Sicherheitsvorfälle kommen vor. Es ist keine Frage des „ob“, sondern des „wann“. Deshalb hast du Sicherheitsprodukte und -verfahren eingeführt, um den Prozess der Reaktion auf Vorfälle zu optimieren.
Viele Sicherheitsprofis, die bei der Bewältigung von Vorfällen hervorragende Arbeit leisten, stellen jedoch fest, dass die effektive Kommunikation des laufenden Prozesses mit ihrem Management eine viel schwierigere Aufgabe ist.
Kommt dir das bekannt vor?
In vielen Unternehmen sind die Führungskräfte nicht sehr sicherheitsbewusst und interessieren sich nicht für die Details all der Bits und Bytes, die der Sicherheitsexperte beherrscht.
Zum Glück gibt es eine Vorlage, die Sicherheitsverantwortliche bei der Präsentation vor dem Management verwenden können. Sie heißt „IR Reporting for Management“ und gibt CISOs und CIOs ein klares und intuitives Werkzeug an die Hand, um sowohl über den laufenden IR-Prozess als auch über dessen Abschluss zu berichten.
Mit der Vorlage für die IR-Berichterstattung für das Management können CISOs und CIOs die beiden wichtigsten Punkte kommunizieren, auf die das Management Wert legt: die Gewissheit, dass der Vorfall unter Kontrolle ist, und ein klares Verständnis der Auswirkungen und der Ursache.
Kontrolle ist ein Schlüsselaspekt von IR-Prozessen, da zu jedem Zeitpunkt volle Transparenz darüber besteht, was angegangen wird, was bekannt ist und behoben werden muss und welche weiteren Untersuchungen erforderlich sind, um noch unbekannte Teile des Angriffs aufzudecken.
Die Unternehmensleitung denkt nicht in Trojanern, Exploits und Seitwärtsbewegungen, sondern in Bezug auf die Produktivität des Unternehmens – Ausfallzeiten, Arbeitsstunden, Verlust sensibler Daten.
Eine detaillierte Beschreibung der Angriffsroute und des verursachten Schadens ist entscheidend, um das Verständnis und die Beteiligung des Managements zu gewinnen – vor allem, wenn der IR-Prozess zusätzliche Ausgaben erfordert.
Die Vorlage für die IR-Berichterstattung für das Management folgt dem SANSNIST IR-Framework und hilft dir, dein Management durch die folgenden Phasen zu führen:
Identifizierung
Die Anwesenheit eines Angreifers wird zweifelsfrei festgestellt. Befolge die Vorlage, um die wichtigsten Fragen zu beantworten:
Wurde die Entdeckung intern oder durch einen Dritten gemacht?
Wie ausgereift ist der Angriff (in Bezug auf seinen Fortschritt in der Kill Chain)?
Wie hoch ist das geschätzte Risiko?
Werden die folgenden Schritte mit internen Ressourcen durchgeführt oder ist es notwendig, einen Dienstleister zu beauftragen?
Eindämmung
Erste Hilfe, um das unmittelbare Ausbluten zu stoppen, bevor weitere Untersuchungen durchgeführt werden, die Ursache des Angriffs, die Anzahl der offline genommenen Einheiten (Endpunkte, Server, Benutzerkonten), der aktuelle Status und die weiteren Schritte.
Ausrottung
Vollständige Säuberung aller bösartigen Infrastrukturen und Aktivitäten, ein vollständiger Bericht über die Route des Angriffs und die vermuteten Ziele, die Gesamtauswirkungen auf das Unternehmen (Arbeitsstunden, verlorene Daten, Auswirkungen auf die Gesetzgebung und andere Aspekte je nach Kontext).
Wiederherstellung
Wiederherstellungsrate in Bezug auf Endgeräte, Server, Anwendungen, Cloud-Workloads und Daten.
Gelernte Lektionen
Wie kam es zu diesem Angriff? Lag es an der unzureichenden Sicherheitstechnologie, an unsicheren Praktiken der Mitarbeiter oder an etwas anderem? Und wie können wir diese Probleme beheben? Überdenke die vorangegangenen Phasen des IR-Prozesses, um herauszufinden, was bewahrt und was verbessert werden muss.
Natürlich gibt es bei einem Sicherheitsvorfall kein Patentrezept. Es kann zum Beispiel Fälle geben, in denen die Identifizierung und Eindämmung fast sofort zusammen stattfinden, während in anderen Fällen die Eindämmung länger dauert und mehrere Präsentationen über den Zwischenstand erforderlich sind. Deshalb ist diese Vorlage modular aufgebaut und kann leicht an jede Variante angepasst werden.
Die Kommunikation mit dem Management ist kein „Nice-to-have“, sondern ein wichtiger Teil des IR-Prozesses selbst. Die endgültige Vorlage für die IR-Berichterstattung an das Management hilft den Leitern der Sicherheitsteams, ihre Bemühungen und Ergebnisse dem Management gegenüber deutlich zu machen.
Lade die Vorlage für die IR-Berichterstattung an das Management hier herunter.