Die Entwicklung eines Prozesses für die Reaktion auf Sicherheitsvorfälle muss als ein lebendiges Dokument betrachtet werden. Pläne für die Reaktion auf Sicherheitsvorfälle ändern sich immer häufiger, da die globale Bedrohungslandschaft immer schwieriger wird. Die Einführung von künstlicher Intelligenz (KI) durch Hacker verändert die Bedrohungslandschaft. KI stärkt Hacker, indem sie sie mit neuen Fähigkeiten ausstattet, einschließlich nahezu perfekter E-Mail-Phishing-Inhalte, die Malware schneller machen und die Angriffsgeschwindigkeit erhöhen.
Unternehmen, die bereits eine Zunahme von Cyberangriffen auf ihre kritischen Ressourcen, einschließlich Phishing-Angriffen, Ransomware-Angriffen und Identitätsbedrohungen, beobachten, erkennen die Notwendigkeit, ihre Fähigkeiten zur Reaktion auf Vorfälle und zum Fallmanagement zu überarbeiten und kontinuierlich zu aktualisieren.
ForeNova, ein weltweit tätiger Managed Security Service Provider (MSSP), weiß, wie wichtig es ist, ein Security Operations (SecOps) Team aufzubauen. SecOps erfordert entscheidende Investitionen in Tools für die Reaktion auf Vorfälle, einen bewährten Prozess für die Reaktion auf Angriffe und die Rekrutierung der besten Talente.
Ist Ihr Plan für die Reaktion auf Cybervorfälle überholungsbedürftig? Wenden Sie sich noch heute an die Incident-Response-Experten von ForeNova, um Ihre aktuelle und zukünftige Strategie zu besprechen!
Was ist Cybersecurity Incident Management?
Cybersecurity incident management involves detecting the threat, responding to the event, executing the proper remediation, establishing proper notification and reporting, and creating a workflow for closing the event within the case management system.
Das Cybersecurity Incident Management System muss zu einer universellen Plattform für verdächtige Aktivitäten über alle Plattformen hinweg werden. Es muss Einblick in alles haben, vom Identitätsmanagementsystem des Unternehmens bis hin zu Firewalls, Intrusion-Prevention-Systemen, Insider-Bedrohungen, Endpunkten, Hosts, virtuellen Maschinen, Netzwerken, Cloud-basierten gehosteten Anwendungen und persönlichen Geräten, einschließlich mobiler Geräte.
Die Bedeutung des Vorfallsmanagements für die Cybersicherheit
Die meisten komplexen Cyber-Ereignisse erfolgen über mehrere Angriffsflächen innerhalb des Unternehmensnetzwerks. Ein Hacker könnte einen Denial-of-Service-Angriff (DoS) gegen die Cloud-Instanzen des Unternehmens durchführen und gleichzeitig einen Brute-Force-Angriff auf das Identitätsmanagementsystem versuchen.
Ein zentralisiertes System zur Verwaltung von Vorfällen mit Einblick in diese Angriffe hilft dem Unternehmen, schnell zu erkennen, ob es sich um ein isoliertes Cyber-Ereignis oder um einen Teil einer größeren Kill Chain handelt.
Kritische Komponenten eines effektiven Notfallmanagementplans
Pläne für das Management von Vorfällen erfordern bewährte adaptive Kontrollen und Prozesse, die diese Tools nutzen, um Ereignisse zu erkennen, darauf zu reagieren, sie zu beheben und darüber zu berichten.
Erkennung und Identifizierung von Vorfällen
Netzwerkerkennung, hostbasierte Erkennung, Endpunkt-Erkennung und Erkennung der Anwendungssicherheit sind Beispiele für Tools, die alle Unternehmen aktivieren müssen. Viele dieser Tools verfügen inzwischen über integrierte künstliche Intelligenz (KI) und maschinelles Lernen (ML) in ihren Produkten. KI- und ML-Erkennungsfunktionen sind entscheidend für Unternehmen, die mit KI-Angriffen von Hackern konfrontiert sind.
Die korrekte Identifizierung und Klassifizierung der Angriffe hilft SecOps und IT Operations bei der Entscheidung, welche Abhilfemaßnahmen zur Behebung des Problems anzuwenden sind.Wenn die Erkennungsschicht einen Denial-of-Service-Angriff (DoS) feststellt, benachrichtigt die Vorfallserkennung das Netzwerksicherheitsteam, das weitere Untersuchungen durchführt.
Eine genaue Erkennung und Identifizierung ist entscheidend, um sicherzustellen, dass Cyber-Ereignisse an verschiedene Teams zur Weiterverfolgung weitergeleitet werden. Die Reduzierung falsch positiver und negativer Ergebnisse ist für Unternehmen auch wichtig, um die unnötige Arbeitsbelastung der SecOps- und IT-Betriebsingenieure zu verringern.
Reaktion auf Vorfälle und deren Eindämmung
Nach der Erkennung eines Sicherheitsereignisses ist die Fähigkeit zur Reaktion und Eindämmung von entscheidender Bedeutung für den Schutz der Vermögenswerte des Unternehmens. Die Art und Weise, wie ein Unternehmen reagiert, einschließlich der Fähigkeit, Angriffe wie Ransomware einzudämmen, ist von entscheidender Bedeutung für die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) der Systeme des Unternehmens.
Fehlgeschlagene Reaktionen auf Vorfälle, wie das versehentliche Sperren des Zugriffs auf eine Anwendung oder das Zurücksetzen von Administratorkennwörtern, können zu noch größeren systemweiten Ausfällen führen. Wenn es nicht gelingt, einen sich seitlich ausbreitenden Angriff wie Ransomware einzudämmen, führt dies zu noch größeren systemweiten Datenverletzungen und Ausfällen.
Die Definition eines effektiven Reaktionsplans auf Vorfälle, einschließlich der Implementierung von SOAR (Security Orchestration, Automation and Response) und anderer proaktiver Maßnahmen, ist von entscheidender Bedeutung. Die in die Reaktion auf Vorfälle eingebettete Automatisierung ist für SecOps von entscheidender Bedeutung, um das Lastmanagement zu unterstützen. Hacker, die verschiedene KI-Tools verwenden, können die Angriffsgeschwindigkeit auf ein viel größeres Ausmaß erhöhen, als dass menschliche Techniker in der Lage wären, jeden Angriffsfaden zu analysieren.
Wiederherstellung und Behebung von Vorfällen
Einer der wichtigsten Schritte bei der Reaktion auf Vorfälle ist die Behebung und Wiederherstellung. Nach der Erkennung, Klassifizierung und Identifizierung des Angriffsereignisses, die im Incident Management System aufgezeichnet werden, ist die Implementierung von SOAR-Funktionen der nächste wichtige Schritt. Im Rahmen von SOAR können beispielsweise Patches, Updates, Betriebssysteme, Neustarts von Diensten oder sogar das Entfernen des Objekts aus dem gefährdeten Netzwerk durchgeführt werden.
Analyse und Berichterstattung nach einem Vorfall
Diese Vorfallsmanagement-Tools müssen dabei helfen, die verschiedenen Rollen von SecOps und IT Operations im Cyber-Resilience-Plan zu dokumentieren, um sicherzustellen, dass die richtigen Ressourcenteams die Sicherheitsbedrohung angehen und ihre Aktionen innerhalb desselben Vorfallsmanagementsystems melden.
Die Analyse nach einem Vorfall wird wesentlich effizienter, wenn die Organisation dasselbe Vorfallmanagementsystem verwendet. Mit einem zentralisierten System können Unternehmen ihre Ursachenanalyse (RCA) schneller und effizienter abschließen. Auch die automatisierte Berichterstattung und Benachrichtigung wird effizienter, wenn die Organisation dieselbe Incident-Management-Plattform nutzt.
Best Practices für das Management von Cybersicherheitsvorfällen
Organisationen, die eine flexible, agile und flüssige Strategie für die Reaktion auf Zwischenfälle entwickeln, müssen Folgendes berücksichtigen:
- Entwickeln Sie einen Plan zur Reaktion auf Vorfälle, der die Automatisierung maximiert, um die Belastung der SecOps- und IT-Operations-Techniker zu verringern.
- Nutzen Sie die branchenüblichen Rahmenwerke für die Reaktion auf Vorfälle von NIST, ISO, ISACA, SAN und Cloud Security Alliance. Diese Frameworks bieten bewährte Verfahren für die Einrichtung von Verfahren und Arbeitsabläufen zur Reaktion auf Vorfälle.
- Stellen Sie sicher, dass Ihr Team bei der Reaktion auf einen Vorfall die sechs häufigsten Funktionen einbezieht:
- Die Vorbereitungsphase umfasst die Erstellung und Pflege von Ablaufplänen, SOAR-Antworten und Risikobewertungsaufträgen.
- Die Erkennungsphase muss die Fähigkeit beinhalten, die notwendigen Artefakte für jedes Sicherheitsereignis zu erkennen und zu sammeln.
- Eindämmungsfunktionen, einschließlich der Nutzung der Netzwerksegmentierung, tragen dazu bei, die Ausbreitung von Angriffen zu verhindern.
- Die Ausrottung mit Hilfe von Abhilfemaßnahmen stellt sicher, dass die eigentliche Ursache des Angriffs beseitigt wird und im Bericht nach dem Vorfall gut dokumentiert ist.
- Entwicklung und Pflege von Notfallplänen für die häufigsten Angriffe, einschließlich Malware, E-Mail-Phishing, Identitätsdiebstahl, DoS-Angriffe und Man-in-the-Middle-Angriffe.
- Aufbau eines Reaktionsteams für Zwischenfälle mit verschiedenen Ressourcen aus den Bereichen SecOps, IT Operations, Anwendungssicherheit und Netzwerktechnik.
Die meisten Unternehmen beauftragen MSSPs wie ForeNova auch damit, ihre SecOps-Teams mit Ressourcen für die Reaktion auf Vorfälle und die Fehlerbehebung zu verstärken. Die Ingenieure von ForeNova unterstützen ihre Kunden auch bei der Bedrohungsmodellierung, der kontinuierlichen Bewertung neuer Tools und der Anpassung automatischer Kontrollen.
Tools und Technologien für das Incident Management
Die Auswahl der richtigen Tools für das Incident Management beginnt damit, dass das Unternehmen seine Erfolgsfaktoren für das Incident Management und die Reaktion darauf definiert. Es gibt verschiedene Tools für das Incident Management. Einige bieten mehrere Ebenen von Tools und Workflows, während andere auf ein bestimmtes Framework zugeschnitten sind.
Im Folgenden finden Sie die wichtigsten Elemente, die Unternehmen bei der Auswahl einer Incident-Management-Plattform berücksichtigen sollten:
- Benutzerfreundlichkeit: Ist das Tool zu komplex, als dass die eigenen Ingenieure es beherrschen könnten? Ist das vom Softwarehersteller bereitgestellte Dokument relevant und aktuell?
- Benutzeroberfläche (UI): Ist die Benutzeroberfläche auch für Nichttechniker leicht zu bedienen?
- Anpassung: Verfügt die Incident-Management-Plattform über Konnektivitätsoptionen mit anderen Plattformen über eine sichere API, die Asset-Management, Patching-Lösungen und Automatisierungstools umfasst?
- Verlässlichkeit: Funktioniert das Störfallmanagement auch bei hoher Belastung?
Im Folgenden finden Sie eine Übersicht über die wichtigsten heute verfügbaren Tools für das Vorfallmanagement. Diese Tools passen gut zu den kritischen Elementen einer Incident-Management-Lösung.
ServiceDesk
ServiceDesk Plus bietet umfassende Tools für die Verwaltung von Vorfällen, die Wartung und den plattformübergreifenden Support. Allerdings müssen Sie sich für die teureren Preispläne entscheiden, um Zugang zu erweiterten Funktionen wie ITIL zu erhalten. Das breite Spektrum an Diensten kann für neue Benutzer überwältigend sein.
Zendesk
Zendesk ist eine wichtige Software für das Incident Management System, die verschiedene Ressourcen miteinander verbindet, um den Benutzern zu helfen, Incidents selbständig zu lösen.
"Zendesk unterstützt viele Integrationen und Kanäle, wie Zoom, Amazon Connect und mehr. Die intuitive Benutzeroberfläche macht die Bearbeitung von Tickets aus Anrufen, E-Mails und Chats einfach.
Mit ihrer benutzerfreundlichen Oberfläche und der Ticket-Verwaltung eignet sich diese Lösung gut für mittlere bis kleine Unternehmen, ist aber für größere Firmen möglicherweise nicht geeignet, um ein hohes tägliches Aufkommen an Vorfällen zu bewältigen.
BigPanda
"BigPanda nutzt maschinelles Lernen, um Alarme, Ausfallzeiten oder Vorfälle in verschiedenen Datenquellen zu erkennen und deren Ursprung sofort zu lokalisieren."
Darüber hinaus zeichnet es sich durch die Konsolidierung von Alarmen aus verschiedenen Systemen in einer einzigen Datenbank und die Beseitigung redundanter Einträge für denselben Vorfall aus. Es bietet Anpassungsoptionen mit vielen Integrationen, wie Jira, Slack und Amazon CloudTrail.
BigPanda spart Geld und beschleunigt die Abläufe in der IT-Abteilung durch intelligente Gruppierung von Warnmeldungen. Allerdings sind Incident-Management-Tools teuer und können ein Loch in Ihre Tasche reißen.
ServiceNow
"ServiceNow SecOps umfasst KI-gestützte Plattformfunktionen, mit denen Sie Kosten senken und gleichzeitig einen reibungslosen Kundenservice bieten können. Automatisieren Sie die Problemlösung und ermöglichen Sie intelligenten Self-Service. Versorgen Sie Ihre Agenten mit Informationen und Intelligenz in Echtzeit."
Diese Lösung unterstützt die Automatisierung von Supportanfragen und die Erstellung von SecOps-Workflows, kann aber bei der Organisation von Benutzeranfragen auf Schwierigkeiten stoßen, und einige Benutzer könnten die Preise als etwas hoch empfinden.
Fallstudie: Plattform für das Management von Unternehmensvorfällen
Automobilzulieferer transformiert Cybersecurity mit NovaMDR
Der Automobilzulieferer hatte mit verschiedenen Cybersicherheitsproblemen zu kämpfen, die seinen Betrieb behinderten. Das lokale Sicherheitsteam war nicht in der Lage, die Analyse von Phishing-E-Mails aus dem Ausland und die Benachrichtigung über erfolgreiche Angriffe durch höhere Behörden zu bewältigen. Außerdem bestand die Produktionsumgebung aus veralteten, in das Betriebssystem eingebetteten Computern, was die Installation herkömmlicher Endpunkt-Erkennungssoftware unmöglich machte. Dies führte zu Leistungsproblemen und einem anfälligen Netzwerk, da verschiedene Viren auf den Systemen des Unternehmens ihr Unwesen trieben.
Zitat eines Kunden: "Bevor wir mit ForeNova zusammenarbeiteten, war unser Sicherheitsteam ständig mit der Anzahl der Bedrohungen und Vorfälle, die es zu bewältigen hatte, überfordert. Die NovaMDR-Lösung war in der Tat ein Wendepunkt für unsere Organisation."
CTO des Automobilzulieferers
Aufbau eines Cybersecurity Incident Management Teams
Der erste Schritt beim Aufbau eines SecOps-Teams besteht darin, zu definieren, warum man ein solches Team braucht. Durch die Bewertung der aktuellen Fähigkeiten des Unternehmens lässt sich feststellen, ob es möglicherweise operative Lücken gibt. Unternehmen müssen das Risiko dieser Lücken im Vergleich zum Nutzen der Einstellung von SecOps-Ingenieuren oder des Outsourcings an einen MSSP bewerten.
Der zweite Schritt beim Aufbau eines SecOps-Teams ist die Definition der verschiedenen Rollen. Die Rollendefinition sollte sich an den Prozessen orientieren, die im Rahmen des Arbeitsablaufs für die Reaktion auf Vorfälle definiert wurden. Eine Rolle sollte die Ermittlung und Klassifizierung von Bedrohungen sein. Die zweite Rolle sollte die Analyse der Bedrohung durch den Vorfall sein. Diese Rolle bestimmt, welche Auswirkungen dieser Angriff auf das Unternehmen haben wird. Die dritte Rolle ist der Incident Response Engineer. Diese Rolle wird entweder aktiv oder überwacht die verschiedenen Automatisierungsabläufe. Die vierte Rolle ist der Post-Event-Engineer. Diese Rolle konzentriert sich auf den Abschluss des Falls, die Durchführung einer Ursachenanalyse (RCA) und die Erstellung des Berichts als Lektion.
Der nächste Schritt beim Aufbau eines SecOps konzentriert sich darauf, welche Art von Ingenieuren das Unternehmen einstellen sollte. Die SecOps-Teams benötigen eine vielfältige Gruppe von Talenten mit einem gemeinsamen Hintergrund in den Bereichen Netzwerksicherheit und Incident Response sowie Fachwissen in einem bestimmten Bereich, z. B. Endpunktsicherheit, hostbasierte Sicherheit oder Sicherheitsautomatisierung.
Schlussfolgerung: Stärkung Ihrer Cybersicherheitsposition
Die Vorbereitung auf den nächsten Zero-Day-Angriff beginnt mit der täglichen Entwicklung und Pflege von SecOps-Funktionen und -Prozessen. Die korrekte Ausrichtung der Ressourcen auf die richtige Cybersicherheitsarchitektur trägt dazu bei, dass sich das Unternehmen weiter in Richtung eines proaktiven Modells für die Reaktion und das Management von Vorfällen bewegt und weniger reaktiv ist.
Unternehmen, die Hilfe benötigen, um die Talente und das finanzielle Kapital für den Aufbau einer eigenen SecOps-Abteilung zur Bewältigung der zunehmenden Angriffsgeschwindigkeit zu erhalten, sollten den Aufbau einer Beziehung zu MSSPs wie ForeNova in Betracht ziehen.
Probieren Sie den MDR aus
Die Managed Services von ForeNova, einschließlich des Managed Detection and Response (MDR)-Angebots, helfen Unternehmen, die heutigen SecOps-Anforderungen zu erfüllen.
Möchten Sie mehr erfahren? Klicken Sie hier, um noch heute eine Demonstration der MDR-Funktionen von ForeNova zu vereinbaren!
.svg)
.svg)
.svg)
.svg)
.svg)
