Security Incident Management

Bei Cyberangriffen schnell handeln und Schaden begrenzen

Security Incident Management:
Reagieren Sie effektiv auf Sicherheitsvorfälle

Beim Incident Management werden Vorfälle priorisiert, bewertet und bewältigt

Automatisierte Prozesse helfen im Security Incident Management, um optimal auf Vorfälle zu reagieren. Bei einem Angriff müssen Unternehmen vor allem schnell handeln, um den Schaden möglichst gering zu halten und Bedrohungen einzudämmen. Basis für den Umgang mit sicherheitsrelevanten Vorfällen ist die Erstellung eines Planes, in dem Aufgaben und Zuständigkeiten festgelegt werden. Zudem wird die Isolierung von Schadsoftware und betroffenen Systemen sowie eine tiefergehende Analyse ermöglicht, um den Angreifer zu identifizieren und den Grund des Angriffes genauer zu untersuchen.

Warum ist Security Incident Management heute so wichtig?

Regelmäßig werden Unternehmen von Cyberkriminellen angegriffen und tragen meist langfristig Schaden davon. Mit steigender Tendenz.
Wir leben in turbulenten, sich stetig ändernden Zeiten. Die Welt ist vernetzt und die Digitalisierung schreitet voran. Das haben wir besonders 2020 sehr deutlich erlebt, als immer mehr Menschen ihren Arbeitsplatz ins Home-Office verlegt haben.

Aus einem von IT-Profis betreuten Netzwerk zogen sie an einen Arbeitsplatz, an dem sie keine Unternehmens-Firewalls und eventuell auch keine professionellen Antivirus-Programme schützen.
Diese Situation ist für Cyberkriminelle ein gefundenes Fressen und stellt IT Abteilungen vor große Herausforderungen.

IT-Sicherheit ist aber nicht nur die Angelegenheit der Security-Spezialisten, sondern liegt auch in der Verantwortung jedes einzelnen Mitarbeiters. Vermeintliche Kleinigkeiten wie

  • das regelmäßige Ändern von Passwörtern,
  • das Teilen von vertraulichen Informationen nur mit bekannten und verifizierten Quellen,
  • die Aktualisierung von Software,
  • das regelmäßige Sichern von Daten,
  • konsequentes Leben einer Clean Desk und Clean Desktop Strategie

sind eine wichtige Basis für sicheres Arbeiten. Es sollte jede Gelegenheit genutzt werden, die Mitarbeiter immer wieder für das Thema zu sensibilisieren.

Was ist bei der Vorbereitung auf Incidents grundsätzlich zu beachten?

Grundlegend ist vor allem sicherzustellen, dass alle Mitarbeiter ihre Rollen und Verantwortlichkeiten im Falle eines Security Incidents kennen. Dafür können zum Beispiel Szenarien entwickelt und regelmäßig durchgespielt werden, um sie dann zu bewerten und wenn nötig zu optimieren. Ein Reaktionsplan sollte gut dokumentiert sein, sowie die Rollen und Verantwortlichkeiten aller Beteiligten detailliert erfassen und erläutern.

Vor allem zählt die Kompetenz jedes Einzelnen. Je besser Ihre Mitarbeiter vorbereitet sind, desto geringer ist die Wahrscheinlichkeit, dass sie kritische Fehler machen.

Beantworten Sie sich die folgenden Fragen:

  • Wurden die Mitarbeiter bezüglich der Security-Policy geschult?
  • Wurden die Sicherheitsrichtlinien und der Incident Management Plan von der zuständigen Leitung genehmigt?
  • Kennt das Incident Response Team seine Aufgaben und weiß, wen es benachrichtigen muss?
  • Haben alle Mitglieder des Teams an Praxisübungen teilgenommen?

Der Incident Management Plan

Im Bereich der Cybersecurity gibt es wie für ITSM verschiedene Frameworks, wie zum Beispiel ISO 27000 und diverse NIST Vorgaben. Ein Plan zur Reaktion auf einen Incident ist für gewöhnlich eine dokumentierte Anleitung mit mehreren Phasen. Regelmäßige Reviews eines solchen Incident Management Planes sind elementar.

Im Incident Response Plan werden alle nötigen Aktionen definiert und die Verantwortlichkeiten klar festgelegt. Bewährter maßen besteht er aus verschiedenen Phasen.

Wie kann STORM als SOAR Software beim Incident Management unterstützen?

  • Identifizierung
    Bei der Vielzahl der eingehenden Warn­meldungen würden Analysten zu viel Zeit mit dem Öffnen und Protokollieren von Vorfällen verschwenden. Stattdessen nutzt ein SOAR die Automatisierung, um neue Fälle zu erstellen.
  • Priorisierung
    Um dem Zustrom von Warnmeldungen nachzukommen, benötigt Ihr Cybersecurity Team eine automatisierte Lösung.
    Durch die SOAR-Automatisierung wird jeder eingehende Fall schnell priorisiert, so dass auf besonders kritische Incidents als erstes reagiert wird.
  • Diagnose
    SOAR-Plattformen erleichtern die Diagnose für Sicherheitsanalysten durch die zentrale Organisation von SIEM-Alarmen und anderen Daten. Dazu zählen zum Beispiel WHOIS- oder MISP-Informationen. So sind alle Daten zu einem aktuellen Fall schnell verfügbar.
  • Reaktion
    Eine SOAR-Lösung benachrichtigt beim Auftreten eines Incidents alle Beteiligten: Management, Dev-Ops, und IT. Die Schritte zur Schadensminimierung werden dokumentiert, noch während sie geschehen. So vereinfacht das zentralisierte Case Management in einer SOAR-Lösung die Einbeziehung aller Verantwortlichen. Andere können so unmittelbar den aktuellen Fortschritt und Status sehen.
  • Lösung und Abschluss
    SOARs dokumentieren alle Reaktionen auf einen Vorfall, um künftige Incidents zu verhindern. Diese Dokumentation kann nicht editiert werden. Somit wird sichergestellt, dass die Reaktion auf einen Incident revisionssicher abgelegt ist.
Respond optimally to incidents with Security Incident Management

Experten für Ihr Incident Management

Die Ursachen für sicherheitsrelevante Vorfälle sind vielfältig und oft nicht sofort zu erkennen. Jedoch ist es nötig, sie zu identifizieren, um tatsächlich alle Spuren zu beseitigen.

STORM bringt als SOAR-Software viele Vorteile mit: ein an die Sicherheitsanforderungen individuell anpassbares Tool sowie eine Menge Know-how unserer Cybersecurity-Experten.

Unsere Security-Experten analysieren mit Ihnen zusammen den Status quo Ihrer IT-Sicherheit, entwickeln auf dieser Basis die passende Lösung und setzen diese anschließend um.

Kontaktieren Sie unsere Experten
OTRS Newsletter

Lesen Sie mehr über Produkt-Features, interessante Tipps und Events im OTRS Newsletter.

Wir nutzen Keap. Datenschutzerklärung