Incident Response Playbook: die Einzelschritte

von Trend Micro

Im Falle eines Cyberangriffs kann ein starker Incident Response-Plan ein Unternehmen mit nur minimalem Schaden wieder zum Laufen bringen. Die Phasen Erkennen, Analysieren und Reagieren sind stellen den Kern jedes effizienten Incident Response-Ablaufs dar. Nach der Einführung in die diese Schritte folgt nun die Beschreibung eines konkreten Playbooks.

Das hier vorgestellte Playbook beruht auf den zwei Frameworks (SANS und NIST) und soll diejenigen beim Aufsetzen der Ziele und des Prozesses von Incident Response unterstützen, die zum ersten Mal vor dieser Aufgabe stehen. Diese Schritte werden unter der Prämisse durchgeführt, dass eine Organisation einen Angriff oder einen Einbruch entdeckt hat. In beiden Frameworks wird jedoch der Vorbereitung auf Einbrüche und Bedrohungen ein gleichermaßen hoher Stellenwert im Incident Response eingeräumt.

Vorbereitung

Zur Vorbereitung gehört die Entwicklung von Richtlinien und Protokollen, die im Falle eines Angriffs zu befolgen sind. Diese Protokolle müssen auch eine Übersicht über die Personen und Einrichtungen enthalten, die im Falle eines Angriffs zu informieren sind. Zu diesem Schritt gehört auch das Aufstellen eines dedizierten Response-Teams, das die Eindämmung bei einem Angriff leitet, zudem sind Schulungen und das Verteilen von Verteilen von Verantwortlichkeiten an diejenigen, die nicht zu dem Team gehören, enthalten.

Entdecken, Identifizieren und Analysieren

Diese Reihe von Schritten erfordert die richtigen Tools zur Bedrohungserkennung und Informationsgewinnung, um Endpunkte, Netzwerkverkehr und andere Datenquellen zu überwachen. Werden die Schritte befolgt, so sollte die Verantwortlichen die Situation gründlich einschätzen können als Grundlage für weitere Maßnahmen. Auch müssen die Teamleiter wissen, wer an der Reaktion beteiligt werden sollte.

Warnung und Bericht an die Beteiligten

Bei den Vorbereitungsverfahren geht es darum zu bestimmen, wer bei einem Vorfall zu informieren oder einzubeziehen ist. Dazu gehören das Response-Team des Unternehmens, Führungskräfte und die für einen solchen Vorfall eingesetzten Regierungs- oder Strafverfolgungsbehörden. Je nach Ausmaß des Einbruchs müssen auch die Kunden informiert werden, wie es die Richtlinien der Datenschutzbestimmungen vorsehen.

  • Tägliche Updates an alle Beteiligten zum stündlichen Fortschritt der Eindämmung.
  • Den Vorfall unter erweiterten Aspekten betrachten und behandeln. Es geht nicht allein um die IT, sondern es gibt auch rechtliche und Compliance-Gesichtspunkte.
  • Anforderungen für die Benachrichtigung bei Verstößen gegen Datenschutzgesetze beachten.

Tipp: Dafür bietet es sich auch an, das Team durch einen Managed Detection and Response Service zu erweitern, denn das Handling von Erkennungen aus mehreren Quellen kann sich sehr ressourcenaufwändig und schwierig gestalten.

Durchführen einer Root-Cause Analyse

Dabei geht es um den Prozess, die Ursache des Angriffs und die Bedingungen, die ihn möglich gemacht haben, herauszufinden:

  • Ist kein Endpoint Detection and Response (EDR)-Modul auf dem Sicherheitsagenten aktiviert, so lassen sich dafür kostenlos Tools wie Trend Micro Anti-Threat Toolkit (ATTK) herunterladen.
  • EDR kann kein Gesamtbild liefern, deshalb empfehlen sich Layer-übergreifende Detection and Response (XDR)-Plattformen. Ein System zur Erkennung von Netzwerkeinbrüchen unterstützt dabei, nicht verwaltete Endpunkte zu entdecken, die als Infektionspunkte genutzt und von EDR nicht entdeckt werden können. Email-Telemetrie, EDR und Netzwerkerkennung – alles Werkzeuge, die in XDR-Plattformen verwendet werden – verbinden alle Enden miteinander.
  • Identifizieren der Art der Bedrohung und der Taktiken, die der Cyberkriminelle genutzt hat. Dieser Prozess schließt Dokumentation und Footprinting mit ein. Zu den Techniken gehören Erkundungs-Scans, Netzwerk-Scans, Schwachstellen-Exploits, Hacker-Tools, Malware und Social Engineering-Techniken.

Tipp: Durch den Einsatz eines Netzwerk-Breach Detection System lässt sich der gesamte Netzwerkverkehr (Ingress/Egress und Ost-West) scannen, um weitere Indicators of Compromise zu finden.

Bewerten Sie die Auswirkungen

Das Unternehmen muss in der Lage sein, die betroffenen Bereiche abzuschätzen, bevor weitere Taktiken zur Schadensbegrenzung geplant werden.

  • Tools einsetzen, die andere betroffene Systeme identifizieren können.
  • Korrelieren der Logs von verschiedenen Systemen wie der Firewall, Intrusion Prevention System (IPS), weitere Erkennungssysteme für Netzwerkeinbrüche, Domain Name System (DNS), Active directory (AD) und andere

Tipp: Sicherstellen, das der Endpunkte-Sicherheitsagent ein Endpoint Detection and Response-Modul (EDR) oder Cross Layer Detection and Response (XDR) beinhaltet.

Eindämmen, Entfernen und Wiederherstellen

Das Ziel dieser nächsten Schritte ist es, die Auswirkungen des Vorfalls oder Einbruchs zu minimieren. Dazu gehört, die Bedrohung zu isolieren, sie aus dem betroffenen System zu entfernen und den von ihr verursachten Schaden zu beheben.

Isolieren

Die betroffenen Systeme sollten über eine Zugangskontrolle vom Netzwerk isoliert werden. Isolierung bedeutet nicht, dass das System abgeschaltet wird, da sich forensische Artefakte – die für weitere Untersuchungen zu extrahieren sind – noch im flüchtigen Speicher befinden können. Wenn der Angriff schwerwiegende Auswirkungen auf den Betrieb hat, sollte das Netzwerk vom Internet isoliert werden.

Entfernen

Dieser Schritt umfasst das Entfernen der Bedrohung aus dem System und Übertragen weiterer Analysen an Sicherheitsexperten oder einen Sicherheitsanbieter.

  • Entfernen der Bedrohung
  • Übertragen der Bedrohung an einen Sicherheitsanbieter für ein Signatur-Update.
  • Einsatz der aktualisierten Signatur, um bislang nicht entdeckten Bedrohungen zu bereinigen und Durchführen eines vollständigen Scans aller Netzwerkendpunkte.

Wiederherstellen

Nachdem die Bedrohung entfernt wurde, sollte der Wiederherstellungsprozess beginnen, um alle Probleme oder Unterbrechungen durch den Angriff zu beseitigen.

  • Mit den kritischen Anwendungen anfangen, die die Geschäftstätigkeit beeinträchtigen.
  • Einsatz von Tools oder Services, die die IoT-Einstellungen analysieren, die sich auf mögliche Lücken in Industrial Control Systems (ICS) und andere Systemen auswirken.
  • Nutzen von Pentesting Services.
  • Aufbringen von Patches und Durchführen von Härtung, System-Cleanup oder Reimaging.

Lehren aus dem Vorfall ziehen

Sobald der Zwischenfall und alle seine Auswirkungen bewältigt sind, müssen die Umstände, die den Vorfall ermöglicht haben, untersucht werden. Die Beobachtungen und Lehren aus diesem Schritt können zur Stärkung des gesamten Prozesses des Incident Response genutzt werden. Dieser Schritt knüpft an die Vorbereitungsphase zu Beginn dieses Playbooks an.

Überprüfen der Best Practices für die Sicherheit

  • Die Verantwortlichen sollten den Empfehlungen des Sicherheitsanbieters oder andere Profis folgen. Stellen diese fest, dass ein Sicherheits-Tool nicht optimal konfiguriert ist, so sollte dies den Best Practices folgend geändert werden.
  • Eingehende Überprüfung der Verteidigungsmechanismen und Gewährleistung, dass diese Ebenen angemessen gesichert sind:

Bild. Die Unternehmensebenen als Teil des Sicherheits-Checks

  • Überprüfung der Sicherheitsrichtlinien wie etwa für die Zugangskontrolle, Remote-Zugriff, Firewall-Management, Netzwerkverbindungen, Passwort-Policy, Informationsschutz und Datenklassifizierung, Email-Sicherheit und andere,
  • Überprüfung der Prozesse für das Risikomanagement, um akzeptable Risiken festzulegen,
  • Teilen des endgültigen Reports mit den Beteiligten.

Trend Micro XDR und ManagedE XDR

Unternehmen können auch von fortschrittlichen Trend Micro-Lösungen profitieren, die IT-Umgebungen proaktiv vor einer Vielzahl von Cyber-Sicherheitsbedrohungen schützen können.  Trend MicroTM XDR kann vernetzte E-Mails, Endpunkte, Server, Cloud-Workloads und Netzwerke wirksam schützen. Die Lösung verwendet leistungsstarke KI und fachkundige Sicherheitsanalysen, um Daten zu korrelieren und dabei weniger, aber zuverlässigere Warnungen zur frühzeitigen Erkennung von Bedrohungen zu liefern. In einer einzigen Konsole bietet sie eine breitere Übersicht über die Unternehmenssysteme und zeigt einen gezielteren und optimierten Satz von Warnmeldungen an. Dadurch erhalten IT-Sicherheitsteams einen besseren Kontext, um Bedrohungen schneller zu erkennen und Auswirkungen besser zu verstehen und zu beheben.

Trend Micro Managed XDR wiederum bietet fachkundige Bedrohungsüberwachung, Korrelation und Analyse durch erfahrene Managed Detection and Response-Analysten. Managed XDR ist ein 24/7-Service, der Unternehmen eine einzige Quelle für Erkennung, Analyse und Response an die Hand gibt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.