November 24, 2022

Was ist Incident Response in der Cybersicherheit?

  • Cyber Security
  • Incident Response
  • Reaktion auf Vorfälle

Was ist Incident Response in der Cybersicherheit? 

Incident response (auch bekannt als Reaktion auf Cybervorfälle), bezieht sich auf den Prozess, mit dem Organisationen auf Cyber-Sicherheitsvorfälle wie auf Cyber-Angriffe und auf Datenschutzverletzungen reagieren. Eine wirksame Reaktion auf Vorfälle kann Unternehmen dabei helfen, Bedrohungen der Cybersicherheit rechtzeitig zu erkennen und einzudämmen, so dass Verluste und Geschäftsunterbrechungen vermieden oder auf ein Minimum beschränkt werden können.  

Wie funktioniert Incident Response?

In der Regel sollte die Reaktion auf einen Vorfall nach einem formellen Reaktionsplan (IRP) erfolgen. Der Plan für die Reaktion auf Zwischenfälle sollte die Maßnahmen einer Organisation zur Reaktion auf Zwischenfälle definieren, einschließlich des Personals, der Technologien und der Verfahren, die beteiligt sind. Jedes Unternehmen hat seinen eigenen Prozess, aber in der Regel folgen sie den vom SANS Institute oder NIST festgelegten Branchenpraktiken (mehr dazu unten). 

Wer ist für die Reaktion auf Zwischenfälle verantwortlich? 

Die Reaktion auf Vorfälle wird in großen Unternehmen in der Regel vom internen Informationssicherheitsteam durchgeführt. Kleine und mittlere Unternehmen (KMUs), die nicht über umfassende Fähigkeiten zur Reaktion auf Vorfälle (Personal und Technologien) verfügen, nutzen in der Regel die Vorfallsreaktionsdienste von Cybersicherheitsunternehmen, wie ForeNova's NovaIR 

Was ist ein Sicherheitsvorfall? 

Ein Sicherheitsvorfall ist ein Sicherheitsereignis oder eine Reihe von Sicherheitsereignissen, die tatsächlich oder potenziell die Vertraulichkeit, Integrität und Verfügbarkeit eines Informationssystems und der Daten, die das System verarbeitet, speichert oder überträgt, bedrohen. Sicherheitsvorfälle umfassen: 

  • Gezielte Cyber-Angriffe wie Datenschutzverletzungen, Ransomware-Angriffe, Spear-Phishing-Angriffe, Angriffe auf die Lieferkette, DDoS-Angriffe, Advanced Persistent Threats (APT) und Web-Angriffe. 
  • Nicht zielgerichtete Malware-Infektionen vor Phishing-Angriffen, Wurminfektionen, Drive-by-Downloads und Adware, die zu Systemausfällen, Diebstahl von Zugangsdaten, Botnet-Infektionen, Krypto-Mining usw. führen.  
  • Insider-Bedrohungen von böswilligen oder nachlässigen Mitarbeitern, die zu Datendiebstahl, Datenlecks, Diebstahl von Zugangsdaten und der Einführung von Malware und Cyberangriffen in das Netzwerk führen. 

 

Sicherheitsvorfall vs. Sicherheitsereignis 

Sicherheitsereignisse sind beobachtbare Vorgänge im Netz, die harmlos oder bösartig sein können. Wenn ein Sicherheitsereignis bestätigt wird, dass es einen tatsächlichen oder potenziellen Schaden verursacht, wird das Ereignis als Sicherheitsvorfall betrachtet. 

Threat Vulnerability Detected

Der Incident Response Prozess 

Es gibt zwei allgemein anerkannte Industriestandards für die Reaktion auf Zwischenfälle, einen vom SANS Institute und einen vom National Institute of Standards and Technology (NIST). Der Incident-Response-Prozess des SANS Institute ist in sechs Phasen unterteilt: Vorbereitung, Identifizierung, Eindämmung, Ausmerzung, Wiederherstellung und Lessons Learned. Die NIST-Version fasst den im Wesentlichen gleichen Prozess in vier Phasen zusammen: Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung und Wiederherstellung sowie Aktivitäten nach einem Vorfall. In diesem Artikel fassen wir die sechs Phasen des Incident-Response-Prozesses des SANS Institute zusammen. 

Incident Response Process

Die 6 Phasen des Incident Response/Der Reaktion auf zwischenfälle

  1. Vorbereitung: Die Vorbereitungsphase umfasst Aktivitäten, die sicherstellen, dass die eigentliche Reaktion auf einen Vorfall effizient und effektiv durchgeführt wird. In dieser Phase wird der Reaktionsplan für den Vorfall (IRP) erstellt. Der IRP sollte z. B. die Mitglieder des CSIRT (Computer Security Incident Response Team), die Rolle jedes Einzelnen und die Kontaktpersonen im Falle eines Vorfalls enthalten. Die Vorbereitungsphase umfasst Aktivitäten, die sicherstellen, dass die erforderlichen Technologien zur Verfügung stehen, um sicherzustellen, dass die Einsatzkräfte über die notwendigen Werkzeuge verfügen, um ihre Arbeit durchzuführen. Die Mitarbeiter sollten auch darin geschult werden, wie sie verdächtige Ereignisse erkennen können, da ihre Rechner höchstwahrscheinlich kompromittiert werden. Außerdem sollten regelmäßig Übungen zur Reaktion auf Vorfälle durchgeführt werden, um die Wirksamkeit des Reaktionsplans des Unternehmens auf Vorfälle zu testen und ihn gegebenenfalls zu optimieren.
  2. Identifikation: In der Identifizierungsphase werden bösartige und verdächtige Sicherheitsereignisse erkannt, untersucht und als Sicherheitsvorfälle bestätigt. Die Identifizierungsphase wird hauptsächlich von Sicherheitstools überwacht, die kontinuierlich daran arbeiten, bekannte Bedrohungen und verdächtiges Verhalten zu erkennen. Die Sicherheitsmitarbeiter untersuchen anschließend die Warnmeldungen der Sicherheitsgeräte und verschiedene Protokolldateien, um festzustellen, ob ein Sicherheitsvorfall vorliegt. Sicherheitsteams können in regelmäßigen Abständen Systemprotokolle, Anwendungsprotokolle, Protokolle von Sicherheitsgeräten und Fehlermeldungen durchforsten, um aktiv nach Bedrohungen zu suchen, die von Sicherheitstools übersehen wurden. Verdächtige Ereignisse können auch von Mitarbeitern gemeldet und von Sicherheitsmitarbeitern untersucht werden, um festzustellen, ob sie eine Bedrohung darstellen. 
  3. Eindämmung: In der Eindämmungsphase wird die unmittelbare Bedrohung bekämpft, um die kurzfristigen Auswirkungen zu verhindern oder zu begrenzen. Sicherheitstools führen die Eindämmung oft in Echtzeit durch, indem sie beispielsweise einen Download von einer verdächtigen IP-Adresse blockieren oder bekannte Malware unter Quarantäne stellen. Die Eindämmung kann auch manuell erfolgen, insbesondere bei Bedrohungen, die von Sicherheitstools übersehen und erst nach menschlichem Eingreifen erkannt wurden. In der Tat ist in der Eindämmungsphase ein gewisses Maß an Systemausfallzeit zu erwarten. Bei unternehmenskritischen Systemen, die sich keine Ausfallzeiten leisten können, müssen die Einsatzkräfte die Systeme jedoch möglicherweise weiterlaufen lassen und die Bedrohung mit anderen Mitteln eindämmen.
  4. Ausrottung: Wie bereits angedeutet, ist die Eindämmung die kurzfristige Reaktion auf Sicherheitsvorfälle. Es können jedoch noch Restbedrohungen in der Umgebung vorhanden sein, z. B. Malware-Artefakte, Hintertüren und Autostarteinträge. In der Beseitigungsphase werden diese Restbedrohungen beseitigt, um künftige Angriffe zu verhindern. Incident Responder führen eine forensische Untersuchung durch, um die Ursache des Sicherheitsvorfalls zu ermitteln und herauszufinden, wie sich der Angriff entwickelt hat. Sie durchsuchen verschiedene Protokolle, um den kompletten Angriffspfad zu rekonstruieren und alle identifizierten Bedrohungen zu entfernen. In bestimmten Fällen werden komplette Systeme neu reimagiert oder von einem sauberen Backup wiederhergestellt.
  5. Wiederherstellung: In der Wiederherstellungsphase werden die betroffenen Systeme gehärtet und wieder in Betrieb genommen, nachdem das Notfallteam sicher ist, dass alle Bedrohungen aus der Umgebung beseitigt wurden. Die Systemhärtung umfasst in der Regel die Neukonfiguration von Systemen, um Fehler und Schwachstellen zu beheben, sowie die Installation von Patches zur Behebung von Sicherheitslücken. Wiederhergestellte Systeme müssen eine Zeit lang genau überwacht werden, um sicherzustellen, dass sie nicht mehr angreifbar sind. Idealerweise sollten die wiederhergestellten Systeme getestet werden, um sicherzustellen, dass sie der Art und Weise, wie sie zuvor ausgenutzt wurden, oder anderen Mitteln standhalten können.
  6. Lessons learned (Gelernte Lektionen): Lessons Learned ist eine kritische Phase im Prozess der Reaktion auf einen Zwischenfall. Hier wird der gesamte Reaktionsprozess von der Vorbereitung bis zur Wiederherstellung überprüft und festgestellt, ob etwas hätte besser gemacht werden können. Hat sich das Reaktionsteam bei der Vorbereitung auf den Vorfall beispielsweise an den Reaktionsplan gehalten? Wie lange hat es gedauert, den Sicherheitsvorfall zu identifizieren und zu bestätigen? Muss das Threat Detection System optimiert werden oder braucht es ein Upgrade? Eine gut durchgeführte Lessons-Learned-Phase ermöglicht es dem Reaktionsteam, langfristig effizienter und effektiver auf künftige Vorfälle zu reagieren.

Incident Response Tools 

Bei der Reaktion auf Vorfälle können verschiedene Tools eingesetzt werden. In diesem Artikel sprechen wir uns für ein bestimmtes Tool aus - Network Detection and Response - und erläutern, warum es in verschiedenen Phasen des Incident-Response-Prozesses hocheffektiv ist und daher die Wahl auf NovaIR fällt. 

 

Was ist Network Detection and Response? 

Network Detection and Response (NDR) ist eine Cybersicherheitslösung, die fortgeschrittene, unbekannte und nicht auf Signaturen basierende Bedrohungen erkennen soll, die bereits in ein Netzwerk eingedrungen sind.   

Kurz gesagt: NDR-Lösungen nutzen maschinelles Lernen, um zu lernen und Baselines des normalen Netzwerkverhaltens zu erstellen. Sie wenden kontinuierlich KI und Verhaltensanalysen an, um den Datenverkehr im gesamten Netzwerk zu analysieren und zu korrelieren, um Echtzeitaktivitäten mit den Basislinien zu vergleichen und Anomalien zu erkennen. Auf jede anomale Aktivität, die auf eine Bedrohung hinweist, wird automatisch reagiert oder zur weiteren Untersuchung markiert.    

Wenn Sie mehr über NDR erfahren wollen, dann besuchen Sie bitte unsere NDR Produktseite und schauen Sie sich ein Demo Video an, um zu sehen, wie NDR funktioniert. Der folgende Artikel bietet ebenfalls eine gute Erklärung für NDR.  

what is ndr

Der Wert von NDR bei der Reaktion auf Zwischenfälle 

NDR bei der Erkennung von Bedrohungen (Identifizierung): NDR ist ein unschätzbares Werkzeug in der Identifizierungsphase. Einerseits verfügt der NDR über hervorragende Fähigkeiten zur Erkennung von Bedrohungen. Durch die Konzentration auf die Erkennung von anormalem Verhalten im Gegensatz zu Signaturen ist NDR in der Lage, Bedrohungen zu erkennen, die von herkömmlichen Sicherheitstools übersehen werden, z. B. unbekannte und dateilose Malware. Durch die Korrelation von Sicherheitsereignissen aus mehreren Datenquellen kann NDR einzelne Ereignisse, die für Einzellösungen harmlos erscheinen, besser einordnen und so eine Kette bösartiger Aktivitäten aufdecken, die auf einen Cyberangriff hindeuten. In diesem Sinne ist NDR ein ganzheitliches System zur Erkennung von Bedrohungen, das die Lücken zwischen anderen Sicherheitstools schließt. Darüber hinaus kann NDR durch kontinuierliche Überwachung des Datenverkehrs alle mit dem Netzwerk verbundenen Geräte identifizieren. Dies ist von entscheidender Bedeutung, da es sicherstellt, dass Sicherheitsvorfälle, die alle Assets des Unternehmens betreffen, erkannt werden. 

NDR in der Bedrohungsabwehr (Eindämmung): NDR-Lösungen werden mit anderen Sicherheitstools wie Firewall- und Endpunktsicherheitssoftware integriert, um auf erkannte Bedrohungen zu reagieren. Das Schöne an NDR ist, dass es so konfiguriert werden kann, dass es automatisch auf Bedrohungen reagiert, was als SOAR (Security Orchestration, Automation and Response) bezeichnet wird. Sicherheitsadministratoren können Playbooks für die Reaktion auf Vorfälle erstellen, um festzulegen, wie NDR und andere Sicherheitstools auf bestimmte Sicherheitsvorfälle entsprechend den Anforderungen des Unternehmens reagieren. So wird sichergestellt, dass Bedrohungen in Echtzeit eingedämmt werden, sobald sie erkannt werden. Der Bericht Cost of a Data Breach 2022 fand heraus, dass Unternehmen, die KI und Automatisierung einsetzten, eine Sicherheitsverletzung 28 Tage schneller eindämmen konnten als Unternehmen, die dies nicht taten, und dabei im Durchschnitt 3,05 Millionen Dollar einsparten.  

NDR in der Bedrohungsjagd (Ausrottung): Durch die Korrelation von Ereignissen im gesamten Netzwerk erstellt NDR eine integrierte Beweiskette des Angriffs, einschließlich der Grundursache und der Verbreitung im Netzwerk. Diese Informationen ermöglichen es Sicherheitsanalysten, sich bei der Suche nach Bedrohungen auf bestimmte Bereiche zu konzentrieren, anstatt Tausende von Protokollen zu durchforsten. NDR rationalisiert den Prozess der Bedrohungssuche, um sicherzustellen, dass verbleibende Bedrohungen gefunden und umgehend entfernt werden.  

NDR in Remediation (Wiederherstellung): Die von NDR bereitgestellte integrierte Beweiskette deckt auch die Schwachstellen und Fehler auf, die den ursprünglichen Sicherheitsverstoß und die anschließende Ausbreitung im Netzwerk ermöglichten. Die Sicherheitsteams können dann die erforderlichen Patches anwenden und Änderungen an den Konfigurationen vornehmen, um künftige Angriffe zu verhindern. NDR erkennt Schwachstellen nicht nur bei der Reaktion auf Vorfälle, sondern auch während des normalen Betriebs. Mit einer guten Patch-Verwaltung können Sicherheitsteams die von NDR bereitgestellten Schwachstelleninformationen nutzen, um Schwachstellen zu patchen, bevor es zu Zwischenfällen kommt.  

Die Bedeutung von Incident Response/bei der Reaktion auf Vorfälle 

Cyberangriffe fügen den Unternehmen immer größere finanzielle Verluste zu. Der Bericht "Cost of a Data Breach 2022" stellt fest, dass die durchschnittlichen Gesamtkosten einer Datenschutzverletzung weltweit 4,35 Millionen US-Dollar betragen. Der Bericht stellt außerdem fest, dass Unternehmen, die über ein Incident-Response-Team verfügen und ihren Incident-Response-Plan regelmäßig testen, im Durchschnitt 2,66 Millionen Dollar einsparen.  

Abgesehen von den finanziellen Verlusten können Unternehmen, die von einem Verlust vertraulicher Daten betroffen sind, Ärger mit den Aufsichtsbehörden bekommen und mit hohen Strafen für Verstöße gegen die Compliance rechnen. Selbst Kunden können das Unternehmen verklagen, weil es ihre persönlichen Daten nicht geschützt hat. Unternehmen, die einen gut durchdachten Plan zur Reaktion auf Vorfälle und detaillierte Aufzeichnungen über den Reaktionsprozess auf Vorfälle vorlegen, können jedoch ihre Sorgfaltspflicht nachweisen und möglicherweise ihre Haftung vermeiden oder verringern.  

A picture containing text, person

Description automatically generated

Wie ForeNova NovaIR helfen kann 

Wir bei ForeNova verstehen den immensen Druck, der durch einen Cyberangriff entsteht. Noch mehr, wenn Sie nicht über die richtigen Prozesse und Mitarbeiter verfügen, um herauszufinden, was vor sich geht und was als nächstes zu tun ist.  

Hier kommt NovaIR ins Spiel, der Incident Response Service von ForeNova, der unseren Kunden hilft, alle Arten von Sicherheitsvorfällen schnell und präzise zu lösen und zu untersuchen. Unser Incident-Response-Team verfügt über mehr als 5.000 Mannstunden Erfahrung bei der Untersuchung von Sicherheitsvorfällen und fein abgestimmte Methoden, um Opfer aus ihrem Cyber-Sicherheits-Albtraum zu befreien. 
 

NovaIR-Ansatz zur Reaktion auf Vorfälle 

Der unmittelbare Schwerpunkt unseres NovaIR-Dienstes besteht darin, den Kunden bei der Identifizierung und Eindämmung des Angriffs zu unterstützen. Anschließend identifizieren wir die Ursache oder den Eintrittspunkt und alle mit dem Angriff verbundenen Schwachstellen oder Schwachpunkte, um alle verbleibenden Bedrohungen in Ihrer Umgebung zu beseitigen. Abschließend erstellen wir einen Bericht, der nicht nur Informationen zum Vorfall enthält, sondern auch Empfehlungen zur weiteren Verbesserung Ihrer Sicherheitsarchitektur auf der Grundlage branchenüblicher Best Practices und der Ergebnisse unserer Untersuchung. 

NovaIR Incident Response Steps