Vorfallsreaktionsplan
Vorfallsreaktionsplan - Richtlinien zur Reaktion auf einen Cyberangriff
Beschreibung
- Vorfallfraktionsplan
- IRP
- Richtlinien zur Reaktion auf Cyberangriffe
Sobald eine Sicherheitsverletzung festgestellt wurde
- zum Beispiel durch ein Network Intrusion Detection System (NIDS) oder ein Host-Based Intrusion Detection System (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt.
- Rechtliche Folgen
Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann
- Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung
Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind.
So kann etwa ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen.
Vorfallsreaktionsplan
- Typische Inhalte
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes
| Option | Beschreibung |
|---|---|
| Vorbereitung | |
| Identifizierung | |
| Eindämmung | |
| Ausrottung | |
| Wiederherstellung | |
| Gelernte Lektionen |
Vorbereitung
- Aufbau eines Incident Response Teams (IRT)
- gehört zu einer guten Vorbereitung
- Trends in der Cybersicherheit und moderne Angriffsstrategien im Auge behalten
- Fähigkeiten
- Penetrationstests
- Computerforensik
- Netzwerksicherheit
- ...
- Endbenutzer
Schulungsprogramm für Endbenutzer
- Wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen
Identifizierung
- In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab
- Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet.
- Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts.
- Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen.
- Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden.
Eindämmung
- In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen.
- In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können.
- Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern.
Ausrottung
- Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt.
- Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen.
- Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht.
- So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird.
Wiederherstellung
- In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt.
- Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern.
- Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein.
Gelernte Lektionen
- In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen.
- Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden.
- Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung.
- Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden.