Incident Response

Die Definition des Risikograds bestimmt den Erfolg eines Incident Response

, München/Wien/Zürich, Vectra AI | Autor: Herbert Wieler

Die Definition des Risikograds bestimmt den Erfolg eines Incident Response

Incident Response, die Reaktion auf Cybersicherheitsvorfälle

Das Kernziel des Incident Response, also die Reaktion auf Cyber Security Vorfälle, liegt darin, die Verweildauer der Angreifer zu reduzieren um deren Wirkungsmöglichkeiten zu reduzieren. Unternehmen müssen hierbei zunächst den Grad des Risikos definieren, das reduziert werden soll. Es ist wichtig, den Reifegrad und die Reaktionsfähigkeiten in Bezug auf die für das Unternehmen relevanten Bedrohungen und die daraus resultierenden Auswirkungen zu berücksichtigen, wie Vectra AI erklärt. Die Anforderungen an das Risikobewusstsein des Unternehmens definieren Metriken und Sicherheitsausgaben, um angemessene Reaktionszeiten zu erreichen.

Im Jahr 2013 schlug James Webb, CISO der Appalachian State University, ein Reifegradmodell für die Reaktion auf Vorfälle auf einer Zeitachse vor, das Vectra als Teil seiner Sicherheitspraxis übernommen und weiterentwickelt hat.

Dieses Modell berücksichtigt zwei Kernfähigkeiten, die für den Erfolg der Reaktion auf Zwischenfälle entscheidend sind:

  1. Bedrohungsbewusstsein/-sichtbarkeit: Die Fähigkeit, über genaue und verlässliche Informationen zur Präsenz von Bedrohungsakteuren, ihre Absichten, ihre historischen Aktivitäten und die Beziehung der Verteidigung zu ihnen zu verfügen. Die Zeit bis zur Entdeckung und die Zeit bis zum Bekanntwerden sind entscheidend.
  2. Reaktionsschnelligkeit/-performance: Die Fähigkeit, schnell und ausreichend den Vorfall zu isolieren, die Bedrohung unschädlich zu machen und zum normalen Betrieb zurückzukehren. Dazu gehört die Zeit bis zur Reaktion.

Die meisten Sicherheitsreife-Frameworks implizieren den Einsatz von Tools zur Bereitstellung linearer Fähigkeiten als mehrschichtiger Sicherheitsansatz. Diese Methodik führt nach Meinung von Vectra AI potenziell zu Überschneidungen und Redundanzen, was sich oft negativ auf das Bedrohungsbewusstsein und die Reaktionsfähigkeit auswirkt. Sie zeigt auch Kompromisse zwischen Erkennungs- und Reaktionsfähigkeit auf, die auf jeder Reifegradstufe auftreten.

Indem diese beiden Attribute mit dem Prozess der Ereignisreaktion in Beziehung gesetzt werden, können Reifegrad und Fähigkeit über die fünf Stufen des Reifegradmodells auf der Grundlage der gewünschten Stufe des Risikobewusstseins definiert und gemessen werden.

Reifegrade der Vorfalls-Reaktion

Reaktiv/Ad-hoc

Dies ist der „Whack-a-mole“-Ansatz, bei dem das Unternehmen auf Bedrohungen erst dann reagiert, wenn sie auftauchen. Die Erkennung interner Bedrohungen erfolgt in der Regel aus einer externen Quelle. Leider verlassen sich immer noch zu viele Unternehmen auf diese Reaktionsmethode, wenn sie ein gefährdetes Asset entdecken. Das Wiederherstellen des Systems aus Backups macht es einfach, agil zu sein und Geschäftsfunktionen schnell wiederherzustellen. Das Bedrohungsbewusstsein ist jedoch gering, da keine wirklichen Erkenntnisse darüber vorliegen, wie das System kompromittiert wurde oder warum und wozu es nach der Kompromittierung verwendet wurde.

Tool-gesteuert/signaturbasiert

In dieser Phase setzen Unternehmen Tools ein, die nach potenziellen Kompromittierungen in der Umgebung suchen. Dabei handelt es sich häufig um signaturgesteuerte Tools wie Antiviren-Software und IDPS, die einige automatisierte Warnungen vor potenziellen Kompromittierungen durch bekannte Bedrohungen liefern. Ebenso kommen Tools zum Einsatz, die darauf ausgelegt sind, ein System von Kompromittierungen zu bereinigen. Dieser Ansatz hat jedoch Schwächen. Die Agilität beginnt nachzulassen und führt zu einem Ad-hoc-Reaktionsansatz.

Prozessgetrieben

In dieser Phase setzen Unternehmen formale Rollen, Prozesse und Führungsstrukturen für die Reaktion auf Vorfälle um. Dies umfasst oft mehrere Quellen der Bedrohungserkennung und Alarmkorrelationen, die sich auf Phasen im Angriffslebenszyklus beziehen. Für viele Unternehmen ist dies der ideale Betriebszustand. Angriffe werden auf kostengünstige und wiederholbare Weise erkannt, analysiert und bekämpft. Obwohl formalisierte Prozesse die Agilität verlangsamen, ist dies irrelevant, da das Angriffsvolumen eher gering ist und es sich bei den meisten Vorfällen um gutartige interne Benutzerfehler oder Richtlinienverletzungen handelt. Der primäre Mangel dieses Modells besteht darin, dass der Umgang mit gezielten Angriffen mehr als nur gute Prozesse erfordert.

Intelligence-orientiert

Für viele große Unternehmen ist die analytisch gesteuerte Reaktion auf Vorfälle eine vorrangige Aufgabe, da gezielte Angriffe weit verbreitet sind. Diese Ebene der Reaktion auf Zwischenfälle erfordert ein detaillierteres und aktuelleres Verständnis der Bedrohungsakteure, einschließlich ihrer Ziele und Motivation sowie ihres TTP-Profils (Tools, Taktiken und Verfahren). Um dieses Ziel zu erreichen, ist es ratsam, mit externen Wissensdatenbanken wie dem MITRE ATT&CK Framework zu korrelieren. Das Wissen über die gegnerische Disposition wird dann verwendet, um die Sicherheitsverteidigung und Aufdeckungskontrollen anzupassen. So können Maßnahmen ergriffen werden, um die Fähigkeit des Gegners, seine Ziele zu erreichen, gezielt zu stören, abzuschwächen und zu verhindern.

Prädiktive Verteidigung

Auch als aktive Verteidigung bekannt, stellt diese Stufe die Konvergenz der Reaktionsprozesse bei Zwischenfällen und eine adaptive Verteidigungsarchitektur dar. Damit können Gegner beim Eindringen in geschützte Umgebungen, bei ihrer Tätigkeit und bei ihrer Bewegung innerhalb dieser Umgebungen aufgehalten werden. Eines der Hauptmerkmale dieses Modells sind Fähigkeiten, die eine Täuschung des Gegners und die Verweigerung von Operationen ermöglichen. Die permanente Suche nach Bedrohungen ist der ultimative Ausdruck einer proaktiven Verteidigung.

Anpassung des Reaktionsplans bei Zwischenfällen

Zeit ist zwar der wichtigste Faktor bei der Reaktion auf Vorfälle, aber Zeit ist auch Geld. Wie hoch die Investition ist und wie viel Bedrohungsbewusstsein oder Beweglichkeit erforderlich ist, um das Geschäftsrisiko zu mindern, hängt von den individuellen Bedürfnissen eines Unternehmens ab. Diese Bedürfnisse unterscheiden sich je nach Größe, Branche und Compliance-Anforderungen.

Die Priorisierung der Behandlung eines Vorfalls ist vielleicht der kritischste Entscheidungspunkt bei der Reaktion auf Vorfälle. Die Festlegung von Prioritäten erfordert nach Meinung von Vectra AI ein Verständnis der Bedrohung und des Risikos für das Unternehmen. Die Klassifizierung dieses Risikos bestimmt den erforderlichen Reifegrad des Unternehmens.

Auswahl der geeigneten Stufe

Der Reifegrad, den ein Unternehmen für die Reaktion auf Vorfälle erreichen muss, basiert auf den Anforderungen an eine solche Fähigkeit. Branchenspezifische Bedrohungen, Risiken und Compliance-Anforderungen diktieren die Bedürfnisse eines Unternehmens. Ein Blick auf die Bedürfnisse anderer Unternehmen in derselben Branche hilft, einen guten Ausgangspunkt für einen angestrebten Reifegrad zu identifizieren.

Beispielsweise wird ein kleines Unternehmen, das im Logistikgeschäft tätig ist, nicht die gleichen Anforderungen – oder Fähigkeiten – haben, um auf Vorfälle im Bereich der Cybersicherheit zu reagieren, wie ein großes Unternehmen im Finanzsektor oder eine Regierungsbehörde. Im Gegensatz dazu müssen Unternehmen mit hoch anerkannten Marken oder wertvollem geistigen Eigentum das Bedrohungsbewusstsein steigern, indem sie proaktiv nach Angreifern suchen und gleichzeitig die nötige Agilität bewahren, um schnell auf die gefundenen Bedrohungen reagieren zu können. Dies geht über einen gepflegten Plan, konkrete Rollen und Verantwortlichkeiten, Kommunikationswege und Reaktionsverfahren hinaus. Ein formeller SOC-Plan und -Prozess reicht nicht aus, um der Gefahr gezielter Angriffe zu begegnen.