Sicherheit

Incident Response – Best Practices für eine effektive Strategie

In dieser letzten Folge der dreiteiligen Serie zum Thema Incident Response werden Techniken vorgestellt und näher beleuchtet, die Ihrem Unternehmen helfen sollen, eine wirkungsvolle Strategie zum Schutz vor Sicherheitsvorfällen entwickeln zu können. Eine durchdachte Incident-Response-Strategie ist heutzutage unerlässlich für jedes Unternehmen. Dabei geht es nicht nur darum, auf Vorfälle schnell und effektiv zu reagieren, sondern […]

Mär 28, 2025 - 19:11
 0
Incident Response – Best Practices für eine effektive Strategie

In dieser letzten Folge der dreiteiligen Serie zum Thema Incident Response werden Techniken vorgestellt und näher beleuchtet, die Ihrem Unternehmen helfen sollen, eine wirkungsvolle Strategie zum Schutz vor Sicherheitsvorfällen entwickeln zu können. Eine durchdachte Incident-Response-Strategie ist heutzutage unerlässlich für jedes Unternehmen. Dabei geht es nicht nur darum, auf Vorfälle schnell und effektiv zu reagieren, sondern auch darum, sich proaktiv auf potenzielle Bedrohungen vorzubereiten. Spezielle Tools bzw. Implementierungen wie ein SIEM, können hierbei einen großen Sicherheitsvorteil bieten.

Frühzeitige Bedrohungserkennung und Reaktion

Einer der wichtigsten Bausteine für eine erfolgreiche Incident-Response-Strategie ist die kontinuierliche Sammlung und Analyse von Informationen, die in einen Zusammenhang mit Bedrohungen gebracht werden können. Das Vorgehen hierbei wird als „Threat Intelligence“ bezeichnet. Hierbei werden Daten und Erkenntnisse ausgewertet, die Unternehmen helfen, potenzielle Angreifer zu identifizieren, deren Methoden zu verstehen und Schwachstellen im System frühzeitig zu erkennen, und oft auch in Schweregrade eingestuft. Diese stammen oft aus kommerziellen Quellen, wie der weltweiten Wissensdatenbank MITRE ATT&CK, die Informationen zu Cyberangriffsszenarien gesammelt, auswertet und eingestuft haben.

Neben der Threat Intelligence gibt es jedoch noch andere, nicht weniger wichtige Bausteine. Ein gut konfiguriertes SIEM (Security Informationen and Event Management) sollte hierbei auf jeden Fall im Unternehmen implementiert sein. Mit diesem können im schlechtesten Fall die notwendigen Informationen schon einmal gesammelt und eingeordnet werden.

Ansätze zur Bedrohungserkennung

Im Folgenden werden zwei der wichtigsten Ansätze betrachtet, die bei der Bedrohungserkennung eine tragende Rolle spielen. Von der Signaturerkennung bis hin zur Analyse von Sicherheitsevents müssen viele Arten von Ereignisdaten erkannt und analysiert werden. Hierbei helfen die folgenden Ansätze.

Wenn diese im Unternehmen implementiert sind und gut harmonieren und zusammenarbeiten, kann dadurch das IT-Sicherheitsniveau im Unternehmen stark erhöht werden.

Threat Intelligence Platforms

Threat Intelligence Platforms bieten Unternehmen die Möglichkeit, Informationen über Cyberbedrohungen aus einer Vielzahl an Quellen zu sammeln und übersichtlich in einem Tool darzustellen und zu verarbeiten. Dies soll bei der stetigen Beschäftigung mit Cyberbedrohungen helfen, indem die Zuständigen im Unternehmen nicht einzelne Webseiten besuchen müssen, um an wichtige Informationen zu gelangen. Mit den erlangten Informationen sollen individuelle Abwehrmaßen für das Unternehmen angefertigt und in der Infrastruktur implementiert werden können.

Ein großer Vorteil dieser Plattformen ist, dass die Informationen in Echtzeit abgerufen und gesammelt werden. Wenn eine offizielle Quelle eine neue Bedrohung veröffentlicht, kann durch die Software unverzüglich dieses Wissen erlangt werden und das Unternehmen kann schnellstmöglich auf die erkannte Bedrohung reagieren.

MISP ist ein gutes Beispiel dafür, dass gerade Open-Source-Lösungen im Gebiet der Cyberbedrohungen sinnvoll sind. Das Teilen der gemeinsam gesammelten Informationen verschiedener Organisationen und Unternehmen bildet hierbei das Grundgerüst. Verschiedene Bedrohungsindikatoren wie kompromittierte IP-Adressen, Domainnamen und auch Hashwerte werden untereinander ausgetauscht. Der Ansatz von MISP ist sehr strukturiert, was es Unternehmen leichter macht Bedrohungsdaten zu organisieren und miteinander in Verknüpfung zu bringen. Dadurch können auch Bedrohungen schneller erkannt werden und die Reaktionszeit auf diese kann verringert werden.

SIEM (Security Information and Event Management)

Wie schon erwähnt, gehört auch ein gutes SIEM dazu, wenn eine Incident Response Strategie aufgehen soll. Es kann dabei helfen, die Cybersicherheit im Unternehmen effektiv zu erhöhen, wenn es gut genutzt wird. Mit der Überwachung und Analyse von sicherheitsrelevanten Events wie beispielsweise verdächtigen Anmeldungen, Ausführen von Skripts wie Powershell oder auch dem Installieren von ausführbaren Programmen, kann das Sicherheitsniveau eines Unternehmens signifikant erhöht werden.

Das SIEM als zentrale Komponente in der IT-Sicherheit, macht es zu einem unabdingbaren Gegenstand in einer IT-Infrastruktur. Es dient zusätzlich als Fundament für weitere Sicherheitsfeatures wie zum Beispiel dem SOC (Security Operation Center), welches dazu dient die gesammelten Ereignisse zu bewerten bzw. darauf reagieren zu können.

Jedem dem der Begriff SIEM kein Fremdwort ist, hat auch schon von Splunk gehört. Hierbei handelt es sich um das bekannteste SIEM Tool auf dem Markt. Dies liegt daran, dass es eines der leistungsstärksten ist. Mit diesem Tool können Analysten Ereignisdaten in Echtzeit erfassen, aber auch nach solchen suchen und sich diese dementsprechend visualisieren lassen. Weiterhin hat es umfangreiche Automatisierungsfunktionen, die die Reaktioszeit bei einem Sicherheitsvorfall immens reduzieren können. Jedoch spielt bei diesem Tool Geld eine große Rolle, weil es recht kostenintensiv ist.

Hierfür gibt es auf dem Open Source selbstverständlich auch entsprechende Lösungen. Mit Tools wie Zeek oder Suricata kann sich ebenfalls ein gutes SIEM für das Unternehmen gebaut werden. Hierbei bedarf es jedoch eines erhöhten Fachwissens für diese Tools, da hier noch die Signaturen sowie Alarme dementsprechend selbst geschrieben werden müssen. Ein weitere Vorteil dieser beiden Tools ist jedoch, dass sie vom weltweit anerkannten Security Training Institut SANS in ihren Kursen verwendet und geschult werden.

Automatisierung von Reaktionen

In jedem Fall ist eine schnelle und konkrete Reaktion auf Sicherheitsvorfälle notwendig. Dies kann im schlechtesten Falle nicht umgesetzt werden, weil sich vor im Vorhinein zu wenig mit dem Thema beschäftigt wurde. Fehlende Kapazitäten, ob menschlich oder finanziell, die Auffassung, dass das Unternehmen für Angreifer zu unbedeutend ist oder auch schlichtweg mangelnde Motivation sich mit dem Thema Incident Response Strategie zu beschäftigen.

SOAR (Security Orchestration, Automation and Response)

Das sind alles Gründe, warum eine Automatisierung des Prozesses sinnvoll ist. Hierfür wird oft der Begriff SOAR (Security Orchestration, Automation and Response) verwendet. Einfach ausgedrückt ist das eine Mischung, bzw. ein Zusammenspiel, aus oben angesprochener Threat Intelligence, der Automatisierung manueller Prozesse, der Verbindung und Integration unterschiedlicher Tools und letztendlich der angestrebten Response, also der Reaktion auf die Ereignisse. Diese sind im Optimalfall auf einem Dashboard zusammengefasst und vereinheitlicht.

Mit einer optimalen Automatisierung der Prozesse kann sich ein Unternehmen gut auf einen Sicherheitsvorfall vorbereiten. Die nahtlose Integration von SIEM, Threat Intelligence und eventuell noch weiteren Sicherheitstools, bieten dem Unternehmen eine gute Möglichkeit, schnell und effizient auf einen Vorfall reagieren zu können. Auch das Risiko, dass sich Zuständige erst einmal in der Situation zurecht finden müssen, wird dadurch verringert.

Top Tools für eine SOAR Lösung werden von Anbietern wie IBM, Fortinet, paloalto networks oder auch RAPID7 bereitgestellt. Diese sind oft sehr kostspielig, machen jedoch Sinn, wenn man beispielsweise schon ein SIEM über den Anbieter implementiert hat.

Incident Response Playbooks

Das Einsetzen von sogenannten Incident Repsonse Playbooks, bietet eine zusätzliche Möglichkeit, im Ernstfall auf mögliche Szenarien vorbereitet zu sein. Hierbei handelt es sich um vordefinierte Anweisungen, die bei der Reaktion auf häufige, bzw. bekannte, Bedrohungen verwendet werden. Gerade das SOC sollte im Ernstfall wissen, was es zu tun hat, um wertvolle Zeit sparen zu können.

Immer häufiger integrieren Unternehmen solche Playbooks in ein SOAR, wodurch definierte Vorgehensweisen, wie die Isolierung eines betroffenen Benutzerkontos, schnell vom jeweiligen Tool ausgeführt werden können. Kommerzielle Anbieter liefern in ihren SOAR-Lösungen häufig bereits vordefinierte Playbooks für gängige Angriffs- und Bedrohungsarten.

Vorbereitung auf den Vorfall zusammengefasst

Als Unternehmen zu denken, dass man nicht angegriffen wird, weil man zu „unbedeutend“ ist, wäre ein großer Fehler. Man sollte stets davon ausgehen, dass man angegriffen wird. Auf welchem Weg ist hierbei egal. Sei es die technische oder die menschliche Komponente. Ein gut segmentiertes Netzwerk ist nur bis zu dem Punkt gut, an dem sich der Angreifer mit den Daten des Administrators anmeldet, weil dieser sie über eine manipulierte Anmeldemaske preisgegeben hat. Die leider noch von vielen Menschen unterschätzte oder als nervig betitelte Multi Faktor Authentifizierung würde in diesem Fall jedoch den Sicherheitsfaktor immens steigern und im besten Fall das Unternehmen vor einen Vorfall bewahren.

Falls ein solcher Fall trotzdem eintritt, sollte ein Unternehmen trotz dessen bestmöglich auf einen Vorfall vorbereitet sein, um keine Zeit zu verlieren. Dies kann nur durch eine Automatisierung bestimmter Prozesse passieren. Wird ein Unternehmen angegriffen und sieht es nicht, dann kann es auch nicht darauf reagieren.

Präventionsmaßnahmen müssen heute mit höchster Priorität umgesetzt werden und dürfen nicht aufgrund mangelnder Motivation oder fehlender Kapazitäten in den Hintergrund treten.

In eigener Sache: Unser neues Portal it-forensik.de

Man sieht, die Methodiken und Entwicklungen in der IT-Forensik schreiten ständig voran. Um den Themen zukünftig mehr Raum geben zu können, haben wir uns entschieden, diese in vollem Umfang und übersichtlich an einer Stelle zu bündeln. Dafür haben wir in den vergangenen Monaten intensiv an unserer neuen Webseite it-forensik.de gearbeitet.

Das finden Sie auf unserer neuen Webseite:

  • Präventionsmaßnahmen, um Cyberangriffen vorzubeugen
  • Tipps für den Ernstfall
  • viele wertvolle Informationen für Unternehmen zur Cybersicherheit

Sie haben weiterhin Interesse an spannenden Blog-Artikeln rund um das Thema IT-Forensik? Dann ist der Bereich Facts & Storys genau das Richtige für Sie. Das gibt es dort zu lesen:

Aktuelle Bedrohungen, News, echte Fallgeschichten, hilfreiche Whitepaper

Wir freuen uns über Ihren Besuch.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
Weiterlesen

Tags:

Vorheriger Artikel

BSI-Präsidentin gehört zu den einflussreichsten Wirtschaftsfrauen

Nächster Artikel

Top Gear: James May äußert sich gegen Autos in London

Ähnliche Beiträge

Windows 11: März 2025-Updates verursachen Probleme mit RDP-Verbindungen

Windows 11: März 2025-Updates verursachen Probleme mit ...

Mär 14, 2025  0

Welle von GMail-Spam? Viele IPs von Google auf Blacklisten

Welle von GMail-Spam? Viele IPs von Google auf Blacklisten

Feb 3, 2025  0

Was ist bei Stardock los? Seite hat Probleme

Was ist bei Stardock los? Seite hat Probleme

Mär 16, 2025  0