwache Zugriffskontrollen aus, um die Abwehr von Unternehmen zu unterwandern und ihre Berechtigungen auszuweiten. Es empfiehlt sicher daher, regelmäßig sicherzustellen, dass das Unternehmen über wirksame Zugriffskontrollen verfügt. Dazu gehört unter anderem, eine mehrstufige Authentifizierung bereitzustellen, die Administratorrechten nach dem Prinzip der geringsten Privilegien auf möglichst wenige Konten zu beschränken, Standardpasswörter zu ändern und die Zahl der zu überwachenden Zugriffspunkte zu verringern.
7. In Analyse-Tools investieren: Neben der Sicherstellung der erforderlichen Transparenz sollten Unternehmen in Tools investieren, die während einer Untersuchung den erforderlichen Kontext liefern. Zu den am häufigsten verwendeten Incident Response Tools zählen EDR (Endpoint Detection and Response) oder XDR (Extended Detection and Response), mit denen Sicherheitsteams die gesamten Umgebung nach Hinweisen auf Kompromittierungen oder Angriffe (Indicators of Compromise/IoCs, Indicators of Attack/IoAs) absuchen können. Mit EDR-Tools können Analysten ermitteln, welche Ressourcen ein Angreifer kompromittiert hat, wodurch sich wiederum Ausmaß und Folgen eines Angriffs bemessen lassen. Je mehr Daten sie erheben, desto mehr Kontext steht für die Analyse zur Verfügung. Dieser verschafft den Teams mehr Transparenz, um wichtige Fragen zu beantworten wie beispielsweise: Welche Ressourcen hatten die Angreifer im Visier? Wie haben sie sich Zugang zur Umgebung verschafft? Besteht die Möglichkeit, dass sie erneut auf die Umgebung zugreifen?
8. Reaktionsmaßnahmen festlegen: Um angemessen auf einen Angriff zu reagieren, müssen die IT- und Sicherheitsteams in der Lage sein, eine Vielzahl von Reaktionsmaßnahmen einzuleiten, um Angreifer zu stoppen und zurückzudrängen. Zu diesen Reaktionsmaßnahmen zählen unter anderem, die betroffener Hosts zu isolieren; schädliche Dateien, Prozesse und Programme zu blockieren; C2- (Command and Control) und schädliche Web-site-Aktivitäten zu unterbinden; kompromittierte Konten einzufrieren und die Zugriffe für Angreifer zu sperren; Artefakte und Werkzeuge des Angreifers zu beseitigen; Eintrittspunkte und Persistenzbereiche, die ein Angreifer nutzt, zu schließen; Konfigurationen anzupassen (Bedrohungsrichtlinien, Aktivieren von Endpoint-Security und EDR auf ungeschützten Geräten, Anpassen von Ausschlüssen usw.); und betroffene Ressourcen mittels Offline-Backups wiederherzustellen.
9. Awareness-Trainings durchführen: Kein noch so gutes Trainingsprogramm bietet hundertprozentigen Schutz gegen fest entschlossene Angreifer. Schulungsprogramme (zum Beispiel zu Phishing Awareness) tragen aber dazu bei, das Risiko maßgeblich zu reduzieren und die Anzahl der Warnmeldungen zu begrenzen, auf die das Team reagieren muss. Mit Tools zur Angriffssimulation kann das Security-Team ohne Sicherheitsrisiko reale Phishing-Angriffe auf Beschäftigte starten. Diejenigen, die auf die Angriffe hereinfallen, sind Kandidaten für ein Trainingsprogramm.
10. Managed Security Service nutzen: Viele Unternehmen sind nicht in der Lage, ohne fremde Hilfe angemessen auf Vorfälle zu reagieren. Eine schnelle und effektive Reaktion erfordert erfahrene Sicherheitsexperten. Um sicherzustellen, dass das Incident-Response-Team die richtigen Maßnahmen ergreift, sollte es gegebenenfalls einen externen Dienstleister hinzuziehen, beispielsweise einen MDR-Provider (Managed Detection and Response). MDR-Provider bieten 24/7 Threat Hunting, Analysen und Reaktion auf Vorfälle als Managed Services. Sie helfen einem Unternehmen nicht nur, auf Vorfälle zu reagieren, sondern senken auch die Wahrscheinlichkeit eines Vorfalls.
Bei einem Cybersecurity-Vorfall zählt jede Sekunde. Mit einem gut vorbereiteten und durchdachten Incident-Response-Plan, den alle betroffenen Parteien sofort umsetzen können, lassen sich die Folgen eines Angriffs auf Unternehmen erheblich abmildern.
Michael Veit ist Security-Spezialist bei Sophos.
- Bereit für den Ernstfall
- Definierte Abwehrmaßnahmen
Lesen Sie mehr zum Thema
