|
|
| Zeile 9: |
Zeile 9: |
| ===== Projekt ===== | | ===== Projekt ===== |
| ===== Weblinks ===== | | ===== Weblinks ===== |
|
| |
| = TMP =
| |
| ; Vorfallsreaktionspläne
| |
| ; Vorfallsreaktionsplan (IRP)
| |
| Richtlinien zur Reaktion auf einen Cyberangriff
| |
| * Sobald eine Sicherheitsverletzung festgestellt wurde, zum Beispiel durch ein [[Intrusion detection system|Network Intrusion Detection System]] (NIDS) oder ein [[Host-based intrusion detection system|Host-Based Intrusion Detection System]] (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt.
| |
|
| |
| ; Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann.
| |
| * Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung.
| |
| Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind.
| |
| So kann beispielsweise ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen.
| |
|
| |
| Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes:
| |
|
| |
| ==== Vorbereitung ====
| |
| ; Zu einer guten Vorbereitung gehört der Aufbau eines Incident Response Teams (IRT)
| |
| * Dieses Team sollte über die folgenden Fähigkeiten verfügen: Penetrationstests, Computerforensik, Netzwerksicherheit usw.
| |
| * Dieses Team sollte auch Trends in der [[Cybersicherheit]] und moderne Angriffsstrategien im Auge behalten.
| |
| * Ein Schulungsprogramm für Endbenutzer ist ebenfalls wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen.
| |
|
| |
| ==== Identifizierung ====
| |
| * In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab.
| |
| * Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet.
| |
| * Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts.
| |
| * Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen.
| |
| * Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden.
| |
|
| |
| ==== Eindämmung ====
| |
| * In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen.
| |
| * In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können.
| |
| * Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern.
| |
|
| |
| ==== Ausrottung ====
| |
| * Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt.
| |
| * Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen.
| |
| * Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht.
| |
| * So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird.
| |
|
| |
| ==== Wiederherstellung ====
| |
| * In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt.
| |
| * Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern.
| |
| * Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein.
| |
|
| |
| ==== Gelernte Lektionen ====
| |
| * In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen.
| |
| * Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden.
| |
| ** Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung.
| |
| * Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden.
| |
|
| |
|
| [[Kategorie:Incident Management]] | | [[Kategorie:Incident Management]] |
| </noinclude> | | </noinclude> |