11.03.2021 / Kategorie: Detect & Response, Threat Intelligence
Ausnahmslos jedes Unternehmen muss damit rechnen, früher oder später Opfer einer Cyberattacke zu werden. Das Ausmass der Schäden hängt wesentlich davon ab, wie schnell und wie effektiv reagiert wird, sobald der Fall der Fälle eintritt. Die Herausforderung ist also, sich der Gefahr bewusst zu sein, die notwendigen Vorbereitungen auf das Unplanbare zu treffen und zu wissen, was im Ernstfall zu tun ist. Die Lösung: Computer Security Incident Response.
Schnell und effektiv auf einen Cyberangriff reagieren kann nur, wer entsprechend vorbereitet ist. Wie aber kann man sich auf einen solchen Angriff vorbereiten? Hier kommt das Computer Security Incident Response Team, kurz CSIRT, ins Spiel. Ein CSIRT kümmert sich um die effektive und effiziente Behandlung von schweren Sicherheitsvorfällen. Dazu braucht es, neben den entsprechenden Fähigkeiten, Methoden und Werkzeugen, auch viel Training. Das ist mit erheblichem Aufwand verbunden. Deshalb kann es sinnvoll sein, mit einem externen CSIRT zusammenzuarbeiten, welches die eigene Organisation entlastet und jederzeit verfügbar ist, wenn es gebraucht wird.
Die Arbeit eines CSIRT beginnt aber nicht mit erst mit einem Incident, sondern im Idealfall bereits heute:
So wie Piloten sehr intensiv Ausnahmesituationen trainieren, so müssen sich auch Unternehmen bestmöglich organisatorisch und technisch vorbereiten. Zumindest folgende Fragen sollten geklärt und in einem Incident Response Playbook (IR Playbook) festgehalten werden:
Zu diesen organisatorischen Vorbereitungen kommen eine ganze Reihe von technischen Massnahmen, die im Vorfeld durchzuführen sind.
Ist der Ernstfall eingetreten, muss zunächst geklärt werden, ob es sich bei dem Vorfall tatsächlich um einen Incident handelt oder ob falscher Alarm ausgelöst wurde. Liegt ein Incident vor, muss dieser näher analysiert werden. Dazu gehören Antworten auf die Fragen:
Sind diese Informationen vorhanden, kann mit der nächsten Phase begonnen werden.
Ist klar, was das Unternehmen getroffen hat und wo die Ursache liegt, kann mit den notwendigen Eindämmungs-Massnahmen begonnen werden. Da die wenigsten Unternehmen intern über das nötige Know-how verfügen, ist es wichtig, rechtzeitig Hilfe zu organisieren, damit im Ernstfall die Reaktion schnell von statten gehen kann. Jene Massnahmen, die den Schaden begrenzen, sollten Priorität haben. Denn den Schaden zu verhindern oder zu begrenzen ist das wichtigste Ziel.
Ist alles bereinigt und wieder hergestellt, ist es unerlässlich, die Lehren aus dem Vorfall zu ziehen und diese für Optimierungen zu nutzen. So können gleichgeartete oder ähnliche Vorfälle künftig verhindert oder besser und schneller bewältigt werden.
Haben Sie bereits einen Computer Incident Response Plan oder ein CSIR Team? Wissen Sie, wie die einzelnen Phasen im Detail ausgestaltet sein sollten? Lesen Sie mehr darüber in unserem Whitepaper „Computer Security Incident Response“. Laden Sie das Whitepaper hier kostenlos herunter.
Sie setzen lieber auf kompetente und erfahrene Unterstützung bei der Entwicklung Ihres CSIR Plans? Unsere Experten stehen Ihnen zur Verfügung. Kontaktieren Sie uns – wir helfen gerne.
Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.
ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications