Vorfallsreaktionsplan
Vorfallsreaktionspläne
- Vorfallsreaktionsplan (IRP)
Richtlinien zur Reaktion auf einen Cyberangriff
- Sobald eine Sicherheitsverletzung festgestellt wurde, zum Beispiel durch ein Network Intrusion Detection System (NIDS) oder ein Host-Based Intrusion Detection System (HIDS) (falls entsprechend konfiguriert), wird der Plan in Gang gesetzt.
- Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann.
- Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung.
Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. So kann beispielsweise ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen.
Jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes:
Vorbereitung
- Zu einer guten Vorbereitung gehört der Aufbau eines Incident Response Teams (IRT).
- Dieses Team sollte über die folgenden Fähigkeiten verfügen: Penetrationstests, Computerforensik, Netzwerksicherheit usw.
- Dieses Team sollte auch Trends in der Cybersicherheit und moderne Angriffsstrategien im Auge behalten.
- Ein Schulungsprogramm für Endbenutzer ist ebenfalls wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen.
Identifizierung
- In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab.
- Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet.
- Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts.
- Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen.
- Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden.
Eindämmung
- In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen.
- In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können.
- Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern.
Ausrottung
- Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt.
- Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen.
- Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht.
- So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird.
Wiederherstellung
- In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt.
- Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern.
- Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein.
Gelernte Lektionen
- In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen.
- Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden.
- Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung.
- Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden.