Security Incident Management:
Reagieren Sie effektiv auf Sicherheitsvorfälle
Beim Incident Management werden Vorfälle priorisiert, bewertet und bewältigt
Automatisierte Prozesse helfen im Security Incident Management, um optimal auf Vorfälle zu reagieren. Bei einem Angriff müssen Unternehmen vor allem schnell handeln, um den Schaden möglichst gering zu halten und Bedrohungen einzudämmen. Basis für den Umgang mit sicherheitsrelevanten Vorfällen ist die Erstellung eines Planes, in dem Aufgaben und Zuständigkeiten festgelegt werden. Zudem wird die Isolierung von Schadsoftware und betroffenen Systemen sowie eine tiefergehende Analyse ermöglicht, um den Angreifer zu identifizieren und den Grund des Angriffes genauer zu untersuchen.
Was ist ein Security Incident?
Ein Sicherheitsvorfall kann aus mehreren Ereignissen oder Events bestehen, die darauf schließen lassen, dass Systeme oder Daten einer Organisation u. U. kompromittiert wurden oder die Schutzmaßnahmen versagt haben. Dazu zählen alle absichtlich herbeigeführten oder unbeabsichtigten Vorfälle, die eine erhöhte Bedrohung der IT-Sicherheit darstellen.
Was ist ein Major Incident?
Ein Major Incident ist ein schwerwiegender Incident mit höchster Priorität. Diese Art Incidents können zu erheblichen Störungen bis zum vollständigen Stillstand des Geschäftsbetriebes führen und erfordern besondere Maßnahmen. Major Incidents stellen ein nicht zu vernachlässigendes Risiko dar.
Was ist ein Incident Handler?
Die Aufgabe des Incident Handlers ist es, den Sicherheitsvorfall einzudämmen und zu entschärfen. Dazu plant, verwaltet, koordiniert und kommuniziert er mit anderen Cybersicherheitsexperten.
Hauptsächlich definieren, dokumentieren und kommunizieren Incident Handler die Rollen, die verschiedene Fachleute bei einem Vorfall einnehmen. Diese Rollen variieren je nach Schweregrad des Vorfalls.
Incident Handler richten Kommunikationskanäle ein, testen und verifizieren diese und geben sie den entsprechenden Mitarbeitern bekannt. Dies ist ein Muss, um den ordnungsgemäßen Ablauf von Aufgaben und Kommunikation zu gewährleisten.
Außerdem stellen sie sicher, dass alle Best Practices für die Behandlung von und Reaktion auf Vorfälle, Standards, Cybersicherheits-Frameworks, Gesetze und Vorschriften befolgt werden und schätzen die Kosten, die ein Vorfall verursachen kann, ab.
Warum ist Security Incident Management heute so wichtig?
Regelmäßig werden Unternehmen von Cyberkriminellen angegriffen und tragen meist langfristig Schaden davon. Mit steigender Tendenz.
Wir leben in turbulenten, sich stetig ändernden Zeiten. Die Welt ist vernetzt und die Digitalisierung schreitet voran. Das haben wir besonders 2020 sehr deutlich erlebt, als immer mehr Menschen ihren Arbeitsplatz ins Home-Office verlegt haben.
Aus einem von IT-Profis betreuten Netzwerk zogen sie an einen Arbeitsplatz, an dem sie keine Unternehmens-Firewalls und eventuell auch keine professionellen Antivirus-Programme schützen.
Diese Situation ist für Cyberkriminelle ein gefundenes Fressen und stellt IT Abteilungen vor große Herausforderungen.
IT-Sicherheit ist aber nicht nur die Angelegenheit der Security-Spezialisten, sondern liegt auch in der Verantwortung jedes einzelnen Mitarbeiters. Vermeintliche Kleinigkeiten wie
- das regelmäßige Ändern von Passwörtern,
- das Teilen von vertraulichen Informationen nur mit bekannten und verifizierten Quellen,
- die Aktualisierung von Software,
- das regelmäßige Sichern von Daten,
- konsequentes Leben einer Clean Desk und Clean Desktop Strategie
sind eine wichtige Basis für sicheres Arbeiten. Es sollte jede Gelegenheit genutzt werden, die Mitarbeiter immer wieder für das Thema zu sensibilisieren.
Was ist bei der Vorbereitung auf Incidents grundsätzlich zu beachten?
Grundlegend ist vor allem sicherzustellen, dass alle Mitarbeiter ihre Rollen und Verantwortlichkeiten im Falle eines Security Incidents kennen. Dafür können zum Beispiel Szenarien entwickelt und regelmäßig durchgespielt werden, um sie dann zu bewerten und wenn nötig zu optimieren. Ein Reaktionsplan sollte gut dokumentiert sein, sowie die Rollen und Verantwortlichkeiten aller Beteiligten detailliert erfassen und erläutern.
Vor allem zählt die Kompetenz jedes Einzelnen. Je besser Ihre Mitarbeiter vorbereitet sind, desto geringer ist die Wahrscheinlichkeit, dass sie kritische Fehler machen.
Beantworten Sie sich die folgenden Fragen:
- Wurden die Mitarbeiter bezüglich der Security-Policy geschult?
- Wurden die Sicherheitsrichtlinien und der Incident Management Plan von der zuständigen Leitung genehmigt?
- Kennt das Incident Response Team seine Aufgaben und weiß, wen es benachrichtigen muss?
- Haben alle Mitglieder des Teams an Praxisübungen teilgenommen?
Der Incident Management Plan
Im Bereich der Cybersecurity gibt es wie für ITSM verschiedene Frameworks, wie zum Beispiel ISO 27000 und diverse NIST Vorgaben. Ein Plan zur Reaktion auf einen Incident ist für gewöhnlich eine dokumentierte Anleitung mit mehreren Phasen. Regelmäßige Reviews eines solchen Incident Management Planes sind elementar.
Im Incident Response Plan werden alle nötigen Aktionen definiert und die Verantwortlichkeiten klar festgelegt. Bewährter maßen besteht er aus verschiedenen Phasen.
Empfohlene Phasen eines Incident Management Plans:
1. Preparation
Bereitstellung von Incident Management Tools und Prozessen.
Wie bei ITIL® wird der Prozess des Incident Response Plans an Best Practices angelehnt. Im Tool werden alle wichtigen Phasen definiert. So können bei einem Incident die zu einer Reaktion nötigen Informationen in Kürze erfasst werden. Die Kommunikation zwischen allen involvierten Parteien sollte vorbereitet und Kontaktinformationen aufbereitet werden.
2. Analysis and Identification
Entscheidung, ob ein Security Incident vorliegt.
Die Analyse von Daten aus Log-Management-Systemen, IDS/IPS, Threatsharing-Systemen sowie von Firewall-Protokollen und Netzwerkaktiväten z. B. über ein SIEM, hilft bei der Einordnung der entsprechenden Events. Sobald eine Bedrohung identifiziert wurde, sollte sie der festgelegten Richtlinie entsprechend dokumentiert und kommuniziert werden.
3. Containment
Die Ausbreitung des Vorfalls eindämmen und weitere Schäden verhindern.
Die Entscheidung, welche Strategie angewendet wird, spielt dabei die größte Rolle. Es stellt sich vor allem die Frage, welche Sicherheitslücke der Schadsoftware das Eindringen ermöglicht hat.
Schnelle Schadensbegrenzung, wie die Isolation eines Netzwerksegmentes ist bei vielen Vorfällen der erste Schritt, danach werden oft forensische Analysen zur Evaluierung bemüht.
4. Eradication
Schadsoftware wird beseitigt.
Ist die potentielle Bedrohung eingedämmt, muss der Ursache (Root Cause) des Incidents auf den Grund gegangen werden. Dafür sollte alle Malware sicher entfernt, die Systeme gepatcht, Updates eingespielt und gegebenenfalls die Software aktualisiert werden. Die Systeme sollten also auf das aktuellste Patch Level gebracht und Passwörter vergeben werden, die alle Sicherheitsanforderungen erfüllen.
5. Recovery
Systeme und Geräte werden wieder aktiviert und produktiv geschaltet.
„Back to normal function“ ist das Ziel dieser Phase. Dabei sollte stetig überprüft werden, ob alle Systeme den Erwartungen entsprechend laufen. Das wird durch Testen und Monitoring über einen längeren Zeitraum sichergestellt. Das Incident Response Team legt in dieser Phase fest, wann der Betrieb wiederhergestellt wird und ob infizierte Systeme vollständig gesäubert werden.
6. Lessons Learned
Was lief gut und was nicht?
Ist die Phase 5 abgeschlossen, sollte ein wrap up meeting mit allen involvierten Parteien stattfinden. In diesem werden offene Fragen geklärt und der Incident final abgeschlossen. Dabei geht es nicht nur um die Abwicklung des Vorfalles, sondern auch um dessen Erkennung, z. B. durch das SIEM. Mit den Erkenntnissen aus diesem Austausch lassen sich Maßnahmen definieren, mit denen Vorfälle künftig besser abgewickelt werden.
–––
Diese 6 Phasen können, je nach Ausrichtung eines Security Teams, auch teilweise zusammengefasst oder in unterschiedlich starker Ausprägung gelebt werden.
Wie kann STORM als SOAR Software beim Incident Management unterstützen?
-
IdentifizierungBei der Vielzahl der eingehenden Warnmeldungen würden Analysten zu viel Zeit mit dem Öffnen und Protokollieren von Vorfällen verschwenden. Stattdessen nutzt ein SOAR die Automatisierung, um neue Fälle zu erstellen.
-
PriorisierungUm dem Zustrom von Warnmeldungen nachzukommen, benötigt Ihr Cybersecurity Team eine automatisierte Lösung.
Durch die SOAR-Automatisierung wird jeder eingehende Fall schnell priorisiert, so dass auf besonders kritische Incidents als erstes reagiert wird. -
DiagnoseSOAR-Plattformen erleichtern die Diagnose für Sicherheitsanalysten durch die zentrale Organisation von SIEM-Alarmen und anderen Daten. Dazu zählen zum Beispiel WHOIS- oder MISP-Informationen. So sind alle Daten zu einem aktuellen Fall schnell verfügbar.
-
ReaktionEine SOAR-Lösung benachrichtigt beim Auftreten eines Incidents alle Beteiligten: Management, Dev-Ops, und IT. Die Schritte zur Schadensminimierung werden dokumentiert, noch während sie geschehen. So vereinfacht das zentralisierte Case Management in einer SOAR-Lösung die Einbeziehung aller Verantwortlichen. Andere können so unmittelbar den aktuellen Fortschritt und Status sehen.
-
Lösung und AbschlussSOARs dokumentieren alle Reaktionen auf einen Vorfall, um künftige Incidents zu verhindern. Diese Dokumentation kann nicht editiert werden. Somit wird sichergestellt, dass die Reaktion auf einen Incident revisionssicher abgelegt ist.
Experten für Ihr Incident Management
Die Ursachen für sicherheitsrelevante Vorfälle sind vielfältig und oft nicht sofort zu erkennen. Jedoch ist es nötig, sie zu identifizieren, um tatsächlich alle Spuren zu beseitigen.
STORM bringt als SOAR-Software viele Vorteile mit: ein an die Sicherheitsanforderungen individuell anpassbares Tool sowie eine Menge Know-how unserer Cybersecurity-Experten.
Unsere Security-Experten analysieren mit Ihnen zusammen den Status quo Ihrer IT-Sicherheit, entwickeln auf dieser Basis die passende Lösung und setzen diese anschließend um.
Kontaktieren Sie unsere ExpertenVerwandte Inhalte, die Sie interessieren könnten
Vulnerability Management
Mit Vulnerability Management beheben Sie Sicherheitslücken. Identifizieren, klassifizieren und priorisieren Sie Security-Schwachstellen.
OTRS
Bringen Sie frischen Wind in Ihre Teams und setzen Sie auf Geschwindigkeit, Echtzeitinformationen, maximale Flexibilität und optimale Sicherheit.
IT Service Management
Machen Sie Ihr Business noch erfolgreicher und optimieren Sie die Prozesse in Ihrem Unternehmen. Das ITSM Tool von OTRS ist die Lösung für kunden- und serviceorientiertes Arbeiten – individuell an Ihre Strukturen angepasst.