ISX 2021 Security Conference Eine proaktive Reaktion auf Angriffe vorbereiten
Anbieter zum Thema
Jüngste Ereignisse haben gezeigt, dass es möglich ist, wirksam auf eine Krise zu reagieren. Diejenigen, die erfolgreich sind, nutzen die Erfahrungen der Vergangenheit, um ihre Bereitschaft für unvermeidliche zukünftige Risiken proaktiv zu entwickeln. Die Maßnahmen, die sie ergreifen, sind präventiv und kontinuierlich. Unternehmen, die sich mit den Auswirkungen eines Cyberangriffs auseinandersetzen müssen, können viel von dieser "vorbereiteten" Denkweise lernen.

Cyberangriffe sind geschäftliche Realität. Laut einer Bitkom-Studie kostet Cyberkriminalität Unternehmen Milliarden. Die Auswirkungen des Angriffs und der verursachte Schaden hätten jedoch gemildert werden können. Je nachdem, wie ein Unternehmen auf Vorfälle reagiert und Krisenmanagement betreibt, kann ein Angriff mit dem Potenzial, die Geschäftskontinuität zu stören, geringe Auswirkungen haben. Dies kann erreicht werden, indem Vorfälle antizipiert werden und eine Reaktion auf spezifische Bedrohungen, deren Wahrscheinlichkeit und die Motive des Angreifers entwickelt wird. Es ist niemals das Ergebnis eines defensiven Arsenals an Technologien allein.
Bereits früh im IR-Lebenszyklus mit IR beginnen
Incident Readiness, also das ständige Vorbereitet sein auf eine mögliche Kompromittierung, sollte bereits früh im Incident Response (IR) Lebenszyklus integriert werden, so dass die Geschäftskontinuität während eines Angriffs aufrechterhalten werden kann. Sie ist sowohl die Bewertung der aktuellen Sicherheitslage eines Unternehmens als auch eine Reihe von Maßnahmen. Letztere können, wenn sie verbessert werden, die allgemeine Widerstandsfähigkeit des Unternehmens verbessern.
Incident Readiness kann mit der "Vorbereitungsphase" im IR-Lebenszyklus (siehe Bild) in Einklang gebracht werden und beeinflusst alle nachfolgenden Phasen. Sie ist breit angelegt und so konzipiert, dass sie so weit wie möglich vor einem Vorfall beginnt; diese Vorbereitungsphase kann Monate oder sogar Jahre vor einem Vorfall stattfinden. Obwohl diese Vorbereitungsphase für die IR-Praxis von grundlegender Bedeutung ist, wird sie häufig übersehen.
Nach dem Angriff ist vor dem Angriff
Die IR-Unit von F-Secure hat mehrere Vorfälle untersucht und seziert. Nach umfassenden forensischen Untersuchungen dauerte die Behebung von mehreren Vorfällen ohne adäquate Vorbereitung eines Vorfalls mehrere Iterationen. Dies führt bei Unternehmen zu langen Ausfallzeiten, die sich auf den Geschäftsbetrieb auswirkten. Die Untersuchungen ergaben auch, dass Angreifer die Unternehmen ein Jahr vor Erreichen seiner Ziele angriffen haben. In dieser Zeit blieben sie auf mehreren wichtigen Systemen persistent und sammelten systematisch Daten, die später als Grundlage für ihre endgültigen Angriffe dienen sollten.
Im Nachhinein lassen sich drei wichtige Erkennungsereignisse feststellen. Diese stellen den Punkt dar, an dem die Prozesse zur Reaktion auf Vorfälle hätten eingeleitet werden können, was letztendlich zu einem anderen Ergebnis für Unternehmen ohne Vorbereitung hätte führen können.
Der Reaktionsansatz von Unternehmen wird anhand der folgenden wichtigen Erkennungsereignisse, der jeweils ergriffenen Reaktionsmaßnahmen und der anschließenden Auswirkungen dargestellt.
Reaktive Reaktion
Nach Abschluss der Untersuchungen werden kritische Lücken in der Bereitschaftshaltung von Unternehmen ohne Vorbereitung festgestellt. Zumindest die folgenden hochrangigen Bereitschaftsmaßnahmen könnten die Auswirkungen von Vorfällen dieser Art verringern:
- Erstellung eines IR-Plans, in dem die einschlägigen Vorschriften, Schwellenwerte, Schweregrade von Vorfällen, Eskalationsmatrizen sowie die Rollen und Verantwortlichkeiten bei einem Cybersicherheitsvorfall aufgeführt sind.
- Entwicklung von IR-Handbüchern mit detaillierten Prozessabläufen für verschiedene Vorfallskategorien; diese würden das Vorfallsmanagement auf globaler Ebene und Vorfallskategorien auf regionaler Ebene umfassen.
- Schulung von regionalen Vertretern als Ersthelfer, um ihre Verantwortung für die Sicherung von Beweisen unter geeigneten Umständen zu unterstreichen. Dadurch würden sie auch in die Lage versetzt, eine erste Analyse der gesammelten Daten durchzuführen.
- Simulationen zur Reaktion auf Vorfälle, die systematisch für jede Region entwickelt und durchgeführt werden, um die Zustimmung der Regionalbüros zum Reaktionsplan und zum Playbook zu fördern.
Wir können nun überlegen, wie eine proaktive Reaktion für Unternehmen ohne Vorbereitung hätte aussehen können, wenn die oben genannten Elemente zum Zeitpunkt des Vorfalls vorhanden gewesen wären:
Proaktive Reaktion
Unternehmen, die der Incident Readiness einen hohen Stellenwert einräumen, sind besser gerüstet, um die Barrieren zwischen Advanced Persistent Threats (APTs) und ihren Zielen zu erhöhen, bevor es zu einer Kompromittierung kommt. Solche Bedrohungen sind systematisch und erfordern ausreichende Ressourcen, um erfolgreich zu sein. Durch die Aufbewahrung von wichtigen Daten und die Entwicklung von Erkenntnissen zu einem frühen Zeitpunkt in der Angriffskette verringern die von Angreifern benötigten Ressourcen den Wert ihrer Hartnäckigkeit. Anstatt sich auf Prävention zu verlassen und reaktiv zu reagieren, wenn diese fehlschlägt, schreckt dieser proaktiver Ansatz Bedrohungsakteure ab, indem es Unternehmen zu unwirtschaftlichen Zielen macht.
Vorbereitung ist mehr als nur die halbe Miete
Die Fähigkeit eines Unternehmens, die Geschäftskontinuität während eines Cybervorfalls aufrechtzuerhalten und etwaige Verluste in der Zeit danach zu beheben, hängt von der Handhabung des IR-Lebenszyklus ab. Dazu gehört die Vorbereitungsphase, in der kontrollierte und strategische Maßnahmen ergriffen werden können, die auf den Erkenntnissen aus Übungen, fähigkeitsspezifischen Bewertungen und echten Angriffen basieren.
Die untersuchten Vorfälle zeigen, dass die Vorbereitung über die Bereitstellung, Konfiguration und Prüfung von Werkzeugen hinausgeht. Geeignete Werkzeuge sind zwar unerlässlich, können aber allein nicht die Bereitschaft für einen Vorfall gewährleisten. Stattdessen sorgt ihre Einbeziehung zusammen mit dem strategischen Management von Menschen und Prozessen – durch ständig verbesserte IR-Pläne, Playbooks und vereinfachte Verfahren – für eine effektive Reaktion.
Die operative Widerstandsfähigkeit während eines realen Vorfalls ist das Ergebnis eines geschickten Risikomanagements und der technischen Fähigkeiten des CSIRT, zusätzlich zur Leistung der bereits vorhandenen Tools.
Für das interne CSIRT, das während einer Kompromittierung an der Front steht, kann eine proaktive Reaktion dazu beitragen, ein Burnout bei Mitarbeitern zu vermeiden und die Kommunikationskanäle mit dem Führungsteam zu verbessern. Eine solche abteilungsübergreifende Zusammenarbeit ist ein Schritt in Richtung Sicherheit als Geschäftspriorität.
Vorfälle sind in der Tat eine geschäftliche Überlegung und keine rein technische. Die Aufmerksamkeit von Kunden, Partnern, Aufsichtsbehörden und Medien, die sich aus einem Vorfall ergibt, ist ein Grund dafür, Sicherheitsteams zu entwickeln, die für die Abwehr moderner Bedrohungen gerüstet sind, die sich ständig weiterentwickeln und hartnäckig sind. Der Wert von Investitionen in Incident Readiness kann in diesem Zusammenhang den leitenden Interessengruppen als Weg zu mehr Glaubwürdigkeit, Kontinuität und Wachstum dargestellt werden.
Über den Autor: Klaus Jetter ist Regional Vice President bei F-Secure.
(ID:47598250)