Contact
QR code for the current URL

Story Box-ID: 1054282

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

Incident-Response auf dem Prüfstand

Sophos gibt Tipps zur richtigen Reaktion auf Cyber-Vorfälle

(PresseBox) (Wiesbaden, )
Unternehmen und Organisationen stehen bei einem Cyberangriff enorm unter Druck, denn die richtige Reaktion auf einen Vorfall ist zeitintensiv, erfordert aber gleichzeitig ein schnelles Handeln. Die Incident-Response-Experten von Sophos haben deshalb einen Leitfaden entwickelt, der Unternehmen bei der Bewältigung dieser schwierigen Aufgabe helfen soll. Diese vier Tipps basieren auf praktischen Erfahrungen der Teams aus den Bereichen Managed Threat Response und Rapid Response, die gemeinsam bereits auf Tausende von Cyber-Security-Vorfällen reagiert haben.

Tipp 1: So schnell wie möglich reagieren

Wenn Unternehmen angegriffen werden, zählt jede Sekunde. Unternehmensinterne Security-Teams benötigen aber oft zu lange, um angemessen schnell zu reagieren. Der häufigste Grund dafür ist, dass sie den Ernst der Situation und die Dringlichkeit nicht rechtzeitig erkennen. Zudem erfolgen viele Angriffe an Feiertagen, Wochenenden und in der Nacht. Da die meisten IT- und Security-Teams deutlich unterbesetzt sind, erfolgt die Reaktion auf einen Angriff zu diesen Zeiten oft zu spät, um die Auswirkungen des Angriffs rechtzeitig einzugrenzen.

Zudem senkt eine gewisse Alarmmüdigkeit ein rasches Vorgehen. Und selbst bei richtiger und rechtzeitiger Reaktion verfügen Security-Teams oft nicht über die nötige Erfahrung, um die richtigen Schritte einzuleiten. Deshalb sollten mögliche Vorfälle und die Reaktion hierauf im Voraus detailliert geplant werden. Die zehn wichtigsten Schritte eines solchen Cyberkrisenplans hat Sophos im Incident Response Guide unter https://secure2.sophos.com/en-us/security-news-trends/whitepapers/gated-wp/incident-response-guide.aspx aufgeführt.

Tipp 2: Aktionen nicht vorschnell als „Mission erfüllt" erklären

Bei einem Cybervorfall reicht es nicht aus, lediglich die Symptome zu behandeln. Es muss auch den Ursachen auf den Grund gegangen werden. Die erfolgreiche Entfernung einer Malware und das Löschen eines Alarms bedeutet beispielsweise nicht, dass der Angreifer aus der Umgebung vertrieben wurde. Denn es könnte sich lediglich um einen Testlauf des Angreifers handeln, um festzustellen, mit welchen Verteidigungsmaßnahmen er konfrontiert ist. Wenn der Angreifer nach wie vor Zugriff auf die Infrastruktur hat, wird er wahrscheinlich wieder zuschlagen, aber mit größerer Zerstörungskraft. Hat der Angreifer immer noch einen Fuß in der Umgebung? Plant er, eine zweite Welle zu starten? Erfahrene Incident-Response-Mitarbeiter wissen, wann und wo sie genauer nachforschen müssen. Sie suchen nach allem, was die Angreifer im Netzwerk tun, getan haben oder möglicherweise planen und neutralisieren auch diese Aktivitäten.

Tipp 3: Entscheidend ist eine vollständige Sichtbarkeit

Bei einem Angriff ist es wichtig, Zugang zu richtigen, qualitativ hochwertigen Daten zu haben. Nur diese Informationen ermöglichen es, potenzielle Indikatoren für einen Angriff genau zu identifizieren und die Ursache zu bestimmen. Spezialisierte Teams sammeln relevante Daten zur Erkennung der Signale und sie wissen, wie diese zu priorisieren sind. Dabei beachten sie folgende Punkte:

Signale Sammeln

Begrenzte Sichtbarkeit einer Umgebung ist ein sicherer Weg, um Angriffe zu verpassen. Abhilfe bieten hier Big-Data-Tools. Diese sammeln genügend Daten, um aussagekräftige Erkenntnisse für die Untersuchung von und die Reaktion auf Angriffe zu gewinnen. Das Sammeln der richtigen, hochwertigen Daten aus einer Vielzahl von Quellen gewährleistet einen vollständigen Einblick in die Tools, Taktiken und Verfahren eines Angreifers.

Grundrauschen reduzieren

Aus Angst, nicht über die Daten zu verfügen, die ein vollständiges Bild eines Angriffs bieten könnten, sammeln einige Unternehmen und Sicherheitstools generell alle verfügbaren Informationen. Dieser Ansatz erschwert aber die Suche nach den Angriffen und es werden mehr Daten erzeugt, als nötig wären. Dies erhöht nicht nur die Kosten für die Datenerfassung und -speicherung, sondern erzeugt auch ein hohes Grundrauschen an potenziellen Vorfällen, das zu Alarmmüdigkeit und Zeitverschwendung bei der Jagd nach echten Fehlalarmen führt.

Kontext anwenden

Um einen effektives Incident-Response-Programm durchführen zu können, wird neben den Inhalten (Daten) auch der Kontext benötigt. Durch die Anwendung aussagekräftiger Metadaten, die mit Signalen verknüpft sind, können Security-Analysten feststellen, ob diese Signale bösartig oder gutartig sind. Eine der wichtigsten Komponenten einer effektiven Bedrohungserkennung und -reaktion ist die Priorisierung der Signale. Der beste Weg, die wichtigsten Alarme zu identifizieren, ist eine Kombination aus Kontext, der von Sicherheitstools (d. h. Endpoint Detection and Response-Lösungen), künstlicher Intelligenz, Bedrohungsintelligenz und der Wissensbasis des menschlichen Bedieners bereitgestellt wird. Der Kontext hilft dabei, den Ursprung eines Signals, das aktuelle Stadium des Angriffs, damit verbundene Ereignisse und die potenziellen Auswirkungen auf das Unternehmen zu ermitteln.

Tipp 4: Es ist OK, um Hilfe zu bitten

Der Mangel an qualifizierten Ressourcen für die Untersuchung von Vorfällen und die Reaktion darauf ist eines der größten Probleme, mit denen die Cybersicherheitsbranche heute konfrontiert ist. Viele IT- und Sicherheitsteams, die bei Cyberangriffen unter hohem Druck stehen, geraten in Situationen, für die sie nicht die nötigen Erfahrungen und Fähigkeiten haben. Dieses Dilemma hat einer Alternative Platz gemacht: Managed Security Services. Genauer gesagt, Managed Detection and Response (MDR) Services. MDR-Services sind ausgelagerte Sicherheitsoperationen, die von einem Spezialisten-Team erbracht werden und stellen eine Erweiterung des unternehmensinternen Sicherheitsteams dar. Diese Services kombinieren von Menschen geleitete Untersuchungen, Echtzeitüberwachung und Reaktion auf Vorfälle mit Technologien zum Sammeln und Analysieren von Informationen.

Für Unternehmen, die noch keinen MDR-Service in Anspruch genommen haben und auf einen aktiven Angriff reagieren müssen, sind spezialisierte Incident-Response-Services eine gute Option. Incident Responder werden dann hinzugezogen, wenn das Sicherheitsteam überfordert ist und externe Experten benötigt werden, um den Angriff zu bewerten und sicherzustellen, dass der Angreifer neutralisiert wird. Auch Unternehmen, die über ein Team von qualifizierten Sicherheitsanalysten verfügen, können von der Zusammenarbeit mit einem Incident Response Service profitieren. So können beispielsweise Lücken in der Abdeckung (z. B. nachts, an Wochenenden und Feiertagen) geschlossen oder spezialisierte Aufgaben, die bei der Reaktion auf Vorfälle benötigt werden, zugeteilt werden.

Website Promotion

Website Promotion
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.