Tipp 1: So schnell wie möglich reagieren
Wenn Unternehmen angegriffen werden, zählt jede Sekunde. Unternehmensinterne Security-Teams benötigen aber oft zu lange, um angemessen schnell zu reagieren. Der häufigste Grund dafür ist, dass sie den Ernst der Situation und die Dringlichkeit nicht rechtzeitig erkennen. Zudem erfolgen viele Angriffe an Feiertagen, Wochenenden und in der Nacht. Da die meisten IT- und Security-Teams deutlich unterbesetzt sind, erfolgt die Reaktion auf einen Angriff zu diesen Zeiten oft zu spät, um die Auswirkungen des Angriffs rechtzeitig einzugrenzen.
Zudem senkt eine gewisse Alarmmüdigkeit ein rasches Vorgehen. Und selbst bei richtiger und rechtzeitiger Reaktion verfügen Security-Teams oft nicht über die nötige Erfahrung, um die richtigen Schritte einzuleiten. Deshalb sollten mögliche Vorfälle und die Reaktion hierauf im Voraus detailliert geplant werden. Die zehn wichtigsten Schritte eines solchen Cyberkrisenplans hat Sophos im Incident Response Guide unter https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/incident-response-guide.aspx aufgeführt.
Tipp 2: Aktionen nicht vorschnell als „Mission erfüllt" erklären
Bei einem Cybervorfall reicht es nicht aus, lediglich die Symptome zu behandeln. Es muss auch den Ursachen auf den Grund gegangen werden. Die erfolgreiche Entfernung einer Malware und das Löschen eines Alarms bedeutet beispielsweise nicht, dass der Angreifer aus der Umgebung vertrieben wurde. Denn es könnte sich lediglich um einen Testlauf des Angreifers handeln, um festzustellen, mit welchen Verteidigungsmaßnahmen er konfrontiert ist. Wenn der Angreifer nach wie vor Zugriff auf die Infrastruktur hat, wird er wahrscheinlich wieder zuschlagen, aber mit größerer Zerstörungskraft. Hat der Angreifer immer noch einen Fuß in der Umgebung? Plant er, eine zweite Welle zu starten? Erfahrene Incident-Response-Mitarbeiter wissen, wann und wo sie genauer nachforschen müssen. Sie suchen nach allem, was die Angreifer im Netzwerk tun, getan haben oder möglicherweise planen und neutralisieren auch diese Aktivitäten.
Tipp 3: Entscheidend ist eine vollständige Sichtbarkeit
Bei einem Angriff ist es wichtig, Zugang zu richtigen, qualitativ hochwertigen Daten zu haben. Nur diese Informationen ermöglichen es, potenzielle Indikatoren für einen Angriff genau zu identifizieren und die Ursache zu bestimmen. Spezialisierte Teams sammeln relevante Daten zur Erkennung der Signale und sie wissen, wie diese zu priorisieren sind. Dabei beachten sie folgende Punkte:
Signale Sammeln
Begrenzte Sichtbarkeit einer Umgebung ist ein sicherer Weg, um Angriffe zu verpassen. Abhilfe bieten hier Big-Data-Tools. Diese sammeln genügend Daten, um aussagekräftige Erkenntnisse für die Untersuchung von und die Reaktion auf Angriffe zu gewinnen. Das Sammeln der richtigen, hochwertigen Daten aus einer Vielzahl von Quellen gewährleistet einen vollständigen Einblick in die Tools, Taktiken und Verfahren eines Angreifers.
Grundrauschen reduzieren
Aus Angst, nicht über die Daten zu verfügen, die ein vollständiges Bild eines Angriffs bieten könnten, sammeln einige Unternehmen und Sicherheitstools generell alle verfügbaren Informationen. Dieser Ansatz erschwert aber die Suche nach den Angriffen und es werden mehr Daten erzeugt, als nötig wären. Dies erhöht nicht nur die Kosten für die Datenerfassung und -speicherung, sondern erzeugt auch ein hohes Grundrauschen an potenziellen Vorfällen, das zu Alarmmüdigkeit und Zeitverschwendung bei der Jagd nach echten Fehlalarmen führt.
Kontext anwenden
Um einen effektives Incident-Response-Programm durchführen zu können, wird neben den Inhalten (Daten) auch der Kontext benötigt. Durch die Anwendung aussagekräftiger Metadaten, die mit Signalen verknüpft sind, können Security-Analysten feststellen, ob diese Signale bösartig oder gutartig sind. Eine der wichtigsten Komponenten einer effektiven Bedrohungserkennung und -reaktion ist die Priorisierung der Signale. Der beste Weg, die wichtigsten Alarme zu identifizieren, ist eine Kombination aus Kontext, der von Sicherheitstools (d. h. Endpoint Detection and Response-Lösungen), künstlicher Intelligenz, Bedrohungsintelligenz und der Wissensbasis des menschlichen Bedieners bereitgestellt wird. Der Kontext hilft dabei, den Ursprung eines Signals, das aktuelle Stadium des Angriffs, damit verbundene Ereignisse und die potenziellen Auswirkungen auf das Unternehmen zu ermitteln.
Tipp 4: Es ist OK, um Hilfe zu bitten
Der Mangel an qualifizierten Ressourcen für die Untersuchung von Vorfällen und die Reaktion darauf ist eines der größten Probleme, mit denen die Cybersicherheitsbranche heute konfrontiert ist. Viele IT- und Sicherheitsteams, die bei Cyberangriffen unter hohem Druck stehen, geraten in Situationen, für die sie nicht die nötigen Erfahrungen und Fähigkeiten haben. Dieses Dilemma hat einer Alternative Platz gemacht: Managed Security Services. Genauer gesagt, Managed Detection and Response (MDR) Services. MDR-Services sind ausgelagerte Sicherheitsoperationen, die von einem Spezialisten-Team erbracht werden und stellen eine Erweiterung des unternehmensinternen Sicherheitsteams dar. Diese Services kombinieren von Menschen geleitete Untersuchungen, Echtzeitüberwachung und Reaktion auf Vorfälle mit Technologien zum Sammeln und Analysieren von Informationen.
Für Unternehmen, die noch keinen MDR-Service in Anspruch genommen haben und auf einen aktiven Angriff reagieren müssen, sind spezialisierte Incident-Response-Services eine gute Option. Incident Responder werden dann hinzugezogen, wenn das Sicherheitsteam überfordert ist und externe Experten benötigt werden, um den Angriff zu bewerten und sicherzustellen, dass der Angreifer neutralisiert wird. Auch Unternehmen, die über ein Team von qualifizierten Sicherheitsanalysten verfügen, können von der Zusammenarbeit mit einem Incident Response Service profitieren. So können beispielsweise Lücken in der Abdeckung (z. B. nachts, an Wochenenden und Feiertagen) geschlossen oder spezialisierte Aufgaben, die bei der Reaktion auf Vorfälle benötigt werden, zugeteilt werden.