Vorfallsreaktionsplan: Unterschied zwischen den Versionen
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
; | ; Vorfallfraktionsplan | ||
* | * IRP | ||
; Richtlinien zur Reaktion auf | ; Richtlinien zur Reaktion auf Cyberangriffe | ||
Sobald eine Sicherheitsverletzung festgestellt wurde | |||
* zum Beispiel durch ein [[Intrusion detection system|Network Intrusion Detection System]] (NIDS) oder ein [[Host-based intrusion detection system|Host-Based Intrusion Detection System]] (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt. | * zum Beispiel durch ein [[Intrusion detection system|Network Intrusion Detection System]] (NIDS) oder ein [[Host-based intrusion detection system|Host-Based Intrusion Detection System]] (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt. | ||
; Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann | ; Rechtliche Folgen | ||
* Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung | Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann | ||
* Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung | |||
Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. | Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. | ||
So kann etwa ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen. | So kann etwa ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen. | ||
== Vorfallsreaktionsplan == | == Vorfallsreaktionsplan == | ||
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes | ; Typische Inhalte | ||
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes | |||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
|- | |- | ||
Zeile 36: | Zeile 40: | ||
; Aufbau eines Incident Response Teams (IRT) | ; Aufbau eines Incident Response Teams (IRT) | ||
* gehört zu einer guten Vorbereitung | * gehört zu einer guten Vorbereitung | ||
* Trends in der [[Cybersicherheit]] und moderne Angriffsstrategien im Auge behalten | |||
; Fähigkeiten | |||
* Penetrationstests | * Penetrationstests | ||
* Computerforensik | * Computerforensik | ||
* Netzwerksicherheit | * Netzwerksicherheit | ||
* ... | |||
; Endbenutzer | ; Endbenutzer | ||
Schulungsprogramm für Endbenutzer | Schulungsprogramm für Endbenutzer | ||
* Wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen | * Wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen | ||
=== Identifizierung === | === Identifizierung === | ||
; In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab | |||
* Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet. | * Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet. | ||
* Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts. | * Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts. | ||
Zeile 56: | Zeile 60: | ||
=== Eindämmung === | === Eindämmung === | ||
; In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen. | |||
* In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können. | * In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können. | ||
* Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern. | * Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern. | ||
Zeile 72: | Zeile 76: | ||
=== Gelernte Lektionen === | === Gelernte Lektionen === | ||
In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen. | ; In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen. | ||
* Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden. | * Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden. | ||
** Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung. | ** Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung. |
Aktuelle Version vom 28. Oktober 2023, 14:15 Uhr
Vorfallsreaktionsplan - Richtlinien zur Reaktion auf einen Cyberangriff
Beschreibung
- Vorfallfraktionsplan
- IRP
- Richtlinien zur Reaktion auf Cyberangriffe
Sobald eine Sicherheitsverletzung festgestellt wurde
- zum Beispiel durch ein Network Intrusion Detection System (NIDS) oder ein Host-Based Intrusion Detection System (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt.
- Rechtliche Folgen
Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann
- Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung
Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind.
So kann etwa ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen.
Vorfallsreaktionsplan
- Typische Inhalte
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes
Option | Beschreibung |
---|---|
Vorbereitung | |
Identifizierung | |
Eindämmung | |
Ausrottung | |
Wiederherstellung | |
Gelernte Lektionen |
Vorbereitung
- Aufbau eines Incident Response Teams (IRT)
- gehört zu einer guten Vorbereitung
- Trends in der Cybersicherheit und moderne Angriffsstrategien im Auge behalten
- Fähigkeiten
- Penetrationstests
- Computerforensik
- Netzwerksicherheit
- ...
- Endbenutzer
Schulungsprogramm für Endbenutzer
- Wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen
Identifizierung
- In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab
- Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet.
- Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts.
- Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen.
- Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden.
Eindämmung
- In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen.
- In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können.
- Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern.
Ausrottung
- Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt.
- Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen.
- Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht.
- So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird.
Wiederherstellung
- In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt.
- Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern.
- Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein.
Gelernte Lektionen
- In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen.
- Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden.
- Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung.
- Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden.