Incident Response

Der langfristige und individuelle Aufbau eines Information Security Management Systems (ISMS) mit der Gestaltung spezifischer IT-Sicherheitsprozesse führt zu Konzepten, die sich an der Organisation und der Infrastruktur orientieren und können in einer gewünschten Zertifizierung enden.

Die Stellung eines IT-Sicherheitsbeauftragten kann durch interne oder externe Ressourcen erfolgen. Bei der internen Stellung ist darauf zu achten, dass der Mitarbeiter die notwendige Zeit erbringen kann und notwendige Qualifikationen vorhanden sind.

Mitarbeiter und Verantwortliche aller Führungsebenen können in Schulungen die für Sie relevanten Angriffsvektoren kennen und verstehen lernen. Der Vergessenskurve wird durch planmäßig durchgeführte „Prüfkontakte“ entgegengewirkt und gleichzeitig das Thema im Team am Leben gehalten. Der Zeitaufwand pro Mitarbeiter beträgt monatlich nur wenige Minuten und der Schutzlevel gegen Social Engineering verfestigt sich auf einem hohen Niveau.

Bei der Durchführung von Sicherheitsbewertungen werden Penetrationstests und Red Teaming häufig gleichwertig eingesetzt. Bei der Auswahl der richtigen Sicherheitsbewertung ist es wichtig, die Unterschiede zwischen Penetrationstests und Red-Team-Aktivitäten zu betrachten.

Das Pen-Testing testet Systeme, Netzwerke, Webanwendungen und andere Ressourcen. Ziel ist es, innerhalb einer vorgegebenen Zeit so viele Schwachstellen und Konfigurationsprobleme wie möglich zu finden. Diese Schwachstellen werden dann ausgenutzt, um eine Risikobewertung der Schwachstelle zu erstellen. Penetrationstester begeben sich nicht auf die Suche nach neuen Schwachstellen (Zero-Day-Schwachstellen).

Die Ziele von Red-Team-Experten unterscheiden sich von denen der Pen-Tests erheblich. Das Red Teaming ist von Szenarien beherrscht. Das Ziel ist nicht nur die Umgebung und die Systeme zu testen, sondern auch die Mitarbeiter und Prozesse des Unternehmens.
Zu den Szenarien gehören z.B. die Ausnutzung von verlorenen Notebooks, USB-Sticks, Smartphones und nicht autorisierten Geräten die mit dem Netzwerk verbunden sind. Dasselbe gilt für kompromittierte DMZ-Hosts. Dabei wird geprüft, wie das Security Operations Center (SOC) oder auch Blue Team genannt, auf eine fortgeschrittene Bedrohung reagiert.

Red Teams nutzen auch Tests, um die Reaktion auf bestimmte Vorfälle zu untersuchen. Dabei wird festgestellt, wie gut die Fähigkeit des Unternehmens ist, externe Bedrohungen zu erkennen und zu begegnen.

Mobile Security beschreibt die Schutzmechanismen für mobile Endgeräte. Unabhängig ob Smartphone, Tablet oder Notebook. Der Schutz vor schädlichen Apps, Ransomware, unsicheren WLAN-Netzwerken und Webseiten muss zu jeder Zeit an jedem Ort gewahrt sein.

Bei Cyberangriffen oder einer Datenschutzverletzung müssen Unternehmen zeitnah handeln. In einem Incident Response Plan (Vorfallreaktionsplan) sind die nun notwendigen Prozesse definiert, um weitere Ausbreitung und größeren Schaden zu verhindern.

Nach der Eindämmung des Vorfalls kann mit der Beseitigung begonnen werden. Erst nachdem alle Systeme von Malware sicher befreit wurden, kann mit der Wiederherstellung begonnen werden.

Der Vulnerability Scan prüft Systeme automatisch auf bekannte Schwachstellen. Völlig neuen Schwachstellen steht der Vulnerability Scan hilflos gegenüber. Durch die prinzipbedingten Einschränkungen sollten zusätzlich auch manuelle Methoden eingesetzt werden, um die Aussagekraft zu erhöhen.

Durch den Einsatz von intelligentem Whitelisting kann auf die Sicherheit von Whitelisting vertraut werden, wobei nur bekannten Programmen die Ausführung erlaubt wird. Der Nachteil bei Whitelisting ist die fehlende Flexibilität bei neuen Programmen. Neue Programme müssen zuerst der Whitelist hinzugefügt werden.

Intelligentes Whitelisting klassifiziert alle Programme zum Zeitpunkt der Ausführung, ob es sich um Schadsoftware handelt oder nicht. Modernste Whitelisting Systeme klassifizieren 100 % aller Prozesse und greifen bei Schadcode sofort ein. Somit ist ein Eingriff oder die Klassifizierung durch den Systemadministrator nicht mehr notwendig.

Sie können sich bei eicar.org ein Anti Malware Testfile herunterladen und ausführen. Sollte Ihre Endpoint- oder Cybersecurity Lösung dieses Testfile nicht als gefährlich einstufen und in Quarantäne schicken, kann auch tagesaktuelle Schadsoftware nicht erkannt werden.
In diesem Falle können Sie davon ausgehen, dass Ihr System entweder auf Basis von Blacklisting arbeitet und nur Schadsoftware erkennt, die schon eine gewisse Zeit lang bekannt ist, oder eine Cloud Lösung zum Einsatz kommt, die nur mit den üblichen 98 % Sicherheit aufwartet.

Bei diesem Test empfehlen wir dringend, einen erfahrenen Fachmann zur Unterstützung hinzuzuziehen.

Der Markt an Lösungen ist sehr dynamisch und alle Hersteller entwickeln ständig weiter, genauso wie die Angreifer. Eine Lösung die heute als beste gekürt wird, ist morgen vielleicht schon nicht mehr up to date.

Daher ist es wichtig, nicht nur die aktuell sicherste Software zu installieren, sondern die in der Funktionsübersicht beschriebenen Punkte zu beherzigen, um einen Angriff so weit als möglich zu erschweren.

100 prozentigen Schutz wird es in der IT wohl nie geben. Manche Produkte können womöglich für eine gewisse Zeit ganz sicher sein, dies kann sich einen Tag später aber schon wieder ändern.

Die größte Sicherheit wird durch ein Bündel an Maßnahmen erreicht. Dabei muss jedes Netzwerk einzeln betrachtet und die Schwachstellen beurteilt werden und in einem Maßnahmenpaket enden, das ständig weiterentwickelt und erneuert wird.