Firmenfachbeitrag
03.09.2018, 08:25 Uhr
Incident Response – der Schlüssel zur Cyber Security
Cyber-Angriffsversuche lassen sich nicht verhindern. Deshalb ist es entscheidend, Cyberattacken schnell zu erkennen, mit einem dedizierten Incident Response-Team umgehend darauf zu reagieren und die Cyber Security nachhaltig zu optimieren.
Durch die fortschreitende Digitalisierung von Geschäftsprozessen sind IT-Systeme essentiell für ein Unternehmen. Der Schutz von Netzwerken und Unternehmenswerten wird aber immer schwieriger; insbesondere vor anspruchsvollen Attacken, die durch herkömmliche Sicherheitssysteme nicht mehr erkannt werden. Daher muss heutzutage davon ausgegangen werden, dass die eigenen Systeme bereits infiltriert sind ‒ oder, dass man nächstens Opfer einer Attacke wird.
Ein Sicherheitsvorfall (engl. Security Incident) kann das betroffene Unternehmen empfindlich treffen und liegt vor, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit eines Informationswertes verletzt wird. Finanzieller Schaden und Reputationsverlust gehören dabei noch zu den «leichteren» Folgen. Und so gilt es, die eigenen Abwehrkräfte gegen Cyberattacken gezielt zu stärken.
Abwehr gegen Cyberattacken stärken
Cyber Resilience bedeutet aber nicht, Risiken gänzlich auszuschliessen. Das ist heutzutage ohnehin unmöglich. Umso mehr ist der Aufund Ausbau zielgerichteter Massnahmen zur Stärkung der Widerstandskraft gegen Cyberattacken unabdingbar. Den Fokus nur auf präventive Massnahmen zu legen, ist definitiv zu kurz gegriffen. Ein systematischer Sicherheitsansatz, der sowohl das Risikomanagement, den Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse sowie die Wiederherstellung und Optimierung berücksichtigt, ist das A und O einer erfolgreichen Cyber Security-Strategie. Unternehmen können und müssen sich auf Cyberattacken vorbereiten. Dabei kann man sich aber nicht mehr nur auf (immer) höhere ICT-Sicherheitsmauern verlassen. Der Trend geht klar in Richtung einer intensiveren Überwachung von Sicherheitssystemen und der Erkennung von Vorfällen, wie es auch das NIST Cyber Security Framework empfiehlt. Es braucht neue Sicherheitsansätze, bei welchen die Detektion im Vordergrund steht und die Reaktion auf Angriffe (Incident Response) ein wesentlicher Bestandteil der IT-Prozesse ist – und zwar mit einem anderen Ansatz als dem herkömmlichen. Nämlich mit agieren, statt reagieren.
Incident Response als Schlüssel zur Cyber Security
Da sich Sicherheitsvorfälle nicht mehr ausschliessen lassen, wird Incident Response immer wichtiger. Als Incidents sind dabei Voroder Störfälle gemeint, die sich bei nicht angemessenen Reaktionen zu einem Desaster entwickeln können. Dazu gehören Datensicherheitsverletzungen, DoS-/DDoS-Attacken, Lücken oder Schwachstellen in IT-Systemen, Ausbrüche von Viren oder Malware sowie Bedrohungen durch Insider. Diese Aufzählung ist jedoch bei weitem nicht abschliessend. Kommt es im Unternehmen zu einem solchen Sicherheitsvorfall, muss man dies so schnell wie möglich erkennen. Die Einschätzung der Art und des Schweregrads ist unabdingbar, damit angemessen darauf reagiert werden kann.
Bahnt sich beispielsweise ein Virus den Weg in das Unternehmensnetzwerk, würde man dies anfänglich wohl als einen Vorfall behandeln. In dem Fall nimmt man an, dass sich das Problem schnell mithilfe entsprechender Software-Tools und Security-Techniken adressieren lässt. Sollte der Virus Ursache für einen gross angelegten DoS-Angriff sein, wird der Vorfall schnell zu einem Desaster. Wahrscheinlich wäre die Geschäftstätigkeit sogar komplett unterbrochen. Ein gut organisiertes Incident Response-Team mit einem detaillierten Plan kann helfen, die Auswirkungen einer solch ungeplanten Situation zu minimieren.
Cyber Defence Center als Dreh- und Angelpunkt
Ohne ein entsprechendes CSIRT (Cyber Security Incident Response-Team) entdecken Unternehmen Angriffe möglicherweise gar nicht oder zu spät. Somit können sie nicht angemessen auf die Bedrohungen reagieren. Ein dediziertes Incident Response-Team mit den entsprechenden Hilfsmitteln ist
deshalb unabdingbar. Aber auch die Wiederherstellung nach einem Vorfall ist ohne einen Incident Response-Plan oftmals problematisch. Die Security Incident Response kann durch einen generischen, aus sechs Phasen bestehenden Prozess erfolgen. Auch Organisationen wie SANS oder NIST empfehlen diesen Ansatz:
deshalb unabdingbar. Aber auch die Wiederherstellung nach einem Vorfall ist ohne einen Incident Response-Plan oftmals problematisch. Die Security Incident Response kann durch einen generischen, aus sechs Phasen bestehenden Prozess erfolgen. Auch Organisationen wie SANS oder NIST empfehlen diesen Ansatz:
- Vorbereitung: Sowohl die Anwender als auch die IT-Mitarbeitenden müssen geschult oder in Kenntnis gesetzt werden, dass potenzielle Vorfälle zu jeder Zeit passieren können. Weitere hilfreiche Ressourcen beinhalten aktuelle Dokumentation und Checklisten für die Security Incident Response.
- Identifikation: Zuerst muss festgestellt werden, ob es sich bei einem Ereignis tatsächlich um einen Sicherheitsvorfall handelt oder nicht. Im Falle eines Security Incidents müssen dabei der Scope (inklusive der Detektion aller betroffenen Systeme, Netzwerke und Applikationen) sowie die Vorgehensweise des Angriffs (eingesetzte Tools und Angriffsmethoden) analysiert werden.
- Eindämmung: Danach gilt es, den durch den Vorfall verursachten Schaden zu begrenzen und die betroffenen Systeme zu isolieren, um eine weiteren Ausbreitung zu vermeiden. Dies erfolgt in drei Schritten. Dabei wird im ersten Schritt Schadensbegrenzung betrieben. Im zweiten Schritt können IT-forensische Images der betroffenen Systeme erstellt werden, welche für allfällige forensische Untersuchungen benötigt werden. Im letzten Schritt werden die Systeme temporär repariert, so dass sie wieder produktiv gehen können. Parallel werden «saubere» Systeme aufgesetzt.
- Beseitigung: Hier gilt es, die Ursache oder den Auslöser des Vorfalls zu finden und die betroffenen Systeme aus der produktiven Umgebung zu entfernen. Meistens ist ein komplettes Re-Imaging aller betroffenen Systeme notwendig um sicherzustellen, dass jegliche bösartigen oder rechtswidrigen Inhalte entfernt wurden.
- Wiederherstellung: Nun werden die betroffenen Systeme wieder in die produktive Umgebung integriert. Natürlich erst nachdem sichergestellt ist, dass keine weiteren Bedrohungen bestehen.
- Erkenntnisse: Abschliessend sollen die «Lessions Learned» aus dem Vorfall gezogen werden. Dabei können eventuell Massnahmen definiert werden mit dem Ziel, zukünftige, ähnliche Incidents zu verhindern oder zumindest die negativen Folgen zu vermindern. Dies kann auch Einfluss auf den definierten Incident Response-Plan und das Team haben. So lassen sich künftige Reaktionen und Vorgehensweisen unter Umständen verbessern.
Cyberattacken – die Kehrseite der Digitalisierung
Cyberattacken lassen sich nicht verhindern. Deshalb ist die Erkennung, Analyse und Abwehr von Cyberangriffen umso wichtiger. Ein dediziertes Incident Response-Team in einem Cyber Defence Center hilft einem Unternehmen, die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden zu minimieren sowie den Business Impact drastisch zu reduzieren. Cyber Defence ist eine anspruchsvolle Arbeit – und geht weit über Netzwerk-Monitoring hinaus. Deshalb empfiehlt es sich, professionelle Hilfe beizuziehen. So sind Unternehmen den Cyber Security Incidents nicht schutzlos ausgeliefert und profitieren gleichzeitig von der Erfahrung und den Erkenntnissen aus anderen Sicherheitsvorfällen. Dies hilft schlussendlich, die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.
Zum Autor
Mathias Fuchs, Head of Cyber Defence bei InfoGuard
Zum Unternehmen: Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. State-of-the-Art Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und eine Niederlassung in Bern. Ihre 100 Sicherheitsexperten sorgen sich tagtäglich um die Cyber Security bei über 300 Kunden in der Schweiz. InfoGuard ist ISO/IEC 2700:2013 zertifiziert.
Mehr Informationen: InfoGuard AG, Lindenstrasse 10, 6340 Baar, www.infoguard.ch
Dieser Beitrag wurde von InfoGuard zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.