Articles

Phasen der Reaktion auf Vorfälle

Wenn es um die Reaktion auf Vorfälle geht, wird der Standardprozess, der bei der Behandlung eines Vorfalls befolgt wird, durch die folgenden Phasen beschrieben:

  • Schritte zur Reaktion auf VorfälleVorbereitung
  • Identifizierung
  • Eindämmung
  • Ausrottung
  • Wiederherstellung

die wichtigste Phase. Die Vorbereitung bestimmt die Effektivität Ihrer Incident Response-Funktionen. In der Praxis wird das Wesen der Vorbereitung während des gesamten Prozesses gewebt. Vorbereitung ist auch die Phase, in der implizite kritische Funktionen eines effektiven Incident-Handlings explizit angegeben werden. Die richtige Vorbereitung bestimmt die Reife Ihres Incident Response Teams und die geschäftlichen Auswirkungen können quantifizierbar gemessen werden.

Die Schwerpunkte der Vorbereitung sind:

  • Policy
  • Communication
  • Tools
  • Training
  • Verantwortlichkeiten

Policy

Damit ein Incident Response Plan effektiv ist, ist der allererste Schritt, Unterstützung von der Spitze der Organisation zu erhalten. Diese Unterstützung stellt sicher, dass die Organisation als Ganzes den Incident Response Plan unterstützt und die notwendige Zeit und Ressourcen bereitstellt, um ihre Fähigkeit zum Erfolg zu maximieren. Executive Support manifestiert sich zunächst in Form von Richtlinien, die von der Führung der Organisation unterzeichnet werden. Eine gute Richtlinie schützt die Mission des Incident Response Teams, indem sie ihm die notwendige Autorität gibt, um sie zu erfüllen. Die Richtlinie enthält einen schriftlichen Satz von Prinzipien, Regeln oder Praktiken, die festlegen, wie die Organisation auf einen Vorfall reagiert.

Die Definition der Richtlinie kann ein entmutigender Prozess sein, da es viele Bereiche der Informationssicherheit gibt, die von einem Vorfall betroffen sein könnten. Akzeptable Nutzung, Kündigung von Mitarbeitern, Datenarchivierung, Zugriffskontrolle und Passwortverwaltung sind nur ein kleines Beispiel dafür, wie sich die Tentakel der Reaktion auf Vorfälle ausbreiten können. Die Richtlinie kann sich auf mehrere Abteilungen auswirken, die aufgrund ihrer individuellen Mandate möglicherweise konkurrierende Anforderungen haben. Die Erstellung einer übergreifenden Richtlinie, die den gesetzlichen, regulatorischen und betrieblichen Anforderungen entspricht, kann erhebliche Investitionen in Zeit und Ressourcen erfordern. Es ist jedoch ein notwendiger Schritt, um zu verstehen, wie die gesamte Organisation funktioniert, um die Implementierung eines effektiven Incident Response Teams zu erleichtern.

Verantwortlichkeiten

Der Prozess der Erstellung einer Richtlinie beginnt, die verschiedenen Rollen in den Fokus zu rücken, die zur Unterstützung des Incident Response-Prozesses benötigt werden. Traditionelle Vorfallrollen wie ein Sicherheitsmanager oder Analyst sind in der Regel klar. Funktionsübergreifende Unterstützung durch andere Abteilungen ist ein wesentlicher Bestandteil des Erfolgs der Fähigkeit des Teams, Vorfälle zu beheben. Diese Abteilungen steuern die Auswirkungen des Vorfalls auf rechtliche, Compliance- und PR-Belange.

Die identifizierten Rollen sollten ihre Verantwortung für den Incident Response-Prozess explizit definiert haben. Die Rollen haben unterschiedliche Verantwortlichkeiten, je nachdem, welche Phase des Incident Response-Prozesses die Organisation derzeit ausführt.

Bild des Incident Response Teams

Kommunikation

Die während der Richtlinienentwicklung durchgeführte Analyse erleichtert die Definition von Kommunikationskanälen und -prozessen, die während eines Vorfalls auftreten sollten. Einer der häufigsten Fehltritte bei der Entwicklung eines Incident Response Plans ist die Vernachlässigung der Identifizierung eines wichtigen Stakeholders bei der Behandlung eines Incidents.Gesetze und Vorschriften können die externen Einheiten vorschreiben, mit denen Ihre Organisation im Falle eines Vorfalls kommunizieren muss. In dem Kommunikationsplan sollten diese Stellen benannt und die Verfahren für die Notifizierung festgelegt werden. Bei der Entwicklung eines Plans sollte Anbietern, Kunden und Dienstleistern besondere Aufmerksamkeit geschenkt werden.

Der Kommunikationsplan sollte auch klare Richtlinien dafür enthalten, wann die Strafverfolgungsbehörden einbezogen werden müssen und wer zwischen der Organisation und den Behörden koordiniert. Der Hauptgrund, warum ein Sicherheitsvorfall nicht zu Strafanzeigen führt, ist, dass die Organisation den Vorfall und die Kommunikation mit den Strafverfolgungsbehörden nicht korrekt gehandhabt hat. Die Person (en), die als Hauptkontakt bezeichnet werden, sollten mit den Strafverfolgungsbehörden auf klare und konsistente Weise kommunizieren, die den von der Organisation und den Strafverfolgungsbehörden festgelegten Verfahren entspricht.

Tools

Eine Schlüsselkomponente des Richtlinienerstellungsprozesses ist die Definition der Fähigkeiten des Incident Response Teams. Die klare Definition der Verantwortlichkeiten Ihres Incident Response Teams ist ein wesentlicher Bestandteil der erfolgreichen Organisation. Einige Dienstleistungen können intern abgewickelt werden, während andere ausgelagert werden können. Die implementierten Tools sind so konzipiert, dass sie mit definierten Funktionen übereinstimmen.

Jeder Phase des Incident Response Plans sind Tools zugeordnet. Die Erkennungs- und Analysephase verfügt über Tools zur Rationalisierung der Vorfallberichterstattung, zur Erfassung des Netzwerkverkehrs und zur Durchführung von Verhaltensanalysen. Die Incident Containment- und Recovery-Phase verfügt über Tools zur Begrenzung des Netzwerk- / Systemzugriffs und zur Erleichterung der Wiederherstellung von Diensten innerhalb der definierten Wiederherstellungszeitfenster. Post-Incident-Tools können verwendet werden, um die Bedrohungsinformationen und die Wissensdatenbank des Unternehmens zu aktualisieren.

Schulung

Sobald die Tools und Verfahren definiert sind, müssen alle Mitarbeiter, die in den Incident Response-Prozess einbezogen werden sollen, regelmäßig geschult werden. Training kann in vielen verschiedenen Formen Gestalt annehmen. Der Schlüssel ist, das Training relevant zu machen und verschiedene Szenarien zu umfassen. Die Durchführung von Übungen, an denen alle relevanten Abteilungen beteiligt sind, ist eine der effektivsten Methoden zur Feinabstimmung des Incident Response-Prozesses. Eine Tischübung ist eine simulierte Übung, bei der sich die Teilnehmer versammeln, um Vorfallsprozesse zu diskutieren. Es bietet Flexibilität, die mit Live-Übungen nur schwer zu erreichen ist, und umfasst alle Rollen innerhalb der Organisation. Tabletop-Übungen ermöglichen es der Organisation, vorhandene Lücken zu identifizieren. Sie ermöglichen es einer Organisation auch, die gewonnenen Erkenntnisse in einer kontrollierten Umgebung anzuwenden.

Regelmäßiges Üben ermöglicht es Ihrem Unternehmen, während eines Live-Vorfalls mit maximaler Effizienz zu arbeiten.

Ein beliebtes Sun Tzu-Zitat lautet: „Erkenne dich selbst und du wirst alle Schlachten gewinnen.“ Sich selbst zu kennen, erfordert äußerste Sorgfalt in der Vorbereitungsphase und bewusstes Üben, um Schwächen zu entdecken. Ein ausgereiftes und effektives Incident Response Team wird nicht durch eine vorgefertigte technologische Lösung oder ein anderes Wundermittel geschaffen. Sie werden mit akribischer Aufmerksamkeit bei der Vorbereitung auf die Durchführung der Erkennungs-, Eindämmungs- und Post-Incident-Aktivitäten gebaut.