Vorfallsreaktionsplan: Unterschied zwischen den Versionen
| (22 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== | '''Vorfallsreaktionsplan''' - Richtlinien zur Reaktion auf einen Cyberangriff | ||
; | |||
Richtlinien zur Reaktion auf | == Beschreibung == | ||
; Vorfallfraktionsplan | |||
* IRP | |||
; Richtlinien zur Reaktion auf Cyberangriffe | |||
Sobald eine Sicherheitsverletzung festgestellt wurde | |||
* zum Beispiel durch ein [[Intrusion detection system|Network Intrusion Detection System]] (NIDS) oder ein [[Host-based intrusion detection system|Host-Based Intrusion Detection System]] (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt. | |||
; Rechtliche Folgen | |||
Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann | |||
* Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung | |||
Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. | Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. | ||
So kann etwa ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen. | |||
==== | == Vorfallsreaktionsplan == | ||
; Typische Inhalte | |||
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes | |||
{| class="wikitable sortable options" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| Vorbereitung || | |||
|- | |||
| Identifizierung || | |||
|- | |||
| Eindämmung || | |||
|- | |||
| Ausrottung || | |||
|- | |||
| Wiederherstellung || | |||
|- | |||
| Gelernte Lektionen || | |||
|} | |||
==== Identifizierung | === Vorbereitung === | ||
; Aufbau eines Incident Response Teams (IRT) | |||
* gehört zu einer guten Vorbereitung | |||
* Trends in der [[Cybersicherheit]] und moderne Angriffsstrategien im Auge behalten | |||
; Fähigkeiten | |||
* Penetrationstests | |||
* Computerforensik | |||
* Netzwerksicherheit | |||
* ... | |||
; Endbenutzer | |||
Schulungsprogramm für Endbenutzer | |||
* Wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen | |||
=== Identifizierung === | |||
; In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab | |||
* Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet. | * Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet. | ||
* Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts. | * Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts. | ||
| Zeile 24: | Zeile 59: | ||
* Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden. | * Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden. | ||
=== Eindämmung === | |||
; In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen. | |||
* In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können. | * In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können. | ||
* Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern. | * Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern. | ||
=== Ausrottung === | |||
; Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt. | |||
* Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen. | * Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen. | ||
* Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht. | * Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht. | ||
* So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird. | * So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird. | ||
=== Wiederherstellung === | |||
; In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt. | |||
* Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern. | * Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern. | ||
* Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein. | * Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein. | ||
=== Gelernte Lektionen === | |||
; In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen. | |||
* Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden. | * Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden. | ||
** Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung. | ** Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung. | ||
* Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden. | * Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden. | ||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Links ==== | |||
===== Weblinks ===== | |||
[[Kategorie:Incident Management]] | [[Kategorie:Incident Management]] | ||
</noinclude> | |||
Aktuelle Version vom 28. Oktober 2023, 14:15 Uhr
Vorfallsreaktionsplan - Richtlinien zur Reaktion auf einen Cyberangriff
Beschreibung
- Vorfallfraktionsplan
- IRP
- Richtlinien zur Reaktion auf Cyberangriffe
Sobald eine Sicherheitsverletzung festgestellt wurde
- zum Beispiel durch ein Network Intrusion Detection System (NIDS) oder ein Host-Based Intrusion Detection System (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt.
- Rechtliche Folgen
Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann
- Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung
Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind.
So kann etwa ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen.
Vorfallsreaktionsplan
- Typische Inhalte
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes
| Option | Beschreibung |
|---|---|
| Vorbereitung | |
| Identifizierung | |
| Eindämmung | |
| Ausrottung | |
| Wiederherstellung | |
| Gelernte Lektionen |
Vorbereitung
- Aufbau eines Incident Response Teams (IRT)
- gehört zu einer guten Vorbereitung
- Trends in der Cybersicherheit und moderne Angriffsstrategien im Auge behalten
- Fähigkeiten
- Penetrationstests
- Computerforensik
- Netzwerksicherheit
- ...
- Endbenutzer
Schulungsprogramm für Endbenutzer
- Wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen
Identifizierung
- In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab
- Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet.
- Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts.
- Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen.
- Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden.
Eindämmung
- In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen.
- In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können.
- Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern.
Ausrottung
- Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt.
- Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen.
- Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht.
- So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird.
Wiederherstellung
- In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt.
- Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern.
- Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein.
Gelernte Lektionen
- In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen.
- Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden.
- Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung.
- Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden.