Was ist Incident Response?
Incident Response (IR) ist das Bestreben, einen Angriff schnell zu identifizieren, seine Auswirkungen zu minimieren, den Schaden einzudämmen und die Ursache zu beheben, um das Risiko zukünftiger Vorfälle zu reduzieren.
Lassen Sie uns Incident Response definieren
Nahezu jedes Unternehmen hat, auf irgendeiner Ebene, einen Prozess für Incident Response. Für Unternehmen, die einen formelleren Prozess etablieren wollen, stellen sich jedoch folgende Fragen:
- Welche Schritte werden unternommen, um die verantwortlichen Parteien für die Reaktion auf einen Vorfall zu aktivieren, sollte ein solcher auftreten?
- Wie umfassend und spezifisch sollte Ihr Reaktionsplan sein?
- Haben Sie genug Leute (und die richtigen Leute), um angemessen zu reagieren?
- Was sind Ihre akzeptablen SLAs für die Reaktion auf einen Vorfall und die Rückkehr zum normalen Betrieb?
Wahrscheinlich sind die Antworten auf diese Fragen nicht optimal, da die meisten Unternehmen laut einer Studie des Ponemon Institute in einem oder mehreren Bereichen Defizite aufweisen:
77% der Unternehmen haben keinen formalen, konsistent angewandten Plan
57% geben an, dass die Reaktionszeit gestiegen ist
77% sagen, dass sie Schwierigkeiten haben, Sicherheitspersonal einzustellen und zu halten*
Im Durchschnitt, dauert es durchschnittlich 214 Tage, um einen bösartigen oder kriminellen Angriff zu identifizieren, und 77 Tage, um ihn einzudämmen und wiederherzustellen. Es ist klar, dass ein besseres Incident-Response-Management erforderlich ist, um Unternehmen vollständig vor der wachsenden und immer schneller werdenden Zahl von Bedrohungen zu schützen, denen sie täglich ausgesetzt sind.
*IBM-Studie: Reaktion auf Cybersecurity-Vorfälle immer noch eine große Herausforderung für Unternehmen
Das ABC der Incident Response
A. Das richtige Team – Um die effektivste Incident Response zu liefern, empfehlen Branchenexperten, die folgenden Rollen in Ihr Team aufzunehmen, unabhängig von der Größe Ihres Unternehmens. Natürlich wird das technische Team die Führung übernehmen, aber es gibt auch andere Funktionsbereiche in Ihrem Unternehmen, die mit an Bord sein sollten, insbesondere wenn ein schwerer Angriff stattfindet. Sobald die Personen für diese Rollen identifiziert sind, sollten Sie sie darüber aufklären, welche Verantwortung sie im Falle eines ernsthaften, umfangreichen Angriffs mit weitreichenden Auswirkungen haben würden: Incident Response, Sicherheitsanalyse, IT, Bedrohungsforschung, Rechtsabteilung, Personalabteilung, Unternehmenskommunikation, Risikomanagement, Geschäftsführung und externe forensische Sicherheitsexperten.
B. Der richtige Plan – Ein umfassender Plan zur Reaktion auf einen Vorfall umfasst mindestens die folgenden Taktiken und Prozesse:
- Das Team vorbereiten und bereit machen, um jede Art von Bedrohung zu bewältigen
- Die Art und Schwere eines Vorfalls erkennen und identifizieren, sobald er eingetreten ist
- Eindämmen und begrenzen den Schaden
- Bestimmen Sie die Auswirkungen und die damit verbundenen Risiken
- Finden und beseitigen Sie die Grundursache
- Mitigation und Behebung des Angriffs
- Analysieren und modifizieren Sie den Plan nach einemAngriff, um zukünftige Angriffe zu verhindern
Kommunikation ist der Schlüssel, wenn ein Angriff im Gange ist, Stellen Sie also sicher, dass Sie einen guten Kommunikationsfluss als Teil Ihres Reaktionsplans etablieren.
C. Die richtigen Tools – Angesichts der zunehmenden Zahl unbekannter Angriffe können die richtigen Tools Ihrem Unternehmen viel Zeit und Geld sparen – und es wird helfen, Ihre Kunden und Ihre Markentreue zu schützen.
Informationen sind ein wichtiges Gut für jeden Incident-Response-Plan. Aus diesem Grund bietet Ihnen eine Cloud-basierte Endpunkt-Sicherheitslösung in der Regel die umfassendsten Tools, um Angriffe schnellstmöglich zu entschärfen, einschließlich des Zugriffs auf wichtige Daten durch:
- Die ungefilterte Datenerfassung bietet den Reaktionsteams Einblicke in das Endpunktverhalten, nicht nur in zuvor entdeckte Angriffsmuster und Verhaltensweisen. Dies ist der Schlüssel, um eine Angriffsuntersuchung von Tagen auf Minuten zu verkürzen, insbesondere angesichts der wachsenden Anzahl unbekannter Angriffsmethoden, die heute genutzt werden.
- Datenanalysen bieten Einblick in alle Endpunktaktivitäten, sowohl in der Gegenwart als auch in der Vergangenheit. Mit den richtigen Daten können Sie sehen, wo der Angriff begann und welchen Weg er genommen hat, was alles dazu beiträgt, ihn schneller zu beheben.
- Externe Bedrohungsdaten helfen, Bedrohungen schnell zu identifizieren, die Sie noch nicht gesehen haben, aber andere Unternehmen schon. Auch hier gilt: Wenn Sie wissen, womit Sie es zu tun haben, können Sie schneller reagieren.
- Live-Response-Funktionen helfen Ihnen, entfernte Endpunkte zu beheben und unnötiges Re-Imaging zu vermeiden.
Die dritte jährliche Studie zur Cyber Resilient Organisation
Industry Pulse: Ist Outsourcing die Antwort auf schlechte Incident Response?
Nahezu jede Untersuchung über die Herausforderungen, mit denen Unternehmen im Sicherheitsbereich konfrontiert sind, enthält Statistiken über die Schwierigkeit, qualifiziertes Sicherheitspersonal einzustellen und zu halten – so auch 77 Prozent der Befragten in der oben genannten Ponemon-Studie. Es gibt einen Mangel von fast zwei Millionen Menschen für kritische Sicherheitspositionen, der sich weltweit rapide nähert.
Der Mangel an den richtigen Sicherheitsmitarbeitern kann jede Reaktion auf einen Vorfall stark beeinträchtigen, so sehr, dass Unternehmen danach streben, solche Sicherheitsfunktionen auszulagern. Tatsächlich geht Gartner davon aus, dass die Ausgaben für Sicherheits-Outsourcing-Services im Jahr 2018 mehr als 18 Milliarden US-Dollar erreichen werden und damit das zweitgrößte Segment für Sicherheitsausgaben nach der Beratung sind.
Angesichts der Schwierigkeit, die richtigen Leute einzustellen, macht dies Sinn, denn ein Managed Service kann schnell alle Lücken in Ihrem Sicherheitsteam schließen. Er kann Ihnen helfen, Alarme zu priorisieren, neue Bedrohungen aufzudecken und Untersuchungen zu beschleunigen. Diese Dienste sind in der Regel mit hochqualifizierten Bedrohungsexperten besetzt, die die Umgebung Ihres Unternehmens ständig im Auge behalten, neue Bedrohungen erkennen und Zugang zu wichtigen Sicherheitsdiensten bieten, wenn Ihr Team am meisten Hilfe benötigt.
*Gartner prognostiziert, dass die weltweiten Sicherheitsausgaben 2018 96 Milliarden US-Dollar erreichen werden, ein Plus von 8 Prozent gegenüber 2017
Die Antwort: Die richtigen Leute, der richtige Plan, die richtigen Tools – und der richtige Anbieter
Selbst wenn Sie die richtigen Leute, den richtigen Plan und die richtigen Tools im Haus haben, besteht immer noch die Möglichkeit, dass etwas durchrutscht – warum also dieses Risiko eingehen? Es ist hilfreich, mit dem richtigen Anbieter zusammenzuarbeiten, der Ihnen eine Cloud-basierte Endpunkt-Sicherheitsplattform bieten kann – sowie fortschrittliche Threat Hunting-Funktionen.
Wie bereits erwähnt, können Managed Threat Hunting-Experten Ihre Umgebung überwachen und Ihr Team über aufkommende Bedrohungen informieren. Diese Experten können:
- Analysieren, validieren und priorisieren Sie Warnungen, um die richtigen Maßnahmen einzuleiten.
- Erkennen Sie frühe Warnzeichen und Trends und senden Sie proaktiv Hinweise, um eine sichere Reaktion zu gewährleisten.
- Erkennen Sie die Grundursachen mit Hilfe von Roadmaps, die zusätzlichen Kontext liefern, um Untersuchungen und Ursachenanalysen zu rationalisieren.
Ein Team von Bedrohungsjägern kann Ihnen auch Abdeckung und Triage von Bedrohungen für Ihre gesamte Endpunktbereitstellung bieten, so dass sich Ihr Team auf die wichtigsten Alarme konzentrieren kann. Und Sie haben Zugriff auf globale Bedrohungsdaten, die Ihnen helfen, zukünftigen Angriffen einen Schritt voraus zu sein.
Threat Intelligence
Next-.Generation Firewall