Es ist die Zeit, in der die Sicherheits- und IT-Teams die unternehmensweite E-Mail verschicken müssen: „Nein, unser CEO will NICHT, dass ihr Geschenkkarten kauft.“
Während sich ein Großteil der Belegschaft in die Ferien verabschiedet, werden die Hacker immer aktiver. Zweifellos werden die Aktivitäten zunehmen, da Hacker weiterhin E-Commerce-Betrügereien und Phishing-Angriffe mit Weihnachtsmotiven durchführen. Hacker nutzen diese Taktiken gerne, um Endnutzer/innen dazu zu bringen, nicht nur ihre persönlichen Daten, sondern auch die Daten ihres Unternehmens zu gefährden.
Das heißt aber nicht, dass du die nächsten Wochen in ständiger Angst verbringen solltest.
Nutze diese Zeit stattdessen als Gelegenheit, um sicherzustellen, dass dein Plan für die Reaktion auf Vorfälle (IR) felsenfest ist.
Wo soll ich anfangen?
Stelle zunächst sicher, dass deine Strategie den sechs Schritten zur vollständigen Reaktion auf Vorfälle folgt.
Hier ist eine Auffrischung:
Die 6 Schritte einer vollständigen IR
- Vorbereitung: Dies ist die erste Phase und beinhaltet die Überprüfung bestehender Sicherheitsmaßnahmen und -richtlinien, die Durchführung von Risikobewertungen, um potenzielle Schwachstellen zu finden, und die Erstellung eines Kommunikationsplans, der Protokolle festlegt und das Personal auf potenzielle Sicherheitsrisiken hinweist. Während der Feiertage ist die Vorbereitungsphase deines IR-Plans von entscheidender Bedeutung, da sie dir die Möglichkeit gibt, feiertagsspezifische Bedrohungen zu kommunizieren und die Räder in Gang zu setzen, um auf solche Bedrohungen zu reagieren, sobald sie erkannt werden.
- Identifizierung: Die Identifizierungsphase ist die Phase, in der ein Vorfall identifiziert wird – entweder ein Vorfall, der bereits stattgefunden hat, oder ein Vorfall, der gerade im Gange ist. Dies kann auf verschiedene Weise geschehen: durch ein internes Team, einen externen Berater oder einen Managed Service Provider oder, im schlimmsten Fall, weil der Vorfall zu einer Datenverletzung oder einem Eindringen in dein Netzwerk geführt hat. Da bei so vielen Cybersecurity-Hacks in den Ferien die Anmeldedaten von Endnutzern betroffen sind, lohnt es sich, Sicherheitsmechanismen einzurichten, die überwachen, wie auf deine Netzwerke zugegriffen wird.
- Eindämmung: Ziel der Eindämmungsphase ist es, den durch einen Sicherheitsvorfall verursachten Schaden zu minimieren. Dieser Schritt variiert je nach Vorfall und kann Protokolle wie das Isolieren eines Geräts, das Deaktivieren von E-Mail-Konten oder das Trennen anfälliger Systeme vom Hauptnetzwerk umfassen. Da Eindämmungsmaßnahmen oft schwerwiegende Auswirkungen auf das Geschäft haben, ist es wichtig, dass sowohl kurzfristige als auch langfristige Entscheidungen im Voraus getroffen werden, damit das Sicherheitsproblem nicht in letzter Minute gelöst werden muss.
- Ausrottung: Wenn du den Sicherheitsvorfall eingedämmt hast, musst du im nächsten Schritt sicherstellen, dass die Bedrohung vollständig beseitigt wurde. Dies kann auch Ermittlungsmaßnahmen beinhalten, um herauszufinden, wer, was, wann, wo und warum der Vorfall aufgetreten ist. Die Beseitigung kann Festplattenreinigungsverfahren, die Wiederherstellung von Systemen auf eine saubere Backup-Version oder ein vollständiges Reimaging der Festplatte beinhalten. Die Ausrottungsphase kann auch das Löschen bösartiger Dateien, das Ändern von Registrierungsschlüsseln und möglicherweise die Neuinstallation von Betriebssystemen umfassen.
- Wiederherstellung: Die Wiederherstellungsphase ist das Licht am Ende des Tunnels, das es deinem Unternehmen ermöglicht, zum gewohnten Betrieb zurückzukehren. Wie bei der Eindämmung werden auch bei der Wiederherstellung am besten vorher Protokolle erstellt, damit geeignete Maßnahmen ergriffen werden können, um die Sicherheit der Systeme zu gewährleisten.
- Lehren ziehen: Während der Lessons Learned-Phase musst du dokumentieren, was passiert ist, und festhalten, wie deine IR-Strategie bei jedem Schritt funktioniert hat. Dies ist ein wichtiger Zeitpunkt, um Details zu berücksichtigen, z. B. wie lange es dauerte, den Vorfall zu entdecken und einzudämmen. Gab es nach der Ausmerzung Anzeichen für verbleibende Malware oder kompromittierte Systeme? Handelte es sich um einen Betrug im Zusammenhang mit einem Hackerangriff in den Ferien? Und wenn ja, was kannst du tun, um dies im nächsten Jahr zu verhindern?
Wie schlanke Sicherheitsteams in der Weihnachtszeit weniger Stress haben können
Best Practices in deine IR-Strategie einzubauen ist eine Sache. Aber es ist leichter gesagt als getan, diese Best Practices zu entwickeln und dann auch umzusetzen, wenn du nicht die Zeit oder die Ressourcen dafür hast.
Leiter/innen kleinerer Sicherheitsteams stehen vor zusätzlichen Herausforderungen, die durch den Mangel an Ressourcen ausgelöst werden. Knappe Budgets und zu wenig Personal für die Verwaltung der Sicherheitsabläufe führen dazu, dass sich viele schlanke Sicherheitsteams mit dem Gedanken abfinden, dass sie nicht in der Lage sein werden, ihr Unternehmen vor dem Ansturm von Angriffen zu schützen, den wir in der Weihnachtszeit häufig erleben.
Zum Glück gibt es kostenlose Ressourcen für Sicherheitsteams, die sich genau in dieser Situation befinden.
Im Cynet Incident Response Hub findest du alles, von Vorlagen für die Berichterstattung über einen Vorfall bis hin zu Webinaren, die sich eingehend mit der IR-Strategie befassen, sowie Informationen über die neuesten Cybersecurity-Bedrohungen. Und um die Sicherheitsteams im Falle eines Vorfalls weiter zu unterstützen, bietet Cynet einen kostenlosen Accelerated Incident Response Service an.
Wenn du diese kostenlosen Ressourcen ausprobieren möchtest, besuche den Accelerated Incident Response Hub hier.
Möge dein Sicherheitsteam in den nächsten zwei Wochen die Stellung halten und die Feiertage sorgenfrei genießen.