Wie bereits in meinem letzten Blog erwähnt, besteht das Hauptziel der Reaktion auf Vorfälle darin, die Verweildauer der Angreifer zu verkürzen, um das Risiko zu mindern, doch müssen die Unternehmen zunächst den Grad des Risikos definieren, das gemindert werden soll. Es ist wichtig, den Reifegrad und die Fähigkeiten zur Reaktion auf Vorfälle in Bezug auf die für das Unternehmen relevanten Bedrohungen und den Umfang der Auswirkungen, die diese Bedrohungen verursachen können, zu berücksichtigen. Die Anforderungen an das Risikobewusstsein des Unternehmens definieren die Metriken und Sicherheitsausgaben, um angemessene Reaktionszeiten zu erreichen.
Im Jahr 2013 schlug James Webb, CISO der Appalachian State University, ein Reifemodell für die Reaktion auf Vorfälle auf einer Zeitachse vor, das Vectra als Teil unserer Sicherheitsberatungspraxis übernommen und weiterentwickelt hat.
Dieses Modell berücksichtigt zwei Kernfähigkeiten, die für eine erfolgreiche Reaktion auf Vorfälle entscheidend sind:
Bewusstsein für Bedrohungen/Sichtbarkeit
Die Fähigkeit, genaue und verlässliche Informationen über die Präsenz von Bedrohungsakteuren, ihre Absichten, ihre bisherigen Aktivitäten und die Art und Weise, wie die Abwehrmaßnahmen auf sie reagieren, zu erhalten. Die Zeit bis zur Entdeckung und die Zeit bis zur Kenntnisnahme sind entscheidend.
Reaktionsschnelligkeit/Leistung
Die Fähigkeit, einen Schaden schnell und ausreichend zu isolieren, zu beseitigen und den normalen Geschäftsbetrieb wiederherzustellen. Dazu gehört auch die Zeit bis zur Reaktion.
Die meisten Rahmenwerke für den Reifegrad der Sicherheit sehen die Einführung von Tools vor, die lineare Funktionen im Rahmen eines mehrschichtigen Sicherheitsansatzes bieten. Diese Methodik führt potenziell zu Überschneidungen und Redundanzen, was sich oft negativ auf das Bewusstsein für Bedrohungen und die Reaktionsfähigkeit auswirkt. Außerdem werden dadurch Kompromisse zwischen Erkennungs- und Reaktionsfähigkeiten deutlich, die auf jeder Reifegradstufe auftreten.
Durch die Verknüpfung dieser beiden Attribute mit dem Prozess der Reaktion auf Vorfälle können Reifegrad und Fähigkeiten über die fünf Stufen des Reifegradmodells auf der Grundlage des gewünschten Risikobewusstseins definiert und gemessen werden.
Reifegrad der Reaktion auf Zwischenfälle
1. Reaktiv/Ad-hoc
Diesist der "Whack-a-mole"-Ansatz, bei dem die Organisation erst dann auf Bedrohungen reagiert, wenn sie auftauchen. Die Erkennung interner Bedrohungen erfolgt in der Regel von einer externen Quelle. Leider verlassen sich immer noch zu viele Unternehmen auf diese Methode der Reaktion, wenn sie eine gefährdete Anlage entdecken. Die Wiederherstellung des Systems aus Backups macht es einfach, flexibel zu sein und Geschäftsfunktionen schnell wiederherzustellen. Das Bewusstsein für Bedrohungen ist jedoch gering, da keine wirklichen Erkenntnisse darüber gewonnen werden, wie das System kompromittiert wurde oder warum und wofür es nach der Kompromittierung verwendet wurde.
2. Werkzeuggesteuert/signaturbasiert
In dieser Phase setzen Unternehmen Tools ein, die nach potenziellen Kompromittierungen in der Umgebung suchen. Dabei handelt es sich häufig um signaturgesteuerte Tools wie Antiviren-Software und Intrusion Detection and Prevention Systems (IDPS), die automatisch vor möglichen Kompromittierungen durch bekannte Bedrohungen warnen. Die Beseitigung dieser kompromittierten Systeme wird ebenfalls von Tools gesteuert, die darauf ausgelegt sind, ein System von der Kompromittierung zu befreien, was im Übrigen keine gute Idee ist. Die Agilität nimmt ab und führt zu einem Ad-hoc-Reaktionsansatz.
3. Prozessgesteuert
In dieser Phase übernehmen Unternehmen formale Rollen, Prozesse und Governance-Strukturen für die Reaktion auf Vorfälle. Sie umfasst oft mehrere Quellen für die Erkennung von Bedrohungen und die Korrelation von Warnmeldungen, die den Phasen des Lebenszyklus eines Angriffs zugeordnet sind. Für viele Unternehmen ist dies der ideale Betriebszustand. Angriffe werden auf kosteneffektive und wiederholbare Weise erkannt, analysiert und bekämpft. Formalisierte Prozesse verlangsamen zwar die Agilität, sind aber irrelevant, da das Volumen der Angriffe in der Regel gering ist und die meisten Vorfälle harmlose interne Benutzerfehler oder Richtlinienverstöße sind. Der Hauptmangel dieses Modells besteht darin, dass der Umgang mit gezielten Angriffen mehr als nur gute Prozesse erfordert.
4. Intelligenz gesteuert
Für viele große Unternehmen ist eine nachrichtendienstlich gestützte Reaktion auf Vorfälle aufgrund der Häufigkeit gezielter Angriffe ein großes Ziel. Diese Stufe der Reaktion auf Vorfälle erfordert ein detaillierteres und aktuelleres Verständnis der Bedrohungsakteure, einschließlich ihrer Ziele und Motivation sowie ihres Profils von Werkzeugen, Taktiken und Verfahren (TTP). Um dieses Ziel zu erreichen, ist es ratsam, mit externen Wissensdatenbanken wie dem MITRE ATT&CK Framework zu korrelieren. Das Wissen über die Disposition des Gegners wird dann verwendet, um Sicherheitsabwehr und Erkennungskontrollen so zu gestalten, dass diskrete Maßnahmen ergriffen werden können, um die Fähigkeit des Gegners, seine Ziele zu erreichen, zu stören, zu beeinträchtigen und zu vereiteln.
5. Prädiktive Verteidigung
Diese Phase wird auch als aktive Verteidigung bezeichnet und stellt die Konvergenz von Vorfallsreaktionsprozessen und einer anpassungsfähigen Verteidigungsarchitektur dar, mit der Angreifer beim Eindringen in geschützte Umgebungen und bei der Durchführung von Operationen und Bewegungen in diesen Umgebungen überlistet werden können. Eines der wichtigsten Merkmale dieses Modells sind Fähigkeiten, die es dem Gegner ermöglichen, zu täuschen und Operationen zu vereiteln. Die Bedrohungsjagd ist der ultimative Ausdruck einer proaktiven Verteidigung.
Anpassung des Reaktionsplans auf Vorfälle
Zeit ist zwar der wichtigste Faktor bei der Reaktion auf Vorfälle, aber Zeit ist auch Geld. Wie viel Geld ausgegeben werden soll und wie viel Bedrohungsbewusstsein oder Flexibilität erforderlich ist, um das Geschäftsrisiko zu mindern, hängt von den individuellen Bedürfnissen eines Unternehmens ab. Diese Anforderungen unterscheiden sich je nach Größe, Branche und Compliance-Anforderungen.
Die Festlegung von Prioritäten für die Behandlung des Vorfalls ist vielleicht der kritischste Entscheidungspunkt im Prozess der Reaktion auf einen Vorfall. Die Prioritätensetzung erfordert ein Verständnis der Bedrohung und des Risikos für die Organisation. Die Klassifizierung dieses Risikos bestimmt den erforderlichen Reifegrad der Organisation.
Die Wahl der richtigen Stufe
Der Reifegrad, den ein Unternehmen bei der Reaktion auf Vorfälle erreichen muss, hängt von den Anforderungen an eine solche Fähigkeit ab. Branchenspezifische Bedrohungen, Risiken und Compliance-Anforderungen bestimmen den Bedarf einer Organisation. Ein Blick auf die Anforderungen anderer Organisationen in derselben Branche hilft, einen guten Ausgangspunkt für einen angestrebten Reifegrad zu finden.
Ein kleines Unternehmen, das im Logistikbereich tätig ist, hat beispielsweise nicht die gleichen Anforderungen - oder die gleichen Möglichkeiten - auf Cybersecurity-Vorfälle zu reagieren wie ein großes Unternehmen im Finanzsektor oder eine Regierungsbehörde. Im Gegensatz dazu müssen Unternehmen mit bekannten Marken oder wertvollem geistigen Eigentum ihr Bewusstsein für Bedrohungen schärfen, indem sie proaktiv nach Angreifern suchen und gleichzeitig die nötige Agilität bewahren, um schnell auf die gefundenen Bedrohungen zu reagieren. Dies geht über einen gepflegten Plan, konkrete Rollen und Verantwortlichkeiten, Kommunikationswege und Reaktionsverfahren hinaus. Ein formeller Plan und Prozess für das Security Operations Center (SOC) reicht nicht aus, um dem Risiko gezielter Angriffe zu begegnen.
Wenn Sie Ihre Sicherheitsabläufe verbessern und Ihre Fähigkeiten zur Reaktion auf Vorfälle ausbauen möchten, finden Sie unter Vectra Advisory Services eine Reihe von Angeboten, die auf die spezifischen Anforderungen Ihres Unternehmens zugeschnitten sind.