Selbst bei optimalen Präventions- und Abwehrstrategien gegen Hacker- und Malwareangriffe bleiben weiterhin Risiken durch Zero-Day-Exploits, Insider-Threats, Fehlkonfigurationen, Zugriffsverletzungen oder Advanced Persistent Threats (APTs) bestehen.
Incident Response bzw. ein Notfallplan für Cyber-Sicherheitsvorfälle ist daher ein obligatorischer Teil eines gesamtheitlichen Cyber Security Konzepts. Tritt eine Sicherheitsverletzung auf, ist es entscheidend, schnell und gezielt zu reagieren, um die technischen und finanziellen Auswirkungen von Cyber-Angriffen zu reduzieren.
Erstinvestigation: Geschwindigkeit siegt
Der erste Schritt zur Bekämpfung von Sicherheitsverletzungen ist deren Identifikation. Zugriffsversuche, Compliance-Verletzungen, Systemzugriffe, Datendiebstahl… - es muss klar erkannt werden, um welchen Vorfall es sich handelt und welche möglichen Folgeauswirkungen es geben kann.
Die Spurensuche im kompromittierten Netzwerk erfolgt idealerweise im Abgleich mit umfassender Cyber Threat Intelligence, sodass Schwachstellen und Bedrohungen schnellstmöglich erkannt werden können. Zu beachten ist dabei auch die Meldepflicht nach aktueller EU-DSGVO: Wurde durch den Vorfall der Schutz von personenbezogener Daten verletzt, muss innerhalb von 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen.
Detaillierte Analyse: Monitoring und Threat Hunting
Sind die betroffenen Systeme und Daten identifiziert, kann die tiefergehende Analyse des Vorfalls beginnen. Detection und Response Software ermöglicht eine effiziente Vorgangsweise und schnelle Ergebnisse. Auch hier spielt der Zugriff auf Cyber Threat Intelligence eine entscheidende Rolle: Echtzeit-Daten über aktuelle Kampagnen, bekannte Akteure, Ziele und Vorgehensweisen gepaart mit technischen Daten beschleunigen die Identifikation der Angreifer und das Verstehen ihrer Motive.
Schadensbehebung: Bereinigung und Wiederherstellung
Sobald das exakte Ausmaß des Vorfalls identifiziert ist und alle Daten und Spuren gesichert sind, können die Systeme bereinigt werden. Die Angreifer müssen dauerhaft aus dem System entfernt werden, indem identifizierte Schwachstellen und möglicherweise installierte Backdoors beseitigt werden. Mit dem gewonnenen Wissen über die Ziele, Motive und Werkzeuge der Angreifer können gezielte Präventionsmaßnahmen gegen mögliche Folgeattacken eingeleitet werden, sodass jeder Incident Response Einsatz dazu beiträgt, die Resilienz des Unternehmens zu stärken.
Link:
Notfallplan für Sicherheitsvorfälle in IT, OT und IoT-Umgebungen:
https://www.ikarussecurity.com/it-ot-iot-security/ikarus-24-7-incident-response/
