Der erste Teil der Security-Serie konzentrierte sich auf den ganzheitlichen Schutz, der durch den Aufbau eines Security Operation Center (SOC) geboten wird. Der Artikel zeigte auf, welche Tools und Experten-Fähigkeiten benötigt werden, um Bedrohungen effektiv zu erkennen und professionell darauf zu reagieren. Dieser zweite Teil beleuchtet nun die Prozesse, die vorhanden sein müssen, um proaktiv auf Bedrohungen innerhalb einer IT-Umgebung zu reagieren.
Unternehmen müssen in der heutigen Zeit stets für allfällige Bedrohungen innerhalb ihrer IT-Umgebung gewappnet sein und im Falle eines Angriffs auf bereits vordefinierte Prozesse zurückgreifen können. Diese Prozesse müssen die sich stets verändernde Bedrohungslandschaft berücksichtigen. Gängige Angriffe basieren typischerweise auf einer einzigen Technik (DDoS, Virus, Trojaner, dateibasiert), die über alle Plattformen hinweg konsistent ist. Mittlerweile sind die sich schnell entwickelnden Bedrohungen aber weitaus fortgeschrittener und nutzen nichtlineare Techniken wie zellbasierte Malware. Diese Angriffe sind andauernder und vielfältiger, wobei Bedrohungsakteure mit spezifischen Zielen einbezogen werden. Es bedarf hier eines ganzheitlichen Ansatzes, der sich die vier Phasen «Abschreckung», «Erkennung», «Reaktion» und «Auswertung» gliedert.
1. Abschrecken
In der Abschreckungs-Phase ist es wichtig, dass jeder im Unternehmen weiss, was zu tun ist, wenn eine Bedrohungslage eintritt: Aus diesem Grund ist es notwendig, die Herangehensweisen und Methoden für den Bedrohungsfall anzupassen. Im Falle eines Vorfalls sollten effektive Berichtsprozesse greifen, um die zuständigen Teams so rasch als möglich zu aktivieren.
Eine gute Möglichkeit zur Vorbereitung ist die Überprüfung der Kontrollmechanismen durch das Zentrum für Internet Security Critical Security Controls. Beispiele für diese Kontrollen sind die Verdichtung der Host-Umgebungen, die Implementierung von Patch-Management und User / Account Monitoring. Diese Kontrollen sind ein empfohlener Ansatz zur Verteidigung gegen Cyberattacken. Sie enthalten spezifische und umsetzbare Möglichkeiten, um die mittlerweile allgegenwärtigen und gefährlichen Angriffe zu stoppen und Prioritäten im Falle einer Bedrohung richtig zu setzen. Damit kann man sich auf eine kleinere Anzahl von Aktionen konzentrieren und dabei gleichzeitig eine grössere Anzahl an positiven Ergebnissen erzielen.
Während sich diese Liste beliebig fortführen liesse – Unternehmen können ihre eigenen kundenspezifischen Richtlinien und Verfahren haben – sollten die angegebenen Methoden den minimalsten Schutz eines Unternehmens gegen Angriffe darstellen. Nur so ist das Security Operation Center in der Lage, eine Bedrohung abzuwehren.
Nun, da Sie Ihre Umgebung mit den oben beschriebenen Best Practices vorbereitet haben, ist Ihr Security Operation Center bereit für konkrete Massnahmen. Denken Sie an die zentralen Schritte zur Abwehr von Angriffsszenarien:
- Vorbereitung: Sammeln und lernen Sie die notwendigen Werkzeuge kennen, machen Sie sich mit Ihrer Umgebung vertraut.
- Identifizierung: Ermittlung des Vorfalls, Festlegung des Umfangs und Einbeziehung der entsprechenden Parteien
- Eindämmung: Dämmen Sie den Vorfall ein, um seine Wirkung auf benachbarte IT-Ressourcen zu minimieren.
- Wiederherstellung: Wiederherstellen des Systems zum normalen Betrieb
- Sicherung/ Neuinstallation: Wiederherstellung des Systems auf normale Operationen, eventuell über Neuinstallation oder Backup
- Nachbearbeitung: Weitergabe der gesammelten Daten und Besprechung neugewonnener Erkenntnisse und Learnings
2. Erkennen
In der Erkennungs-Phase ist es entscheidend, nicht nur Systeme und Netzwerke zu überwachen, sondern auch proaktiv zu agieren. Raffinierte Angreifer wissen, wie man traditionelle Verteidigungsmethoden umgeht.
Der bedrohungszentrierte Ansatz ermöglicht es, Verhaltensänderungen sowohl auf der Netzwerk- als auch auf der Host-Ebene zu erkennen. Um die Veränderungen im Verhalten zu erfassen, ist eine proaktive Cyber-Jagd, sowie eine Echtzeit-Bedrohungs-Intelligenz ratsam.
Für weiterführende Informationen in Bezug auf Erkennungsverfahren ist der Fragebogen initial security incident eine gute Möglichkeit, um sich in einem ersten Schritt mit dem Thema auseinanderzusetzen.
3. Reagieren
In der Reaktions-Phase ist es wichtig, dass das Personal im Sicherungsbetrieb in der Lage ist, proaktiv zu handeln, wenn sie Bedrohungen in der Umgebung beobachten. Allzu oft wird dieser Schritt dem Zufall überlassen und ist dann ungenau oder dauert zu lange. Damit gewinnt der Angreifer letztlich Zeit und kann ungehindert in das System eindringen. Die Zeitfrage ist also enorm wichtig.
Das Security Operation Center muss in der Lage sein, durch vorab genehmigte Massnahmen sofort auf Bedrohungen in der Umgebung zu reagieren. Diese Massnahmen sollten von den Stakeholdern und der Betriebszentrale gemeinsam vereinbart werden. Abweichungen und Ausnahmen von der festgelegten Handhabung sollten dem Team bekannt sein und entsprechend dokumentiert werden.
4. Auswerten
Schliesslich ist eine ordnungsgemässe Auswertung und Analyse erforderlich. Diese Berichterstattung wird in der Regel eine der drei Meldungsformen beinhalten: Sofortbericht, wöchentlicher Turnus und monatlicher Turnus.
Sobald ein Vorfall eintritt, sollte innerhalb von 90 Minuten nach dem Vorfall ein Sofortbericht an die Stakeholder der Organisation übermittelt werden. Dieser Bericht gibt Auskunft über die Tätigkeit in der IT-Umgebung, die es dem Analytiker ermöglicht, die Bedrohung und ihre Schwere zu bestimmen. Sofortberichte sind dynamisch und werden in Echtzeit so weit wie möglich aktualisiert.
Wöchentliche Berichte sollten die Bedrohungen in der Umgebung und die Schwere der Bedrohung aufzeigen. Monatliche Berichte beinhalten detaillierte Erkenntnisse der wöchentlichen Berichte und bilden eine zukunftsorientierte Bedrohungsintelligenz ab, die es den Stakeholdern ermöglicht, potenzielle zukünftige Bedrohungen für die Umgebung zu betrachten und die Abschreckungs-, Erkennungs- und Reaktionsprozesse anzupassen. Damit kann das Risiko für künftige Anfälligkeiten reduziert werden.
Diese vier beschriebenen Phasen und ihre Prozesse helfen Unternehmen, sich optimal gegen Bedrohungen von aussen zu schützen. Sie stellen einen ganzheitlichen Ansatz sicher – von der Abwehr von Bedrohungen bis hin zum Lernen aus bereits vergangenen Angriffen – und bieten jeder Firma eine gute Grundlage, wie eine erfolgreiche Strategie zum Schutz gegen Angriffe aussehen sollte. Wenn es um das Thema Sicherheit geht, sind eine durchdachte Strategie und klar definierte Prozesse die halbe Miete.
