Was ist ein Incident Response Plan und wie erstellt man einen

Ein Incident Response Plan stellt sicher, dass im Falle eines Sicherheitsverstoßes das richtige Personal und die richtigen Verfahren vorhanden sind, um eine Bedrohung effektiv zu behandeln.

Es ist Freitagnachmittag und nach einer anstrengenden Woche im IT-Helpdesk Ihres Unternehmens sind Ihre Gedanken bei der kalten Flasche Wein, die Sie im Kühlschrank stehen haben – die perfekte Ergänzung zu einem ruhigen Netflix-Abend. Der Gedanke wird unterbrochen, als Ihr Tischtelefon klingelt, wahrscheinlich ein anderer Mitarbeiter, der einen Passwort-Reset anfordert.

Doch die Panik in der Stimme des Anrufers wird schnell deutlich, er kann keine seiner Dateien öffnen und fragt, ob Sie wissen, was eine Bitcoin-Zahlung ist? Wahrscheinlich keine große Sache, Malware auf einem einzelnen Laptop ist nicht das Ende der Welt. Wenn Sie sich jedoch umdrehen und sehen, dass mehrere Telefone im Büro klingeln, scheint die Situation jetzt etwas ernster zu sein als ein einzelner Laptop, der mit Malware infiziert ist. Zu allem Überfluss beugt sich ein Kollege zu Ihnen hinüber, um Ihnen mitzuteilen, dass ein Server mit Kundendaten ebenfalls mit Ransomware infiziert wurde.

Dieses Szenario hat sich schon viele Male auf der ganzen Welt abgespielt, und wie effektiv Sie auf diese Situation reagieren, hängt von der Antwort auf eine Frage ab: „Haben Sie einen Notfallplan?“

Warum Sie einen Incident-Response-Plan brauchen

Es ist entscheidend, dass ein Unternehmen einen Incident-Response-Plan hat, damit unter dem Druck eines Vorfalls die richtigen Entscheidungen getroffen werden können, um die Situation wieder unter Kontrolle zu bringen. Ein Cybersicherheitsvorfall kann eine sehr beängstigende Situation sein, und wenn die Reaktion nicht in einer orchestrierten Art und Weise durchgeführt wird, könnte das potenzielle Ergebnis zu einer schweren Schädigung des Rufs einer Marke führen.

Um einen Cybersicherheitsvorfall effektiv zu bewältigen, benötigt Ihr Unternehmen ein Team, das auf die Reaktion auf Vorfälle spezialisiert ist. Manche Unternehmen nennen dieses Team Computer Security Incident Response Team (CSIRT) – es gibt auch andere Abwandlungen dieses Akronyms wie Security Incident Response Team (SIRT) oder Computer Incident Response Team (CIRT). Die Aufgabe dieses Teams ist die gleiche, egal wie man es nennt – den etablierten Incident-Response-Plan des Unternehmens in Kraft zu setzen, wenn das Bat-Signal ertönt.

Wenn Sie in der Datensicherheit arbeiten, haben Sie täglich mit Sicherheitsvorfällen zu tun. Gelegentlich entpuppt sich ein kleines Sicherheitsproblem als eine echte Live-Paniksituation. Wenn das Bat-Signal aufleuchtet, wird dann jeder wissen, was zu tun ist? Wird jedes CSIRT-Mitglied seine Rolle und Verantwortlichkeiten kennen und den genehmigten Plan befolgen?

Wenn es hoch hergeht und der Druck zunimmt, wird das CSIRT so vorgehen, wie es geübt hat. Wenn es keinen Plan gibt, gibt es keine Garantie, dass sie in der Lage sind, auf einen Cybersecurity-Vorfall richtig zu reagieren.

Es reicht jedoch nicht aus, nur einen IR-Plan zu haben: Das CSIRT-Team muss über die Fähigkeiten und die Erfahrung verfügen, um mit einer potenziell hochstressigen Situation wie dieser umzugehen. Experten für digitale Forensik, Malware-Analysten, Incident Manager und SOC-Analysten werden alle stark involviert sein und sich mit der Situation vor Ort befassen. Dazu gehört es, wichtige Entscheidungen zu treffen, eine gründliche Untersuchung durchzuführen, den wichtigsten Stakeholdern Feedback zu geben und schließlich der Geschäftsleitung zu versichern, dass die Situation unter Kontrolle ist.

Zu all dem kommt oft noch ein Zeitdruck hinzu. Gesetze zur Meldung von Datenschutzverletzungen werden immer häufiger: Die GDPR verlangt zum Beispiel, dass Unternehmen Datensicherheitsvorfälle innerhalb von 72 Stunden nach ihrer Entdeckung melden.

Meine Erfahrung bei der Arbeit an Cybersicherheitsvorfällen hat mir gezeigt, wie wertvoll es ist, einen Plan zur Reaktion auf Vorfälle zu haben. Ich bin in den frühen Morgenstunden zu einem Vorfall gerufen worden, um festzustellen, dass eine Cybersicherheitsverletzung aufgetreten ist, der CEO sucht beim CSIRT nach Antworten und Hinweisen, wie eine Katastrophe abgewendet werden kann. Der Incident Response Plan bedeutet, dass die richtigen Leute mit den richtigen Fähigkeiten und Erfahrungen bei diesem Anruf dabei sind, jeder weiß, was von ihm erwartet wird und welche Verfahren befolgt werden müssen, um die Bedrohung erfolgreich einzudämmen und zu beheben. Diese Struktur zu haben, hat sich immer als unschätzbar erwiesen.

Überlegungen für die Planung der Reaktion auf einen Vorfall

Der Plan für die Reaktion auf einen Vorfall besteht aus Schlüsselkriterien, die entwickelt werden können, wenn die Sicherheitslage eines Unternehmens ausgereift ist. Es gibt mehrere Überlegungen, die bei der Erstellung eines Incident-Response-Plans angestellt werden sollten.

Die Rückendeckung durch die Unternehmensleitung ist von größter Bedeutung. Die Erstellung eines Vorfallsreaktionsplans sollte keine Übung zum Ankreuzen sein. Wenn er nicht von der Geschäftsleitung unterstützt wird, besteht die Gefahr, dass er zu den Akten gelegt wird, bis er gebraucht wird. Die oberste Leitung sollte darlegen, was aus prozessualer und personeller Sicht erforderlich ist, und sicherstellen, dass die erforderliche Unterstützung bereitgestellt wird.

Bestimmen Sie die wichtigsten Beteiligten. Die Kontaktdaten der wichtigsten Personen und Teams innerhalb und außerhalb der Geschäftszeiten müssen dokumentiert werden.

Kommunizieren Sie klar. Die Zuständigkeiten für den Versand von Mitteilungen, die Zuweisung von Aufgaben und die entsprechenden Maßnahmen sollten festgelegt werden. Überlegen Sie auch, wer in die Vorfallskommunikation einbezogen werden muss und wie viele Details je nach Zielgruppe erforderlich sind. Aufgaben, die den Sicherheitsteams zugewiesen werden, müssen präzise und technisch sein, während Updates für die Geschäftsleitung klar und frei von technischem Jargon sein müssen.

Definieren Sie, was ein Vorfall ist. Legen Sie fest, welche Ereignisse im normalen Geschäftsbetrieb behandelt werden können oder wann alle Hände voll zu tun sind und ein Vorfall gemeldet werden muss.

• SCHLÜSSEL-TIPP: Eine Triage-Matrix gibt Aufschluss über den Schweregrad eines Vorfalls, so dass er schnell und richtig priorisiert werden kann.

Pläne und Verfahren sind wichtig. Es ist jedoch das CSIRT, das den Vorfallsreaktionsplan ausführt und die Wiederherstellung des Vorfalls durchführt. Die richtigen Leute und Fähigkeiten müssen vorhanden sein, damit der IRP erfolgreich ausgeführt werden kann.

Das CSIRT besteht aus verschiedenen Teams und jede Rolle ist entscheidend, um einen Vorfall von einer potenziellen Katastrophe in eine Erfolgsgeschichte zu verwandeln. Das CSIRT ist eine Mischung aus erfahrenem, technischem und nicht-technischem Personal, das zusammenarbeitet, um das Ausmaß des Vorfalls zu verstehen, wie er eingedämmt und schließlich behoben werden kann. Die richtigen Leute müssen eingestellt und eingesetzt werden.

Automatisierung ist auch der Schlüssel zur Planung der Reaktion auf einen Vorfall. Wenn man versteht, welche Sicherheitstools zusammen mit ihren Fähigkeiten und ihrer Abdeckung vorhanden sind, ist ein gewisses Maß an Automatisierung möglich. Fein abgestimmte Sicherheitskontrollen stellen sicher, dass Ihre erste Verteidigungslinie, das Security Operations Center (SOC), auf sinnvolle und legitime Alarme reagiert. Zuverlässige und fein abgestimmte Alarme zu haben bedeutet, dass einige Bereiche des Incident-Response-Prozesses automatisch eingeleitet werden können und dass es möglich ist, dass die erste Triage und das Sammeln von Beweisen für einen Vorfall automatisch generiert werden. Wenn Ihre Automatisierung eine große Anzahl von Fehlalarmen erzeugt, führt dies nicht nur zu einer Ermüdung in einem Schlüsselbereich Ihres IRP, sondern es ist auch wahrscheinlicher, dass Sie einen wichtigen Alarm übersehen, wenn er im Rauschen der Fehlalarme untergeht.

Neben einem Incident-Response-Plan muss ein Unternehmen auch einen Disaster-Recovery-Plan in Betracht ziehen. Während ein IRP darauf abzielt, die Bedrohung durch einen Vorfall zu beseitigen, ist ein DRP darauf ausgelegt, die Funktionalität eines Unternehmens wiederherzustellen und es nach einer größeren natürlichen oder von Menschen verursachten Katastrophe wieder online zu bringen. Wenn das Unternehmen nicht funktionieren kann, werden im DRP die Schritte beschrieben, die erforderlich sind, um das Unternehmen wieder online zu bringen.

Ein Unternehmen muss möglicherweise auch berücksichtigen, ob es vom Payment Card Industry Data Security Standard (PCI DSS) betroffen ist. Dieser ist anwendbar, wenn ein Unternehmen Datensätze mit Kreditkartendaten von Kunden verarbeitet, speichert oder überträgt.

Wer ist innerhalb eines Incident Response Plans verantwortlich

Das CSIRT besteht aus spezialisierten Teams, die jeweils eine wichtige Rolle bei der Bewältigung eines Vorfalls spielen.

Die Security Operations Centers (SOC) sind die erste Verteidigungslinie. Sie sind die Soldaten vor Ort, die 24 Stunden am Tag, 7 Tage die Woche im Einsatz sind. Ihre Aufgabe ist es, jeden Sicherheitsalarm zu sortieren, die Beweise zu sammeln und die entsprechenden Maßnahmen zu bestimmen. Da die SOC-Analysten im Schichtbetrieb arbeiten, müssen sie über ein breites Verständnis von Cyber-Sicherheitsbedrohungen verfügen. Sie haben Zugang zu verschiedenen Sicherheitsplattformen und Tools wie SIEM (Security Incident Event Manager) und EDR (Endpoint Detection & Response) Lösungen. Diese Tools können eine Vielzahl von Warnmeldungen generieren, die von DDoS-Angriffen bis hin zu bösartigen Befehlen, die auf einem Gerät ausgeführt werden, reichen können. Die SOC-Analysten müssen in der Lage sein, diese Daten zu verstehen und zu interpretieren. Wenn ein Vorfall als hoch prioritär eingestuft wird oder nicht in den Kompetenzbereich des SOC fällt, ist die Eskalationsstelle das Incident Management Team.

Die Rolle eines Incident Managers wurde mir von einem Kollegen als „Die Kunst, Katzen zu hüten“ beschrieben. Es ist ihre Aufgabe, einen Vorfall in den Griff zu bekommen, die wichtigsten Stakeholder zusammenzubringen und die Diskussion zu führen, um den besten Aktionsplan zu bestimmen. Das Incident Management Team sind die Generäle, sie werden mit Beweisen, Ratschlägen und Meinungen versorgt und geben das Tempo eines Vorfalls vor. Sie bestimmen, welche Aufgaben erledigt werden müssen, wer sie erledigen muss und bis wann sie erledigt sein sollten. Alle Anrufe und Mitteilungen, die für einen Vorfall geplant werden müssen, werden vom Incident Management erledigt.

Das CIRT-Team sind die Special Ops-Soldaten, sie sind nur an hochkarätigen und hochprioritären Vorfällen beteiligt und wenn sie nicht an Vorfällen beteiligt sind, verfeinern und entwickeln sie ihre Fähigkeiten. Während die SOC-Analysten über ein breites Spektrum an Fähigkeiten verfügen, setzt sich das CIRT-Team aus Personen mit speziellen Fähigkeiten und Interessen zusammen, wie z. B. Malware-Analysten und Experten für digitale Forensik. Dieses Team bietet fachkundige technische Beratung und Analyse und wird vom Incident Management mit Aufgaben betraut, die nicht vom SOC durchgeführt werden können.

Das Threat Intelligence Team sind die Scouts, die die Cyber-Bedrohungslandschaft bewerten und verstehen. Wenn sich der Vorfall auf einen kompromittierten Server mit sensiblen Daten bezieht, werden sie das Dark Web nach Beweisen dafür durchsuchen, dass die Daten zum Verkauf stehen. Handelt es sich bei dem Vorfall um eine Malware-Infektion, führt das Intel-Team OSINT-Recherchen (Opensource Intelligence) über die Malware-Familie durch und berät über die Wahrscheinlichkeit, dass es sich um einen gezielten Angriff auf Ihr Unternehmen handelt.

6 Schritte zur Erstellung eines Incident Response Plans

SANS hat vor einigen Jahren das Incident Handler’s Handbook veröffentlicht, das nach wie vor als Standard für IR-Pläne gilt. Es ist ein 6-Schritte-Rahmenwerk, das Sie verwenden können, um Ihren unternehmensspezifischen Plan darauf aufzubauen.

Vorbereitung

Die Vorbereitung auf jeden potenziellen Sicherheitsvorfall ist der Schlüssel zu einer erfolgreichen Reaktion. Ich empfehle dringend, einige Playbooks zu entwickeln, die dem SOC bei der Triagierung eines Vorfalls als Anleitung dienen. Diese geben klare Anweisungen, wie ein Vorfall zu priorisieren ist und wann er eskaliert werden sollte. Diese sollten auf hohem Niveau sein und sich auf bestimmte Bereiche wie DDoS, Malware, Insider Threat, unautorisierten Zugriff und Phishing konzentrieren. Die Playbooks und Prozeduren sollten mit den Personen und Teams getestet werden, die sie verwenden werden. Tabletop-Übungen sind eine hervorragende Möglichkeit, das Wissen zu festigen und zu sehen, ob Verbesserungen vorgenommen werden können.

Identifikation

Sie können eine Sicherheitsbedrohung nur dann erfolgreich beseitigen, wenn Sie die Größe und den Umfang eines Vorfalls kennen. Beginnen Sie mit „Patient Null“, dem ersten kompromittierten Gerät. Das Ziel ist es, die Ursache der Kompromittierung zu verstehen. Konzentrieren Sie sich jedoch nicht nur auf das eine Gerät, könnte sich die Bedrohung ausgebreitet und seitlich verschoben haben?

Die wahre Identifizierung eines Vorfalls erfolgt durch das Sammeln nützlicher Indikatoren für die Kompromittierung (IOCs). Anstatt nur das ursprünglich infizierte Gerät wiederherzustellen, sollten Sie nach eindeutigen IOCs suchen, mit denen Sie in Ihrem gesamten Bestand nach weiteren Hinweisen auf eine Gefährdung suchen können. Wenn sich der Vorfall auf eine Malware-Infektion bezieht, stellen Sie die folgenden Fragen: Welche Netzwerkverbindungen erzeugt die Malware? Stellt die Malware Verbindungen zu irgendwelchen Domänen her? Welche Dateien werden auf der Festplatte erstellt? Welche laufenden Prozesse werden erstellt? Gibt es irgendwelche eindeutigen Registrierungsschlüssel, die erstellt wurden? Diese Daten können dann verwendet werden, um nach weiteren Beweisen für eine Kompromittierung zu suchen und andere infizierte Rechner in Ihrem Anwesen zu identifizieren.

Eindämmung

Wenn der Umfang eines Vorfalls erfolgreich identifiziert wurde, kann der Eindämmungsprozess beginnen. Dabei werden die kompromittierten Geräte innerhalb der Anlage vom Rest des Netzwerks isoliert, um die Ausbreitung eines Angriffs zu stoppen.

Kurzfristige Eindämmung kann verwendet werden, um ein Gerät zu isolieren, das vom Angriffsverkehr betroffen ist. Langfristige Eindämmung kann notwendig sein, wenn eine Tiefenanalyse erforderlich ist, die zeitaufwendig sein kann. Dies kann die Erstellung eines Abbilds des Geräts und die Durchführung einer forensischen Festplattenanalyse beinhalten. Dies kann weitere IOCs generieren und die Identifizierungsphase muss möglicherweise erneut durchgeführt werden.

Eradikation

Wenn der Vorfall erfolgreich eingedämmt wurde, kann die Beseitigung der Bedrohung beginnen. Dies hängt davon ab, was die Ursache für die Kompromittierung eines Geräts war. Das Patchen von Geräten, das Entschärfen von Malware und das Deaktivieren von kompromittierten Konten sind alles Beispiele dafür, was in der Beseitigungsphase eines Vorfalls erforderlich sein kann.

Wiederherstellung

Das Ziel der Wiederherstellungsphase eines Vorfalls ist die Wiederherstellung des normalen Betriebs im Unternehmen. Wenn saubere Backups vorhanden sind, können diese zur Wiederherstellung des Dienstes verwendet werden. Alternativ muss jedes beeinträchtigte Gerät neu aufgebaut werden, um eine saubere Wiederherstellung zu gewährleisten. Möglicherweise muss eine zusätzliche Überwachung der betroffenen Geräte implementiert werden.

Lessons Learned

Nachdem die Bedrohung vollständig beseitigt wurde, besteht der nächste Schritt in der Beantwortung der Frage „Wie können wir verhindern, dass so etwas wieder passiert?“. Es sollte eine Besprechung stattfinden, die als Post Incident Review (PIR) bezeichnet wird und an der Vertreter aller Teams teilnehmen, die an dem Vorfall beteiligt waren. Hier wird besprochen, was während des Vorfalls gut gelaufen ist und was verbessert werden kann. Hier wird der Vorfallsreaktionsplan auf der Grundlage der Ergebnisse des PIR verfeinert, und die Prozeduren und Playbooks werden entsprechend den vereinbarten Änderungen angepasst.

Best Practices für Vorfallsreaktionspläne

Erstellen Sie Playbooks. Durch die Erstellung von Playbooks wird das SOC angeleitet, wie es verschiedene Vorfälle triagiert und die relevanten Beweise sammelt. Konzentrieren Sie sich auf die wichtigsten Angriffsszenarien, mit denen Unternehmen konfrontiert sind – Malware, DDoS, unbefugter Zugriff, Phishing und Insider-Bedrohung. Diese Dokumente sollten umreißen, was eine Eskalation an das Incident Management Team auslöst und welche Beweise gesammelt werden müssen. Halten Sie sie auf hohem Niveau, sie sollten nicht zu granular sein, so dass sie zu komplex werden.

Durchführen von Cyber-Bedrohungsübungen. Bereiten Sie sich auf den Ernstfall vor, indem Sie einige Angriffsszenarien durchspielen, das kann sogar so einfach sein wie das Arrangieren einiger Tabletop-Übungen. Das Erstellen einiger Angriffsszenarien, die von den relevanten Teams durchgesprochen werden können, ist eine großartige Möglichkeit, alle erstellten Playbooks zu testen. Dies hilft auch dabei, etwaige Lücken in einem Vorfallsreaktionsplan zu identifizieren und sollte mindestens einmal im Jahr überprüft werden.

Starten Sie eine Bedrohungsjagd. Darauf zu warten, dass ein Alarm auf einer glänzenden neuen Plattform ausgelöst wird, ist eine Sache; proaktiv nach verdächtigen Aktivitäten zu suchen, ist der Punkt, an dem Incident-Response-Teams zu reifen beginnen. Es ist nicht nur wahrscheinlich, dass eine potenzielle Kompromittierung früher gefunden wird, sondern die Personen, die diese Ad-hoc-Untersuchungen durchführen, entwickeln ihre investigative Denkweise. Diese Fähigkeiten und diese Art von Denkweise sind genau das, was in der Identifizierungsphase eines Vorfalls benötigt wird, indem der Netzwerkverkehr abgefragt, ungewöhnlich verwendete Ports und ungewöhnliche Prozesse untersucht werden, um das Ausmaß eines Vorfalls zu verstehen. Wenn das SOC ein gutes Verständnis dafür hat, wie „normal“ aussieht, wird es viel einfacher, bösartige Aktivitäten zu erkennen.

Vorlagen für Vorfallsreaktionspläne

Die Erstellung eines Vorfallsplans kann ziemlich entmutigend erscheinen. Die Verwendung einer Vorlage bietet jedoch Struktur und Orientierung für die Entwicklung eines erfolgreichen Vorfallsreaktionsplans.

NCSC Planungsleitfaden – Das NCSC (National Cyber Security Centre) ist eine britische Regierungsorganisation, die kritische britische Organisationen in Sachen Cybersicherheit unterstützt. Als wichtige Autorität für Cybersicherheit sind ihre Empfehlungen von unschätzbarem Wert bei der Planung eines Incident-Response-Plans.

Sysnet’s Incident Response Template – Umreißt, wie man einen Sicherheitsvorfall erkennt, die Rollen und Verantwortlichkeiten der wichtigsten Beteiligten, die Schritte des Incident-Response-Plans und was bei verschiedenen Vorfallstypen zu beachten ist.

Incidentresponse.com hat mehrere Playbook-Vorlagen zur Verfügung gestellt, die Szenarien wie Malware, Phishing und unautorisierten Zugriff abdecken und alle dem NIST Incident Response Framework zugeordnet sind. Diese sind eigenständige Dokumente, sollten aber im Incident-Response-Plan referenziert werden.

Um zu verstehen, wann ein Incident-Response-Plan verwendet werden sollte, zeigt Varonis in seinem Incident-Response-Webinar eine Live-Angriffssimulation. Während dieser Simulation geben unsere Sicherheitsanalysten eine kurze Führung durch Varonis für Office 365, führen den Angriff von der Intrusion über die Privilegieneskalation bis hin zur Exfiltration aus und zeigen Ihnen dann, wie Sie DatAlert zur Erkennung und Reaktion einsetzen können.

Was tun nach einem Cyber-Vorfall?

Der Staub legt sich, die Bösewichte sind besiegt und das CSIRT-Team hat den IR-Plan buchstabengetreu befolgt. Was nun? Ziehen Sie Bilanz und rüsten Sie sich für die nächste Begegnung.

Verbessern Sie den IR-Plan oder schauen Sie, wie Sie die bereits vorhandene Überwachung verbessern können: Gibt es zusätzliche Protokolle, die während eines Vorfalls nicht verfügbar waren und aktiviert werden müssen? Gibt es eine Kompetenzlücke innerhalb des Sicherheitsteams? Muss die Patching-Richtlinie des Unternehmens überarbeitet werden? Die ständige Überprüfung und Verfeinerung des Vorfallsprozesses stellt sicher, dass nicht nur die Reaktion auf einen Vorfall verbessert wird, sondern auch die Angriffsfläche reduziert wird. Wenn zusätzliche Kontrollen und Verbesserungen an der Sicherheitslage eines Unternehmens vorgenommen werden, wird dies letztendlich zu weniger Sicherheitsvorfällen führen.