Data Forensics
Trustwave gibt Tipps zur Auswahl eines Incident Response Anbieters
Incident Response Retainer optimal nutzen
Mit der Zunahme der Cyber-Bedrohungen steigt auch die Wahrscheinlichkeit, dass Ihr Unternehmen Ziel einer Cyber-Attacke werden könnte. Daher sollte Sie sich bereits im Vorfeld Gedanken machen, wie man nach einem eingetretenen Datenvorfall reagieren sollte.
Wenn eine Verletzung passiert, ist Koordination und Timing das A und O. Sie sollten nicht nur einen gut erprobten Reaktionsplan haben, der sofort einsatzbereit ist, sondern auch einen externen Experten in Betracht ziehen. Die Suche nach einem Anbieter für Data Forensics und Incident Response (DFIR), NACH einem Verstoß, ist aber nicht wirklich optimal.
Ein Datenvorfall ist für alle Beteiligten anstrengend und führt oft zu unüberlegten Aktionen. Solche misslungenen Reaktionen sind selbst in großen, scheinbar gut ausgestatteten Unternehmen, keine Seltenheit. Wenn Sie erst nach einem Vorfall feststellen, dass Sie Hilfe von Drittanbietern benötigen, haben Sie in der Regel keine Zeit mehr die Anbieter zu vergleichen, Preise auszuhandeln und Verträge zu unterzeichnen. Die aktuelle Notsituation überschattet ein normales Vorgehen. Darüber hinaus priorisieren die meisten DFIR-Anbieter ihre Stammkunden. Selbst wenn Sie schnell jemanden neu auswählen können, kann es zu Verzögerungen kommen.
Eine andere Möglichkeit bestände darin, ein eigenes DFIR-Team im Unternehmen aufzubauen. Allerdings besteht aktuell immer noch ein eklatanter IT-Fachkräftemangel, insbesondere in solchen Spezialbereichen wie Data Forensics und Incident Response. Auch die eigene Ausbildung von Mitarbeitern zu solchen Spezialisten gestaltet sich oft schwierig, nimmt viel Zeit in Anspruch und ist in der Regel sehr kostspielig. Daher sollten Sie sich frühzeitig mit entsprechenden DFIR-Anbietern auseinandersetzen und deren Fähigkeiten und die Hintergründe der Teammitglieder, sowie das Gesamtportfolio der Services bewerten, um sicherstellen zu können, dass Sie den richtigen Anbieter für Ihre geschäftlichen Anforderungen gefunden haben.
Managed Security-Experte Trustwave möchte Ihnen dazu 3 Tipps für die Entscheidung an die Hand geben.
1. Wie schnell ist der Anbieter einsatzbereit?
Eine schnelle und effiziente Reaktion auf einen Cyberangriff kann auf lange Sicht Zeit und Geld sparen. Ihre Mitarbeiter sollte angeben, wie schnell Sie mit einem DFIR-Anbieter (im Idealfall sofort) und vor Ort (im Idealfall innerhalb von 24 Stunden weltweit) in Kontakt treten können.
2. Kann der Anbieter auch helfen, wenn kein schwerwiegender Verstoß vorliegt?
Ihr DFIR-Anbieter sollte in der Lage sein, Dienste anzubieten, die nicht nur auf eine erhebliche Kompromittierung ausgerichtet sind. Angenommen, Ihre Antiviren- oder Endpoint Protection-Software identifiziert Malware. Es gibt aber keine Hinweise darauf, dass die Malware bereits ernsthaften Schaden angerichtet hätte. Trotzdem wollen Sie wissen, wie die Bedrohung zu Stande kam, welche Auswirkungen die Malware haben könnte und wie Sie die Gefahr eliminieren können. Ein optimales DFIR-Team sollte über die Fähigkeiten verfügen, die Malware zu analysieren, zu eliminieren und das mögliche Einfallstor zu erkennen und zu schließen. Im Idealfall sollte Ihr Anbieter diese Dienste als Teil seiner Leistungen anbieten können.
3. Können ungenutzte Service-Stunden wiederverwendet werden?
Einige DFIR-Anbieter bieten den Unternehmen an, dass nicht genutzte Servicestunden am Ende des Vertrages gutgeschrieben werden oder sogar verfallen. Ein optimaler Anbieter erlaubt normalerweise die Übertragung ungenutzter Stunden zu proaktiven Bereitschafts- und Reaktionsdiensten. Durch proaktive Services können Sie einen potentiellen Folgeangriff bereits im Keim ersticken. Daher macht ein DFIR-Team nicht nur Sinn, wenn der Ernstfall bereits eingetreten ist, sondern auch als proaktive Sicherheitsmaßnahme gegen zukünftige, potentielle Angriffe.
Dazu bietet Trustwave am 13. März um 17:00 Uhr auch ein entsprechendes Webinar an.