Frameworks für die Reaktion auf Zwischenfälle
Die beiden bekanntesten Frameworks für die Reaktion auf Zwischenfälle (Incident Response, IR) wurden von NIST und SANS entwickelt. Sie liefern IT-Teams eine Grundlage für eigene IR-Pläne. Die beiden Frameworks definieren diese Schritte:
IR-Prozess nach NIST | IR-Prozess nach SANS |
---|---|
Schritt 1: Vorbereitung | Schritt 1: Vorbereitung |
Schritt 2: Erkennung und Analyse | Schritt 2: Identifizierung |
Schritt 3: Eindämmung, Ausschaltung und Wiederherstellung | Schritt 3: Eindämmung |
Schritt 4: Aktivitäten nach dem Zwischenfall | Schritt 4: Ausschaltung |
Schritt 5: Wiederherstellung | |
Schritt 6: Auswertung und Erkenntnisgewinn |
Ein Vergleich der NIST- und SANS-Frameworks zeigt, dass die eigentlichen Komponenten praktisch gleich sind – nur die Benennung und Gruppierung unterscheiden sich leicht. Den größten Unterschied bildet Schritt 3: Hier schlägt NIST vor, dass Eindämmung, Ausschaltung und Wiederherstellung parallel stattfinden sollten, d. h. dass Sie mit dem Ausschalten der Bedrohungen nicht warten, bis sie alle eingedämmt wurden.
Der Plan sollte auch definieren, wer die Verantwortung trägt und wer befugt ist, bestimmte wichtige Entscheidungen zu treffen. Solche Details sollten nicht im Eifer des Gefechts entschieden oder diskutiert, sondern vorab ausgearbeitet werden.
Die Meinungen darüber, welches Framework besser ist, gehen auseinander. Im Grunde kommt es aber vor allem auf Ihre Präferenzen und darauf an, welche Ressourcen in Ihrem Unternehmen zur Verfügung stehen. Das CrowdStrike Incident Response-Team orientiert sich am NIST-Framework. Deshalb gehen wir in diesem Artikel auf die vier Schritte dieses Modells ein und erläutern, was sie für Ihren IR-Plan bedeuten.
Schritt 1: Vorbereitung
Effektive Maßnahmen zur Reaktion auf Zwischenfälle lassen sich nicht von heute auf morgen umsetzen. Um Ereignisse zu verhindern und darauf reagieren zu können, ist ein Plan erforderlich.
Definition des CSIRT (Computer Security Incident Response Team)
Um bei einem Zwischenfall schnell und umfassend handeln zu können, muss jeder im CSIRT seine Verantwortlichkeiten kennen und wissen, für welche Entscheidungen er zuständig ist.
Das CSIRT sollte aus Experten mit geschäftlichen und technischen Kompetenzen bestehen, die befugt sind, zugunsten des Unternehmens Maßnahmen zu ergreifen. Zudem sollten das Management sowie Mitarbeiter vertreten sein, die für technische, rechtliche und Kommunikationsfragen zuständig sind. Außerdem sind Kontaktpersonen des Sicherheitsausschusses wichtig. Alle von einem Zwischenfall betroffenen Bereiche sollten eingebunden werden und jeder sollte über eine Entscheidungsmatrix verfügen, die während und nach einem Zwischenfall geeignete Aktivitäten empfiehlt.
Entwicklung und Aktualisierung des Plans
Vergewissern Sie sich, dass Pläne und weitere Begleitdokumente vorhanden sind und regelmäßig aktualisiert werden, damit sie nicht irgendwann veraltet sind. Alle involvierten Mitarbeiter sollten Zugang zu den sie betreffenden Teilen des Plans haben und über jegliche Planänderungen informiert werden. Zur ständigen Verbesserung des Plans sollten nach jedem relevanten Zwischenfall Rückmeldungen eingeholt werden.
Beschaffung und Pflege der richtigen Infrastrukturen und Tools
Sie müssen über geeignete Möglichkeiten verfügen, Zwischenfälle zu erkennen und zu untersuchen sowie Belege zu sammeln und aufzubewahren. Um feststellen zu können, ob sich ein Angreifer in Ihrer Umgebung befindet, benötigen Sie Endgeräteschutz-Technologie, die einen umfassenden Überblick über Ihre Endgeräte bietet und Daten zu Zwischenfällen erfasst.
Ohne die richtigen Tools und Prozesse zu deren optimaler Nutzung können Sie nur unzureichend untersuchen, wie Angreifer auf Ihre Umgebung zugreifen und wie Sie diese Zugriffe eindämmen sowie in der Zukunft vermeiden können.
Kontinuierliche Verbesserung der Kompetenzen und Schulungsmaßnahmen
Vergewissern Sie sich, dass das IR-Team über die erforderlichen Kompetenzen und das nötige Training verfügt. Dazu muss der IR-Plan von Zeit zu Zeit geübt werden. Außerdem sollte das IR-Team mit internen Mitarbeitern oder über einen Drittanbieter so zusammengestellt werden, dass parallel zum eigentlichen Aufgabenbereich Zeit für Zertifizierungen und andere Schulungsangebote geschaffen werden kann.
Nutzung modernster Bedrohungsanalysen
Mit einer Lösung für Bedrohungsanalysen können Unternehmen sich über die Art von Bedrohungen informieren, die für sie relevant sind. Bedrohungsanalysen sollten sich nahtlos in den Endgeräteschutz einfügen und sich auf automatisierte Bedrohungsuntersuchungen stützen, um die Reaktion auf Kompromittierungen zu beschleunigen. Durch die Automatisierung nehmen auch umfassende Analysen nur wenige Minuten statt Stunden in Anspruch. Dank dieser intelligenten Reaktionen bleiben Unternehmen auch hochentwickelten hartnäckigen Bedrohungen (Advanced Persistent Threats, APTs) einen Schritt voraus.
Schritt 2: Erkennung und Analyse
In der zweiten Phase wird festgestellt, ob sich ein Zwischenfall ereignet hat, wie schwer das Ausmaß ist und um welche Art von Vorfall es sich handelt. In dieser Phase gibt es NIST zufolge fünf Schritte:
- Identifizierung der Anzeichen für einen Zwischenfall (Vorboten und Indikatoren): Vorboten und Indikatoren sind spezifische Signale, die auf einen bevorstehenden oder aktuell laufenden Zwischenfall hindeuten.
- Analyse der entdeckten Anzeichen: Nach der Identifizierung muss das IR-Team feststellen, ob ein Vorbote oder Indikator Teil eines Angriffs ist oder ob es sich um ein False Positive handelt.
- Dokumentation des Zwischenfalls: Wenn das Signal als korrekt gewertet wird, muss das IR-Team mit der Dokumentation sämtlicher Fakten und ergriffenen Maßnahmen zu diesem Zwischenfall beginnen.
- Priorisierung von Zwischenfällen: Dieser Schritt ist dem NIST zufolge der wichtigste Entscheidungspunkt im IR-Prozess. Das IR-Team kann Zwischenfälle nicht einfach nach der Reihenfolge ihres Eintretens bearbeiten. Zwischenfälle müssen basierend auf ihren Auswirkungen auf geschäftliche Abläufe, der Vertraulichkeit der betroffenen Informationen und der Wiederherstellbarkeit nach dem Zwischenfall bewertet werden.
- Benachrichtigung über den Zwischenfall: Nach der Analyse und Priorisierung des Zwischenfalls sollte das IR-Team die relevanten Bereiche/Personen benachrichtigen. Ein robuster IR-Plan sollte hierfür konkrete Vorgaben definieren.
Lassen Sie sich von dieser vereinfachten Liste nicht täuschen. Die Erkennungs- und Analysephase kann eine echte Herausforderung sein, unter anderem aus folgenden Gründen:
- Zwischenfälle können auf verschiedene Weisen erkannt werden – von automatisierten Erkennungssystemen bis hin zu Meldungen durch Nutzer. Die Zuverlässigkeit und der Detailgrad der Meldungen hängen davon ab, wie und von wem sie generiert wurden. Gleichzeitig sind einige Zwischenfälle auch mit genauen Angaben praktisch unmöglich zu erkennen.
- Die Zahl potenzieller Kompromittierungsindikatoren kann enorm groß sein. In einigen Unternehmen werden pro Tag sogar mehrere Millionen verzeichnet. In Anbetracht solcher Mengen ist es überaus schwierig, die tatsächlich relevanten Signale zu identifizieren.
- Die präzise Analyse zwischenfallbezogener Daten erfordert fundierte und spezialisierte technische Kenntnisse und viel Erfahrung. Die Automatisierung ist hilfreich, doch letztendlich müssen Mitarbeiter darüber entscheiden, ob tatsächlich ein Zwischenfall vorliegt. Vielen Unternehmen fällt es schwer, Fachkräfte mit der nötigen Erfahrung zur Erkennung laufender Zwischenfälle zu gewinnen.
Die CrowdStrike Falcon-Plattform wird intensiv für die Reaktion auf Zwischenfälle eingesetzt – insbesondere während der Erkennungs- und Analysephase. Ihre cloudbasierte Architektur ermöglicht deutlich schnellere Reaktionen sowie Behebungsmaßnahmen. Zudem erhalten Sie einen Remote-Überblick über alle Endgeräte in Ihrer Umgebung, sodass Sie das Wer, Was, Wann, Wo und Wie eines Angriffs sofort ermitteln können. Services wie Falcon Complete vereinfachen die Erkennungs- und Analysephase, indem die CrowdStrike-Endgeräteschutztechnologie mit den richtigen Personen, dem nötigen Fachwissen und den erforderlichen Prozessen für die schnelle Behebung eines Zwischenfalls kombiniert wird.
Schritt 3: Eindämmung, Ausschaltung und Wiederherstellung
Die Eindämmungsphase dient dazu, die Folgen eines Zwischenfalls zu begrenzen, bevor es zu weiteren Schäden kommt. Nach der Eindämmung eines Zwischenfalls kann das IR-Team sich die nötige Zeit zum Anpassen seiner nächsten Schritte nehmen. Zu diesen Schritten könnte beispielsweise das Ergreifen aller erforderlichen Maßnahmen gehören, um die Ursache des Zwischenfalls zu beheben und die Systeme wieder in den normalen Betriebszustand zu versetzen.
Diese Entscheidungen können sich auf die Produktivität auswirken, weshalb das IR-Team sie mit Bedacht treffen sollte. Ein IR-Plan erleichtert die Entscheidungsfindung, da er basierend auf den für das Unternehmen akzeptablen Risiken vorab festgelegte Strategien und Verfahren zur Eindämmung definiert.
Strategien zur Eindämmung, Ausschaltung und Wiederherstellung können zum Beispiel anhand dieser Kriterien entwickelt werden:
- Bedeutung der betroffenen Assets
- Art und Schweregrad des Zwischenfalls
- Notwendigkeit der Beweissicherung
- Bedeutung betroffener Systeme für kritische Geschäftsprozesse
- Zur Implementierung der Strategie erforderliche Ressourcen
Diese Prozesse sollten immer dokumentiert werden und Sie sollten auch immer Beweise sammeln. Dafür gibt es zwei Gründe: Einerseits können Sie so Erkenntnisse aus dem Angriff gewinnen und das Know-how des Sicherheitsteams verbessern. Andererseits sind Sie dadurch auch auf potenzielle Rechtsstreitigkeiten vorbereitet.
Schritt 4: Aktivitäten nach dem Zwischenfall
Jeder Zwischenfall sollte als Gelegenheit zum Lernen und Verbessern dienen. In vielen Unternehmen kommt dieser Schritt aber zu kurz. Bedrohungsakteure entwickeln sich permanent weiter und IR-Teams müssen mit den neuesten Techniken, Taktiken und Prozeduren Schritt halten.
Nach einem schwerwiegenden Zwischenfall sollten Sie auf jeden Fall ein Meeting mit allen relevanten Beteiligten durchführen, die gemachten Erfahrungen auswerten und Möglichkeiten identifizieren, mit denen sich die Sicherheit im Allgemeinen und die Zwischenfallreaktion im Besonderen verbessern lassen. Auch nach weniger gravierenden Zwischenfällen wird ein solches Meeting empfohlen. Beziehen Sie bei massiven Angriffen nach Bedarf Personen aus dem gesamten Unternehmen mit ein und achten Sie besonders darauf, Personen dazuzuholen, deren Mitwirken bei künftigen Zwischenfällen erforderlich ist.
Während der Besprechung sollte folgende Fragen geklärt werden:
- Was ist passiert und wann?
- Wie gut hat sich das IR-Team geschlagen?
- Wurden dokumentierte Verfahren befolgt?
- Waren diese Verfahren angemessen?
- Welche Informationen fehlten, als sie gebraucht wurden?
- Welche Aktionen haben die Wiederherstellung verlangsamt?
- Was hätte anders gemacht werden können?
- Was kann getan werden, um künftige Zwischenfälle zu vermeiden?
- Auf welche Vorboten oder Indikatoren sollte in Zukunft geachtet werden?
Dokumentieren Sie wichtige Punkte, die in der Besprechung ausgearbeitet wurden, weisen Sie Aktionspunkte zu und lassen Sie denjenigen, die nicht teilnehmen konnten, ein E-Mail-Protokoll zukommen.
Die Ergebnisse dieser Besprechungen können ein wichtiges Hilfsmittel für Schulungen neuer Mitarbeiter werden. Außerdem können sie zum Aktualisieren von Richtlinien und Verfahren sowie zum Aufbauen von institutionellem Wissen verwendet werden, das sich bei künftigen Zwischenfällen als nützlich erweisen kann.