Vorsicht ist besser als Nachsicht – Die 'Golden Hour' der Incident Response

Kämpfen oder flüchten

Schreiend wegrennen, wenn die Aliens landen, den Panikknopf drücken, wenn alle Server ausfallen, einen sofortigen Gegenangriff befehlen, sobald man unter Beschuss gerät... Eine ganz normale Filmszene, in der die Entscheidung zwischen Kampf und Flucht getroffen wird.

Doch bevor eine Aktion durchgeführt wird, gibt es normalerweise eine Pause. Ein Standbild, in dem die Figur staunend auf die Szene blickt, die Situation bewertet und entscheidet, was die beste Option ist.

Ähnlich verhält es sich in realen Kampf- oder Fluchtsituationen, da unser Körper und unser Geist nur wenige Sekunden brauchen, um zu entscheiden, was die beste Maßnahme ist. Bleiben und kämpfen oder alles stehen und liegen lassen und fliehen.

Im Falle eines kritischen Cybersecurity Incidents ist es in der Regel keine kluge Entscheidung, die Flucht zu ergreifen. Aber um zu entscheiden, wie man sich in der Situation verhalten soll, lohnt es sich, ein paar Vorkehrungen zu treffen, auf die man sich verlassen kann. Das verbessert Ihre Kampffähigkeiten. Insbesondere bei kritischen Cybersicherheitsvorfällen hat die effektive Bewältigung der ersten Stunde einen massiven Einfluss auf die Behebung des Problems. Lesen Sie in diesem Blogpost, was Incident Response ausmacht!

Das A und O der Incident Response: Vorbereitung

Um in kritischen Situationen schnell reagieren zu können, ist eine ausreichende Kenntnis der Infrastruktur, der Rollen und der Zuständigkeiten essenziell. Die IT-Infrastruktur hat sich in den letzten Jahren rasch weiterentwickelt. So haben wir beispielsweise eine zunehmende Verlagerung zu Cloud Computing und Datenspeicherung beobachtet. Die sich schnell verändernde IT-Umgebung erfordert häufig, dass Analysten ihre Fähigkeiten auf den neuesten Stand bringen, z. B. indem sie sich hinsichtlich Cloud Security weiterbilden.

Daher müssen die Analysten über praktische Erfahrung verfügen und sich ein vollständiges Bild von der Topologie aller Systeme machen. In der Praxis sollten externe Cybersecurity Incident Response Team (CSIRT)-Analysten schnell alle in ihrer Zuständigkeit liegenden Assets identifizieren. Gleichzeitig sollten die internen CSIRT-Analysten auch aktiv an der Verwaltung von Schwachstellen und der Erkennung von Scans teilnehmen.

Neben der Kenntnis der internen Infrastruktur und Prozesse müssen die Analysten auch die potenziellen Bedrohungen kennen, denen das Unternehmen ausgesetzt ist. Die Kenntnis der Bedrohungslandschaft im Bereich der Cybersicherheit ist der Schlüssel zu einer effektiven Vorbereitung auf Incident Response.

Auf Basis von Erkenntnissen handeln

Robuste Verfahren und Checklisten können dabei helfen, herauszufinden, was in der ersten kritischen Stunde zu tun ist. In vielen Szenarien sind CSIRT-Analysten jedoch anfällig für undurchsichtige Informationen, die Unfähigkeit, innerhalb eines begrenzten Zeitrahmens eine Lösung herbeizuführen, und fehlende operative Befugnis. In solchen Fällen muss das Incident Response Team die Dinge selbst in die Hand nehmen, sein Fachwissen klar zum Ausdruck bringen und seine Maßnahmen durchsetzen.

In der ersten Stunde ist Zeit das A und O. Wie bei einer Prüfung, bei der die Zeit begrenzt ist, sollten Sie die Fragen, bei denen Sie nicht weiterkommen, vorerst überspringen.

Heutzutage wird der Eindämmungsprozess von Incidents oft durch die weit verbreiteten EDR-Technologien (Endpoint Detection and Response) vereinfacht, die Netzwerkeindämmungsfunktionen auf Knopfdruck bieten. Doch selbst mit herkömmlichen Tools ist die Eindämmung von Bedrohungen innerhalb des Netzwerks nicht immer einfach. Die Menschen entscheiden sich nicht immer für die sicherere Option, wenn diese verfügbar ist. Aber wie heißt es so schön: Besser Vorsicht als Nachsicht!

Setze das Rätsel fort und schließe die Lücken

Nach der ersten Stunde fehlen vielleicht noch Teile des Puzzles. Nach der ersten kritischen Stunde ist es eine gute Idee, sich etwas Zeit zu nehmen und über alle Möglichkeiten zu überdenken und eine Checkliste abzuarbeiten.

In dieser Phase müssen Sie so viele Daten wie möglich über den Vorfall sammeln. Wie genau wurde der Dienst kompromittiert? Welche Informationen hatten die Angreifer, um zu diesem Stadium zu gelangen? Was war ihr genaues Ziel?

Die Beantwortung dieser Fragen hilft bei der Behebung des Problems und stärkt auch die Verfahren und Pläne für künftige Szenarien.

Von Zeit zu Zeit können CSIRT-Analysten während der Analyse nach einem Sicherheitsverstoß bei der Verknüpfung der Punkte auf Rückschläge stoßen. Aber die Wahrheit wird mit genügend Geduld und der entsprechenden Denkweise stets ans Licht kommen.

Incident Reponse: Was Sie beachten sollten

Zusammenfassend lässt sich sagen, dass das effektive Incident Response Management des entscheidenden Zeitintervalls von einer Stunde nach einem kritischen Vorfall mehr erfordert, als nur in der Praxis zu lernen.

Neben den technischen Feinheiten profitieren erfahrene CSIRT-Analysten zudem von einer gründlichen Vorbereitung ihrer Fähigkeiten und auf ihre Widersacher, der Priorisierung von Aufgaben und gegebenenfalls dem schnellen Treffen von Entscheidungen als auch der Fähigkeit, Fakten durch das Ausschlussverfahren zu erkennen.